在智能手機,、平板電腦,、筆記本電腦和臺式電腦上實施有效的身份驗證。
身份驗證是在授權(quán)訪問設(shè)備或服務(wù)之前驗證用戶或設(shè)備身份的過程,。
在每種情況下,,可用的身份驗證方法將取決于正在訪問的服務(wù)和來自什么類型的設(shè)備。每種身份驗證方法都有自己的優(yōu)點和缺點,。
作為一個組織,,重要的是實施身份驗證步驟,以平衡設(shè)備和服務(wù)的可用性和安全性,。本文將介紹一系列不同的用例和可用的常見身份驗證方法,重點介紹安全優(yōu)勢和安全風(fēng)險,。將幫助為組織的設(shè)備設(shè)計和部署有效的身份驗證策略。
為什么要認證,?
在智能手機、平板電腦,、筆記本電腦和臺式機上,用戶身份驗證是防止未經(jīng)授權(quán)訪問設(shè)備及其上存儲的數(shù)據(jù)的主要方法,。還在防止對設(shè)備設(shè)置進行未經(jīng)授權(quán)的更改方面發(fā)揮著重要作用,。
鑒于大多數(shù)企業(yè)服務(wù)將通過設(shè)備訪問,,重要的是:
驗證設(shè)備用戶的身份。將確保只有那些有權(quán)訪問的人才能獲得授權(quán),。
如果服務(wù)包含敏感的數(shù)據(jù),則還應(yīng)驗證設(shè)備的身份和健康狀況,。這允許阻止不符合企業(yè)策略的設(shè)備訪問服務(wù),。
攻擊者總是會瞄準(zhǔn)身份驗證系統(tǒng)中的弱點,。許多常見的攻擊尋找簡單的方法來猜測或竊取用戶或設(shè)備憑據(jù),。
使用這些憑據(jù),攻擊者可以冒充有效用戶和設(shè)備,,訪問存儲在設(shè)備上的數(shù)據(jù),,并連接遠程企業(yè)服務(wù),。他們還將利用這一立足點進一步滲透到企業(yè)網(wǎng)絡(luò)中,。
考慮到這些潛在的后果,,很明顯,實施有效的身份驗證對于希望防止賬戶,、設(shè)備或網(wǎng)絡(luò)受損的組織至關(guān)重要。
為有效認證做準(zhǔn)備
首先,,需要考慮要保護的資產(chǎn)的風(fēng)險,、它們持有的數(shù)據(jù)以及面臨的身份驗證用例,。在授予對系統(tǒng)和服務(wù)的訪問權(quán)限之前,,此信息將允許用戶制定適當(dāng)?shù)牟呗詠眚炞C用戶和設(shè)備,。
對于每個身份驗證用例,,應(yīng)該考慮可用身份驗證方法的可用性和安全性。
身份驗證用例
要考慮的主要用例是:
用戶到設(shè)備
用戶只有在成功通過身份驗證后才被授予對設(shè)備的訪問權(quán)限。
用戶服務(wù)
用戶只有在成功通過他們的設(shè)備對服務(wù)進行身份驗證后才能訪問企業(yè)服務(wù)。
服務(wù)設(shè)備
只有可以向企業(yè)進行身份驗證的設(shè)備才被授予訪問權(quán)限,。
對于上述每個用例,在決定適當(dāng)?shù)纳矸蒡炞C機制時,,重要的是要考慮哪些可用的身份驗證機制最適合使用,同時考慮安全性和可用性,。
用戶到設(shè)備
在用戶到設(shè)備 身份驗證的情況下 ,,常見的身份驗證方法包括:
身份驗證方法考慮
密碼或 PIN在智能手機,、平板電腦,、筆記本電腦和臺式機上,密碼或 PIN 通常是用戶到設(shè)備身份驗證的主要方法,。但仍然面臨被猜測或被暴力逼迫的風(fēng)險,。但是,大多數(shù)設(shè)備都包含增強用戶對設(shè)備密碼或 PIN 以抵御離線暴力攻擊的技術(shù),,從而限制攻擊者重復(fù)猜測密碼或 PIN 的能力,。除了這些保護措施之外,如果 PIN 或密碼僅用于對設(shè)備進行身份驗證,,那么只有當(dāng)攻擊者可以物理訪問設(shè)備時,,它才有用。
生物識別
許多智能手機,、平板電腦,、筆記本電腦和臺式機現(xiàn)在也具有指紋和面部識別等生物識別身份驗證功能,可以提供方便和安全的密碼替代方法,。生物識別技術(shù)在其產(chǎn)生的誤報率和否定率以及檢測欺騙性生物識別技術(shù)的能力方面可能會有所不同,。
用戶到服務(wù)/設(shè)備到服務(wù)
在用戶到服務(wù)認證和設(shè)備到服務(wù)認證的情況下,常見的認證方法包括
身份驗證方法考慮
密碼由于密碼相對容易實現(xiàn),這仍然是目前用于用戶身份驗證的最常用方法,。不過,,密碼確實存在一些主要弱點。要求用戶記住和管理大量密碼通常會導(dǎo)致密碼重復(fù)使用,,以及使用常見密碼 ,,會使服務(wù)容易受到密碼噴射攻擊或暴力破解。還容易受到網(wǎng)絡(luò)釣魚,、魚叉式網(wǎng)絡(luò)釣魚和服務(wù)器端憑據(jù)盜竊的攻擊,,最近的許多數(shù)據(jù)泄露事件都證明了這一點 。有關(guān)于密碼的廣泛建議,,包括密碼拒絕列表,、設(shè)置密碼策略對于組織,以及如何選擇適當(dāng)安全的密碼,,用戶應(yīng)該會發(fā)現(xiàn)更容易實施,。
證書
是包含私鑰和簽名公鑰的長期憑證。需要訪問私鑰才能對其他服務(wù)進行身份驗證,,并可用于對設(shè)備或服務(wù)的用戶進行身份驗證,。
應(yīng)保護私鑰免受惡意軟件的訪問(通過沙盒或其他訪問控制機制,包括將其標(biāo)記為不可導(dǎo)出),。私鑰也應(yīng)該通過設(shè)備的靜態(tài)數(shù)據(jù)加密來防止硬件提取,,或者如果不能以其他方式保護,則使用強加密密碼,。
FIDO 2 驗證器
FIDO2 是一套標(biāo)準(zhǔn),,使用公鑰憑據(jù)和協(xié)議提供加密身份驗證,以提供更安全的密碼替代方法來訪問在線服務(wù),。它還降低了許多與密碼相關(guān)的安全風(fēng)險,,包括網(wǎng)絡(luò)釣魚、憑據(jù)盜竊和重放攻擊,。
FIDO2 身份驗證器可以是智能手機,、硬件安全密鑰或 PC 或筆記本電腦上的可信平臺模塊 (TPM)。身份驗證器可以使用本地 PIN 或生物識別技術(shù)支持用戶到設(shè)備的驗證,。這意味著只有在用戶驗證首先成功的情況下才能訪問存儲的密鑰以對在線服務(wù)進行身份驗證,。一些身份驗證器使用硬件保護的加密存儲和反錘子進一步保護存儲的密鑰,以防止對本地用戶驗證的暴力攻擊,。
Windows Hello 和運行Android 7+ 的設(shè)備 是 FIDO2 認證平臺身份驗證器的示例,。還有越來越多的支持 FIDO2 的硬件安全密鑰生態(tài)系統(tǒng),例如 Yubikeys 或 Google Titan 密鑰,。
例如,在企業(yè)場景中,, Windows Hello 企業(yè)版 已經(jīng)使用了 FIDO2,。需要使用 PIN 或生物識別(您知道/是的東西)進行用戶到設(shè)備的身份驗證,,這允許訪問基于公鑰的憑據(jù),綁定到設(shè)備的TPM(您擁有的東西),。允許用戶對 Windows Active Directory 或 Azure Active Directory 進行身份驗證,,并獲得對企業(yè)服務(wù)的訪問權(quán)限。 Google 賬戶現(xiàn)在還支持外部安全密鑰和 Android 設(shè)備上的內(nèi)置身份驗證器,,作為對 Google 賬戶進行身份驗證時的第二個因素,。
服務(wù)的單因素與多因素身份驗證
任何身份驗證機制的安全性都取決于所選的具體實施和因素組合。
在某些情況下,,使用單個因素可能是合適的,。例如,在用戶到設(shè)備身份驗證的情況下,,在考慮到諸如暴力保護或硬件保護存儲等緩解措施時,,使用單一因素對設(shè)備進行身份驗證可能就足夠了,這些措施可在當(dāng)今許多設(shè)備上使用,。
但是,,對于服務(wù)級別身份驗證,在單個身份驗證因素?zé)o法提供適當(dāng)安全級別的情況下,, 多因素身份驗證 (MFA) 可以顯著增強安全性,。
內(nèi)置設(shè)備身份驗證機制可以擴展為直接與選擇的身份提供商集成,以使用綁定到設(shè)備的基于公鑰的憑據(jù)提供無密碼和多因素身份驗證,,通??梢蕴峁┛捎眯院桶踩缘淖罴哑胶狻indows Hello 企業(yè)版就是一個很好的例子 ,。在用戶擁有不止一臺設(shè)備的情況下,,使用 FIDO2 安全密鑰可能會提供類似的好處。但是,,需要在設(shè)備上并與身份提供者一起調(diào)查對此的支持,。
某些企業(yè)身份驗證服務(wù)還可以與移動設(shè)備管理 (MDM)集成 ,以在授予對企業(yè)服務(wù)的訪問權(quán)限之前考慮環(huán)境因素,,例如網(wǎng)絡(luò)位置,、設(shè)備合規(guī)性和設(shè)備健康證明。這種類型的條件訪問在零信任網(wǎng)絡(luò)架構(gòu)或自帶設(shè)備 (BYOD) 場景中非常有用 ,。
單點登錄服務(wù)
企業(yè)單點登錄可用于使用通過選擇的身份提供商管理的單一身份源登錄在線服務(wù),。這可以通過減少需要進行身份驗證的次數(shù)和減少對密碼的依賴來顯著改善用戶體驗。它還使管理加入者,、移動者和離開者變得更加簡單且不易出錯,。
記錄和監(jiān)控
除了身份驗證機制外, 還應(yīng)設(shè)置適當(dāng)?shù)娜罩居涗洠员O(jiān)控身份驗證以及對設(shè)備和服務(wù)的訪問,。對身份驗證系統(tǒng)的攻擊是用戶將面臨的最普遍的攻擊之一,,因此將這些事件捕獲到審計日志中是一種檢測潛在問題的高效方法。
如何有效地進行身份驗證
在設(shè)計和實施企業(yè)身份驗證時,,應(yīng)該:
選擇支持對用戶和組織使用的設(shè)備進行多重身份驗證的企業(yè)身份提供商,。使用身份提供者配置在線服務(wù)以使用單點登錄身份驗證。
根據(jù)上述注意事項選擇可最大限度提高可用性并提供適當(dāng)安全性的身份驗證因素,,并確保在選擇在組織中使用的設(shè)備時所使用的設(shè)備支持這些因素,。
為用戶提供明確的認證政策和指導(dǎo)。
實施實用的用戶到設(shè)備身份驗證策略,,包括使用生物識別和可用密碼策略,。
在可能的情況下,減少對密碼的依賴并實施無密碼身份驗證,,例如Windows Hello,。
在訪問服務(wù)需要密碼的情況下,鼓勵使用密碼管理器,。
對于機器身份驗證,,部署使用基于硬件保護的公鑰的唯一綁定到設(shè)備的憑據(jù)的機制。在可能的情況下,,考慮將其與其他上下文相結(jié)合(例如,,在 Windows 上,可以使用網(wǎng)絡(luò)位置,、設(shè)備合規(guī)性和設(shè)備健康證明),。
部署企業(yè)單點登錄以訪問服務(wù)。將此與強大的用戶和設(shè)備身份驗證相結(jié)合,,使用多因素身份驗證或條件訪問,。
對身份驗證成功和失敗實施適當(dāng)?shù)娜罩居涗浐捅O(jiān)控。