安全問(wèn)題不斷，身份驗(yàn)證引發(fā)熱議

RSA的安全泄漏事故，比之前向客戶公布的情況還要更嚴(yán)重，這次事故，4000萬(wàn)個(gè)RSA Secur ID令牌必須更換。這次事故也引發(fā)了對(duì)雙因素身份驗(yàn)證的廣泛討論。供應(yīng)商們開(kāi)始向RSA客戶提供有競(jìng)爭(zhēng)力的產(chǎn)品，企業(yè)也正在決定是否應(yīng)該繼續(xù)選擇RSA的解決方案。

現(xiàn)在市面上存在很多類型的雙因素身份驗(yàn)證解決方案。最常見(jiàn)的部署是每隔60秒顯示任意號(hào)碼的物理令牌，例如RSA Secur ID。其他類型還包括用戶或者設(shè)備證書，通過(guò)短信驗(yàn)證的身份驗(yàn)證，以及圖像驗(yàn)證，這主要是由一些金融機(jī)構(gòu)在使用。

每個(gè)企業(yè)的雙因素身份驗(yàn)證部署都有所不同。有些企業(yè)只為遠(yuǎn)程訪問(wèn)使用雙因素身份驗(yàn)證，而一些政府企業(yè)則在桌面也使用雙因素解決方案。對(duì)于大部分企業(yè)而言，有一些關(guān)鍵區(qū)域必須使用雙因素解決方案，而有些區(qū)域則沒(méi)有必要使用。

很少有人會(huì)反對(duì)遠(yuǎn)程訪問(wèn)應(yīng)該使用某種形式的雙因素身份驗(yàn)證的觀點(diǎn)，然而，對(duì)于部署的方式則存在很多異議。有些企業(yè)通過(guò)證書、用戶名和密碼來(lái)驗(yàn)證遠(yuǎn)程用戶的身份。在這種情況下，用戶名和密碼可能僅用于遠(yuǎn)程訪問(wèn)，與證書相關(guān)聯(lián)，或者某種專用于外部訪問(wèn)的驗(yàn)證系統(tǒng)關(guān)聯(lián)。

在其他情況下，用戶名和密碼就是Active Directory或其他集中的身份驗(yàn)證系統(tǒng)。擴(kuò)展內(nèi)部身份驗(yàn)證憑證到網(wǎng)絡(luò)邊緣并不是理想的方法，但是這種方法卻變得越來(lái)越普遍，這是因?yàn)槠髽I(yè)需要支持越來(lái)越多新型移動(dòng)設(shè)備，而這些設(shè)備并不支持證書，因此需要一種方式將身份驗(yàn)證綁定到他們的中央賬戶數(shù)據(jù)庫(kù)，或者努力降低成本和精力。無(wú)論哪種方式，在這種用戶必須使用訪問(wèn)內(nèi)部資源的賬戶來(lái)進(jìn)行外部身份驗(yàn)證的情況下，必須采取一些步驟來(lái)保護(hù)這種賬戶。

第一個(gè)也是經(jīng)常被忽視的因素就是確保賬戶不能被暴力破解，也就是通過(guò)將用戶名和密碼身份驗(yàn)證放在證書驗(yàn)證前。開(kāi)包即用(out-of-the-box)的遠(yuǎn)程訪問(wèn)解決方案是一款支持多種形式身份驗(yàn)證的遠(yuǎn)程訪問(wèn)解決方案，包括包含LDAP的雙因素驗(yàn)證。

不幸的是，供應(yīng)商將LDAP驗(yàn)證放在雙因素身份驗(yàn)證之前，從而創(chuàng)造了一個(gè)賬號(hào)可能被暴力破解或者鎖定的機(jī)會(huì)。通過(guò)將雙因素驗(yàn)證放在第一步，能夠從根本上消除隨機(jī)暴力破解賬戶的風(fēng)險(xiǎn)。

有些企業(yè)將雙因素身份驗(yàn)證擴(kuò)展到密鑰系統(tǒng)和應(yīng)用程序。這樣做肯定會(huì)提高系統(tǒng)的驗(yàn)證安全，但是這可能增加用戶的負(fù)擔(dān)或破壞其他功能。要求自動(dòng)化操作來(lái)登錄的系統(tǒng)或應(yīng)用程序可能會(huì)被攻破，必須配置為允許這些賬戶使用密鑰或密碼登錄。

為你的雙因素身份驗(yàn)證建立了這個(gè)后門的話，任何知道如何通過(guò)這些賬戶進(jìn)行身份驗(yàn)證的人都可以進(jìn)入，可能并不是惡意進(jìn)入，只是涂個(gè)方便。所以企業(yè)應(yīng)該通過(guò)IP規(guī)則、密鑰身份驗(yàn)證、監(jiān)控等方法來(lái)緩解這個(gè)問(wèn)題。

任何要求客戶端軟件裝在軟令牌、USB或訪問(wèn)卡的雙因素身份驗(yàn)證都增加了管理這種解決方案需要的支持。所有供應(yīng)商都會(huì)說(shuō)他們的解決方案具有非常低的支持要求，但是低并不等于沒(méi)有要求，而且可能現(xiàn)在是低要求，以后就變成高要求，因?yàn)椴僮飨到y(tǒng)升級(jí)或者配置更改等問(wèn)題。

根據(jù)風(fēng)險(xiǎn)、成本和負(fù)擔(dān)等問(wèn)題，在必要的系統(tǒng)和應(yīng)用程序上使用雙因素驗(yàn)證。

項(xiàng)目時(shí)間跟蹤應(yīng)用程序中的登錄時(shí)間可能不需要雙因素身份驗(yàn)證，但是訪問(wèn)敏感系統(tǒng)就需要。在具有相同重要性和安全需求的系統(tǒng)的情況下，可能沒(méi)必要直接在眾多系統(tǒng)部署雙因素身份驗(yàn)證，可以將網(wǎng)絡(luò)進(jìn)行分隔，將這些設(shè)備放置驗(yàn)證點(diǎn)后，例如內(nèi)部SSLVPN網(wǎng)關(guān)，在這里雙因素驗(yàn)證被用來(lái)獲取到網(wǎng)絡(luò)分割區(qū)的訪問(wèn)，然后是標(biāo)準(zhǔn)驗(yàn)證。

另外，內(nèi)部系統(tǒng)和應(yīng)用程序使用的雙因素身份驗(yàn)證可能與外部驗(yàn)證有所不同。很多企業(yè)使用密鑰來(lái)驗(yàn)證系統(tǒng)服務(wù)，例如SSH。密鑰加密碼屬于一種雙因素驗(yàn)證形式，這種形式是可以接受的，而不是整合SecurID或者其他雙因素身份驗(yàn)證到每個(gè)系統(tǒng)以進(jìn)行SSH訪問(wèn)，這需要更高的支持成本，并需要驗(yàn)證到外部服務(wù)器。

雙因素身份驗(yàn)證產(chǎn)品選擇越來(lái)越多，各自有各自的優(yōu)缺點(diǎn)。了解企業(yè)的需要、風(fēng)險(xiǎn)和支持能力，對(duì)比所有解決方案，選擇最適合企業(yè)的解決方案。范圍和部署細(xì)節(jié)是確保正常工作和安全安裝的重要因素。

雙因素身份驗(yàn)證的相關(guān)內(nèi)容就與大家分享完了，不要認(rèn)為任何開(kāi)包即用(out-of-the-box)的解決方案是最好最安全的，但請(qǐng)記住，你必須使用這些解決方案，確保解決方案適合你的用戶，同時(shí)提供你需要的安全性。

【編輯推薦】

1. 一種可信身份驗(yàn)證技術(shù)
2. 從身份驗(yàn)證角度談云服務(wù)
3. 打造更安全身份驗(yàn)證系統(tǒng)
4. 身份驗(yàn)證管理的交付方式
5. 調(diào)查發(fā)現(xiàn)：用戶重新評(píng)價(jià)雙因素身份驗(yàn)證選項(xiàng)