受眾

弱身份驗證是信息系統(tǒng)的常見漏洞 ，一直是CISA在聯(lián)邦高價值資產(chǎn)系統(tǒng)中發(fā)現(xiàn)的五大，最常見的發(fā)現(xiàn)之一。此外，2019年Verizon數(shù)據(jù)泄露調(diào)查報告指出，受損密碼仍然是違規(guī)行為的“突出固定裝置”。 在整個組織中實施強身份驗證方法可以顯著提高抵御常見網(wǎng)絡(luò)安全威脅(如網(wǎng)絡(luò)釣魚攻擊和憑據(jù)泄露)的彈性。

雖然本指南引用了聯(lián)邦標準和出版物，但它沒有映射到任何機構(gòu)，也沒有直接與任何機構(gòu)相關(guān)聯(lián)。這些建議適用于任何尋求改進其身份驗證過程的組織。

目的

本指南的目的是闡明身份驗證的概念，推薦相關(guān)的安全增強功能，并提供指導(dǎo)以幫助規(guī)劃和實現(xiàn)強身份驗證解決方案。強身份驗證是縱深防御網(wǎng)絡(luò)安全戰(zhàn)略的眾多支柱之一，但它并不是網(wǎng)絡(luò)安全問題的唯一解決方案。

概念

身份驗證是驗證用戶身份是否真實的過程。大多數(shù)系統(tǒng)要求用戶在授予對系統(tǒng)的訪問權(quán)限之前進行身份驗證。用戶通過輸入密碼，插入智能卡并輸入關(guān)聯(lián)的個人標識號(PIN)，提供生物識別(例如，指紋，語音模式樣本，視網(wǎng)膜掃描)或這些東西的組合來證明他們是他們聲稱的人來做到這一點。將提供的憑據(jù)與以前與用戶關(guān)聯(lián)的憑據(jù)進行比較。憑據(jù)匹配可以在正在訪問的系統(tǒng)內(nèi)執(zhí)行，也可以通過受信任的外部源執(zhí)行。如果憑據(jù)匹配，系統(tǒng)將驗證身份并授予訪問權(quán)限(請參閱圖 1)。

.圖 1：身份、身份驗證和訪問之間的關(guān)系

身份驗證方法

不同的系統(tǒng)可以實現(xiàn)不同的身份驗證方法來驗證用戶的身份。身份驗證方法可以分為三個因素：

• 您知道的東西 (知識)

示例包括密碼、密碼或 PIN

• 你擁有的東西 (占有)

示例包括智能卡、令牌、查找機密、一次性密碼設(shè)備或加密 設(shè)備

• 你是某物(遺傳/身體 特征)

示例包括指紋、虹膜、面部特征、語音模式或 步態(tài)

單因素身份驗證是一種常見的低安全性身份驗證方法。它只需要一個因素(例如用戶名和密碼)即可訪問系統(tǒng)。(盡管它包含兩條信息，但用戶名和密碼組合仍然是一個因素，因為它們都來自同一類別。

多重身份驗證 (MFA) 是一種強身份驗證方法。它需要兩個或多個因素才能訪問系統(tǒng)。每個因素必須來自上面的不同類別(例如，您知道的東西和你擁有的東西)。當使用兩個因素時，MFA 可以稱為雙因素身份驗證或 2FA。

Google、紐約大學(xué)和加州大學(xué)圣地亞哥分校進行的一項研究表明，實施 MFA 對組織抵御惡意攻擊有了顯著的改進。該研究發(fā)現(xiàn)，使用MFA阻止了100%的自動化機器人，99%的批量網(wǎng)絡(luò)釣魚攻擊以及66%針對用戶Google賬戶的針對性攻擊。

保證級別

不同的身份驗證方法具有不同的保證級別，具體取決于進程的穩(wěn)健性以及標識是它們所聲稱的身份的可信度。組織可能會確定，為不包含敏感信息且未連接到與包含敏感信息的系統(tǒng)連接到同一網(wǎng)絡(luò)的系統(tǒng)實施更高保證級別的成本不值得。有關(guān)保證級別的詳細信息，請參閱美國國家標準與技術(shù)研究院 (NIST) 特別出版物 (SP) 800-63-3 數(shù)字標識指南3 和相關(guān)標準，4 其中描述了身份驗證保證級別，并提供了一種基于風(fēng)險的方法來選擇適用于給定系統(tǒng)的身份驗證強度。

問題

單因素身份驗證 - 每個人都使用密碼。他們真的那么糟糕嗎?

單因素身份驗證(通常意味著用戶名和密碼)為攻擊者提供了一種訪問系統(tǒng)的簡便方法。

由于密碼只是數(shù)據(jù)，攻擊者可以使用許多不同的技術(shù)來竊取密碼而無需實際存在，包括：

• 暴力 破解攻擊
• 明文密碼 存儲
• 網(wǎng)絡(luò)釣魚
• 憑據(jù) 轉(zhuǎn)儲
• 鍵盤記錄
• 網(wǎng)絡(luò)嗅探
• 社會 工程學(xué)
• 惡意軟件

圖 2：密碼模式使用示例

弱密碼(例如，制造商的默認密碼或遵循某種模式的密碼 [見圖 2])使攻擊者更容易破壞密碼。其他不安全的做法可能會加劇泄露的密碼可能對組織產(chǎn)生的影響。

• 密碼重用允許泄露密碼的攻擊者訪問多個系統(tǒng)、網(wǎng)絡(luò)或數(shù)據(jù)集。組織可以阻止 密碼重用，但沒有技術(shù)控制可以阻止用戶跨多個系統(tǒng)重用密碼。無法防止密碼重用會使攻擊者可以使用已泄露的密碼來訪問其他系統(tǒng)。
• 管理員密碼共享使 具有提升訪問權(quán)限的特權(quán)(管理)賬戶更有可能受到損害;管理密碼通常被寫下來，位于多個人有權(quán)訪問它的地方，簡化以使其更易于記憶，并且即使在人們離開組織后也不會頻繁更改。一旦受到威脅，管理密碼就會向攻擊者授予跨網(wǎng)絡(luò)和/或跨多個系統(tǒng)的提升訪問權(quán)限。

添加另一個身份驗證因素(即，您擁有的東西或您擁有的東西)會大大增加破壞賬戶的難度，因為妥協(xié)現(xiàn)在需要用戶的物理存在或擁有物理對象(如智能卡)。

具有最弱身份驗證方法的資產(chǎn)成為繞過其所連接的系統(tǒng)的更強身份驗證的潛在路徑。如果有大型打開的窗戶，帶有鋼筋門和精密鎖的混凝土和鋼結(jié)構(gòu)建筑仍然很容易被入侵者進入。

若要獲得 MFA

功能的全部好處，組織應(yīng)確?？缢邢到y(tǒng)、應(yīng)用程序和資源實現(xiàn)它。要求多因素身份驗證以獲得對組織網(wǎng)絡(luò)(通常是用戶的工作站)的初始訪問權(quán)限是很好的第一步;但是，這僅對組織內(nèi)僅使用單因素身份驗證保護的其他系統(tǒng)和數(shù)據(jù)提供有限的保護。威脅參與者可能會尋求利用受保護程度較低的系統(tǒng)，然后移動到其他系統(tǒng)并繼續(xù)其惡意操作。

網(wǎng)絡(luò)分段也可能降低攻擊者在整個網(wǎng)絡(luò)中移動的能力，但依賴單因素身份驗證的賬戶仍然容易受到損害，并且是最薄弱的環(huán)節(jié)。

能做些什么?

規(guī)劃階段

戰(zhàn)略規(guī)劃

在所有系統(tǒng)、應(yīng)用程序和資源上實施 MFA 可能具有挑戰(zhàn)性且成本高昂。當單獨訪問時，每個都需要自己特定的方法來驗證用戶的身份(例如，必須頒發(fā)，管理和撤銷多個憑據(jù))。因此，通過采用組織范圍的方法并將解決方案作為企業(yè)服務(wù)實現(xiàn)，而不是嘗試為每個應(yīng)用程序?qū)崿F(xiàn)冗余、隔離的身份驗證解決方案，組織在實現(xiàn)身份驗證方面將最有效。

組織范圍的策略允許身份驗證策略和做法的標準化，包括頒發(fā)和管理必要的憑據(jù)，并降低每個應(yīng)用程序獲取或構(gòu)建自己的身份驗證解決方案的成本。組織應(yīng)檢查其現(xiàn)有功能，以確定他們是否已經(jīng)具有在整個組織中提供 MFA 的可行解決方案。例如，聯(lián)邦機構(gòu)為用戶提供了基于個人身份驗證(PIV) 的身份驗證。其用戶賬戶通過大型商業(yè)提供商進行管理的組織可能能夠利用其服務(wù)提供商已提供的 MFA 功能。當前沒有可用 MFA 功能的組織應(yīng)采購或設(shè)計 MFA 解決方案。

在決定 MFA 解決方案時，組織應(yīng)考慮以下事項。

• 用戶對網(wǎng)絡(luò)或系統(tǒng)的初始身份驗證
• 在用戶訪問其他系統(tǒng)、應(yīng)用程序或新的基礎(chǔ)架構(gòu)段時進行其他身份驗證
• 對外部托管資源的身份驗證
• 外部實體對內(nèi)部資源的身份驗證

組織決定使用企業(yè) MFA 解決方案后，可以通過單點登錄 (SSO) 和聯(lián)合身份驗證服務(wù)擴展身份驗證功能。SSO和聯(lián)合身份驗證可在組織、系統(tǒng)、應(yīng)用程序和資源之間安全地共享身份驗證和身份信息，而無需在每個系統(tǒng)上單獨實現(xiàn) MFA 功能。許多系統(tǒng)都配備了用于 SSO的連接器。SSO和聯(lián)合身份驗證通過將對資源的訪問控制權(quán)交到中央身份管理管理員手中來增強組織的安全性，這允許組織在用戶離開或賬戶受到威脅時快速、全面地撤銷對其所有資源的訪問權(quán)限。這些步驟簡化了標識生命周期的管理(包括頒發(fā)給用戶的各種憑據(jù))，并幫助確保在用戶離開時立即撤銷整個組織的訪問權(quán)限。

另一個好處是簡化了用戶體驗 - 用戶不再需要跟蹤數(shù)十個憑據(jù) - 同時將組織漏洞減少到用戶管理多個憑據(jù)的方式的弱點。

單點登錄

SSO 是一種身份驗證方法，其中用戶向集中式 SSO 解決方案進行身份驗證一次(通常使用組織選擇的強 MFA 身份驗證解決方案)。其他系統(tǒng)和應(yīng)用程序配置為信任 集中式 SSO 解決方案對用戶進行身份驗證，而無需進一步交互(請參見圖 3)。這減少了對多個系統(tǒng)和服務(wù)重復(fù)進行身份驗證的需要。最重要的是，當用戶通過 SSO 從其初始身份驗證移動到其他系統(tǒng)時，該用戶對初始系統(tǒng)的憑據(jù)不會與其他系統(tǒng)共享。用戶進行身份驗證后，SSO 解決方案將透明且安全地完成所有相關(guān)系統(tǒng)的過程，而無需進一步公開初始系統(tǒng)憑據(jù)。此外，每個應(yīng)用程序都不需要管理自己的身份憑據(jù)存儲，而是利用整個組織中的集中式存儲。

。

圖 3：通過 SSO 解決方案預(yù)配了具有訪問權(quán)限的中央組織范圍標識可跨內(nèi)部和外部資源保護 MFA 網(wǎng)絡(luò)登錄的安全性。

注意：某些 SSO 提供商可能仍會使用其他系統(tǒng)的用戶名/密碼向該系統(tǒng)進行身份驗證;組織應(yīng)確保在連接到資源的每個步驟中都使用強大的、非基于密碼的協(xié)議設(shè)置其 SSO 解決方案。存在將 SSO 功能合并到組織的基礎(chǔ)結(jié)構(gòu)中的多個技術(shù)選項。選擇 SSO 解決方案時，組織應(yīng)考慮單一注銷功能(在用戶注銷時終止所有打開的和活動的會話)，以最大程度地降低會話劫持的風(fēng)險。

聯(lián)合身份驗證

盡管聯(lián)合身份驗證本身并不是弱身份驗證的解決方案。它可以為改進身份驗證提供實質(zhì)性的間接支持。聯(lián)合身份驗證是指在管理自己的用戶、身份和身份驗證的多個組織之間建立受信任關(guān)系，以便接受彼此的用戶。組織應(yīng)僅與它們信任其身份審查和身份驗證過程的其他組織聯(lián)合。例如，兩個組織管理自己的用戶、標識和身份驗證，然后在其系統(tǒng)之間建立連接，以減少外部用戶使組織容易受到攻擊的弱身份驗證點。例如，假設(shè)Acme Anvil Co.和Coyote Missile Co.有一個重疊的任務(wù)，要求Acme Anvil與Coyote Missile共享信息，但每個組織已經(jīng)在自己的身份商店中管理其員工的身份。Acme Anvil 可以選擇與 Coyote Missiles 身份存儲建立信任關(guān)系，以授權(quán)訪問 Acme Anvil 系統(tǒng)，而不是使用資源對需要訪問信息的 Coyote Missile 員工執(zhí)行新的背景調(diào)查，而是選擇與 Coyote Missiles 身份存儲建立信任關(guān)系，因為 Coyote Missile 已經(jīng)對個人進行了背景調(diào)查并確定了他們的身份(見圖 4)。

圖 4：Acme Anvil 的用戶可以使用 MFA 安全地登錄到其公司工作站，并通過安全的聯(lián)合身份驗證訪問由其供應(yīng)商 Coyote Missile 托管的應(yīng)用程序，而無需登錄名或密碼。

因此，聯(lián)合身份驗證可以將組織的強身份驗證和 SSO 功能進一步擴展到其用戶訪問的受信任組織擁有的系統(tǒng)，反之亦然。需要與其他組織的用戶共享資源的組織可以使用受信任的聯(lián)合身份用戶標識，而無需復(fù)制這些用戶的身份證明或身份管理。如果沒有聯(lián)合身份驗證，則與其他組織共享的任何資源的身份驗證和身份存儲必須與其主身份存儲分開配置和管理，這會增加復(fù)雜性。

知道何時繼續(xù)前進

組織可以識別包含強身份驗證的資源，這些資源將被證明過于昂貴或技術(shù)復(fù)雜。如果發(fā)生這種情況，組織必須在以下兩者之間做出決定：

1)保持當前系統(tǒng)并實施補償控制以解決組織面臨的風(fēng)險;或

2) 遷移到新的現(xiàn)代化系統(tǒng)，允許與強身份驗證解決方案集成。組織應(yīng)權(quán)衡每個選項的成本和風(fēng)險。

注意：盡管超出了本文檔的范圍，但除了遷移到更新技術(shù)在做出決策時將提供的強身份驗證之外，組織還應(yīng)考慮性能和安全優(yōu)勢。

其他戰(zhàn)略考慮因素

特別是對于大型組織，有關(guān)約束性策略、職責(zé)和預(yù)算的非技術(shù)注意事項可能是相關(guān)的。如果信息系統(tǒng)不是由中央辦公室或首席信息官(CIO)管理和控制的，就有必要與擁有這些系統(tǒng)的不同辦公室進行更多的接觸和協(xié)調(diào)，以符合本組織的總體戰(zhàn)略。同樣，如果組織的信息技術(shù) (IT) 預(yù)算未集中管理，則組織可能需要考慮如何從組織的每個元素中恢復(fù)實現(xiàn)和操作強身份驗證、SSO 或聯(lián)合身份驗證組件的成本。

雖然自動系統(tǒng)到系統(tǒng)連接并不嚴格在本指南的范圍內(nèi)(并且 MFA 不是服務(wù)器憑據(jù)的選項)，但它們?nèi)匀煌ㄟ^提供“非個人賬戶”來訪問系統(tǒng)來打開攻擊途徑。如前所述，當任何形式的弱身份驗證與缺乏有效的網(wǎng)絡(luò)分段相結(jié)合時，可以進一步利用此弱點在網(wǎng)絡(luò)中移動，從而破壞在其他地方實現(xiàn)的強身份驗證的好處。組織可以通過使用強憑據(jù)(安全套接字層 [SSL] 證書)、加密通信以及特定于應(yīng)用程序或 IP 地址允許列表來保護這些連接，從而刪除此路徑，以便攻擊者繞過對系統(tǒng)的強用戶身份驗證。

戰(zhàn)術(shù)規(guī)劃

戰(zhàn)術(shù)規(guī)劃涉及發(fā)現(xiàn)當前狀態(tài)環(huán)境，確定待定狀態(tài)，并制定過渡計劃以執(zhí)行經(jīng)濟高效的方法遷移到目標狀態(tài)。

要解決弱身份驗證問題，必須 1) 了解“原樣”狀態(tài)，2) 可用功能，以及 3) 了解 實現(xiàn) 所需狀態(tài) 所需的內(nèi)容。 在規(guī)劃和進行這些企業(yè)改進工作時，必須避免分析癱瘓。尋求100%的知識或保證(完美)，無論是針對當前還是未來狀態(tài)，都會抑制基于可用(足夠好)信息的漸進式改進。

了解“按原樣”狀態(tài)

1.對當前應(yīng)用程序和系統(tǒng)進行編目。

2.確定有權(quán)訪問系統(tǒng)或應(yīng)用程序的用戶和用戶組，包括與您共享數(shù)據(jù)的合作伙伴和外部利益干系人。

3.對與合作伙伴共享的數(shù)據(jù)的性質(zhì)進行編目，因為保護敏感數(shù)據(jù)的需求可能會影響協(xié)議和體系結(jié)構(gòu)方面的考慮。在交換敏感數(shù)據(jù)的情況下，可能需要有關(guān)用戶的更詳細信息才能強制實施最小特權(quán)訪問。對于敏感數(shù)據(jù)只是系統(tǒng)中數(shù)據(jù)的子集的系統(tǒng)尤其如此(并且組織不希望在非敏感數(shù)據(jù)上產(chǎn)生額外安全性的財務(wù)或效率成本)。

4.確定每個用戶對每個應(yīng)用程序或系統(tǒng)的身份驗證方法。

5.標識每個系統(tǒng)或應(yīng)用程序支持的身份驗證協(xié)議。

6.確定體系結(jié)構(gòu)的支持元素(例如也需要保護的自動系統(tǒng)到系統(tǒng)連接)，以確保輔助元素的配置不會引入漏洞。

確定當前功能

1.確定組織內(nèi)現(xiàn)有的 MFA 功能，例如 PIV 卡身份驗證。

2.評估用于執(zhí)行加強身份驗證的計劃的購置或預(yù)算選項，并結(jié)合與廣泛采用強身份驗證的策略相一致的成本回收策略。

3.確定可提供 MFA 功能的應(yīng)用程序的現(xiàn)有資產(chǎn)或許可證。

4.評估要與強身份驗證解決方案集成的系統(tǒng)或應(yīng)用程序的許可協(xié)議。支持強身份驗證方法或強

SSO/聯(lián)合協(xié)議可能需要額外的許可證或來自應(yīng)用程序的不同類型的許可證才能得到保護;這些許可證與強身份驗證解決方案或SSO/聯(lián)合解決方案本身的成本是分開的。了解端到端的實施成本將為總體擁有成本提供信息，并支持有關(guān)經(jīng)濟高效的風(fēng)險管理的決策。

5.確定具有實施 MFA 功能經(jīng)驗的當前人員。

了解“未來”狀態(tài)

1.選擇最適合您的環(huán)境和法規(guī)要求的強身份驗證解決方案(例如，某些身份驗證解決方案可能適用于本地體系結(jié)構(gòu)，但可能不適用于云體系結(jié)構(gòu))。

2.定義用戶將如何對網(wǎng)絡(luò)、每個后續(xù)系統(tǒng)和應(yīng)用程序以及外部托管資源進行身份驗證;定義外部用戶如何向內(nèi)部資源進行身份驗證。

3.確定哪些系統(tǒng)和應(yīng)用程序?qū)⒓傻?SSO 解決方案中。

4.確定要與哪些組織建立受信任的聯(lián)合身份驗證。

5.為具有不同身份驗證強度的系統(tǒng)設(shè)置邊界，并確保來自較弱身份驗證系統(tǒng)或用戶的連接不允許對受較強身份驗證保護的系統(tǒng)進行弱身份驗證訪問。注意從安全性較低的環(huán)境到更安全環(huán)境中的系統(tǒng)跨越邊界的系統(tǒng)到系統(tǒng)之間的連接。

6.在完全部署計劃的強身份驗證解決方案時設(shè)計目標體系結(jié)構(gòu)。包括 身份驗證解決方案將支持其他組織安全做法(如網(wǎng)絡(luò)分段)的位置。

過渡計劃

1.制定過渡計劃和計劃，從“原樣”狀態(tài)到定義的“準” 狀態(tài)。

a.使用風(fēng)險管理策略確定用戶和應(yīng)用程序的優(yōu)先級，以便將其載入解決方案。

b.在系統(tǒng)或應(yīng)用程序中具有提升權(quán)限的用戶對于載入最為關(guān)鍵，那些對交付業(yè)務(wù)任務(wù)、核心組織功能或包含敏感數(shù)據(jù)至關(guān)重要的系統(tǒng)或應(yīng)用程序也是如此。

c.確定組織最關(guān)鍵的系統(tǒng)和資產(chǎn)的優(yōu)先級，這些系統(tǒng)和資產(chǎn)具有最弱的身份驗證。

2.如果要使用與其他組織的受信任聯(lián)合身份驗證，請確定如何在不對其當前訪問產(chǎn)生負面影響的情況下轉(zhuǎn)換這些用戶 。

3.針對代表性系統(tǒng)測試遷移計劃 。

執(zhí)行階段

在此階段，您的組織使用在規(guī)劃階段獲得的項目執(zhí)行強身份驗證。在執(zhí)行過程中，時間表和其他工件可能需要根據(jù)“地面條件”和經(jīng)驗教訓(xùn)進行調(diào)整。因此，正在考慮的調(diào)整應(yīng)經(jīng)歷與規(guī)劃階段對工件相同的嚴格程度。下面的名義時間表可以根據(jù)工作的規(guī)模和范圍進行調(diào)整。

短期行動

1.根據(jù)組織的體系結(jié)構(gòu)分析和風(fēng)險管理確定來采購或設(shè)計強身份驗證解決方案。

2.獲取實施規(guī)劃階段定義的過渡計劃所需的硬件、軟件和許可證(包括 SSO 解決方案)。

3.從集中式身份治理管理點識別和編目用于管理用戶的業(yè)務(wù)流程。

4.開始為 組織的特權(quán)用戶 及其轉(zhuǎn)換計劃中定義的最高價值系統(tǒng)和資產(chǎn)實施強身份驗證。

5.將 評估 系統(tǒng)身份驗證與組織解決方案兼容性的標準 納入組織對擬議收購或新系統(tǒng)的審查中。

中期行動

1.繼續(xù)將系統(tǒng)遷移到強身份驗證系統(tǒng)。

2.利用強身份驗證解決方案的初始實現(xiàn)連接到 SSO 解決方案。

3.將身份驗證從現(xiàn)有系統(tǒng)和應(yīng)用程序轉(zhuǎn)換到 SSO 解決方案。

4.在采購新購置或建議的系統(tǒng)之前，評估這些系統(tǒng)，以確定與組織的強身份驗證解決方案的兼容性。

長期行動

1.繼續(xù)將系統(tǒng)遷移到強身份驗證系統(tǒng)。

2.與其他組織建立聯(lián)合身份驗證的信任關(guān)系。

3.載入非個人實體，如服務(wù)賬戶。

4. 通過定期審查和更新 需求、策略和參考體系結(jié)構(gòu)，實現(xiàn)持續(xù)改進。

總結(jié)

通過 MFA 進行強身份驗證是一項關(guān)鍵且有時成本高昂的投資，但應(yīng)跨所有網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用程序和資源實施，以充分保護組織。因此，建議采用組織范圍的方法。在整個組織中擴展 MFA 功能的一種方法是通過 SSO 解決方案。除了為組織的資源提供更好的安全性之外，SSO 解決方案還改善了用戶體驗，因為它消除了記住密碼或管理每個系統(tǒng)和應(yīng)用程序的多個憑據(jù)(如 RSA 令牌)的需要。在企業(yè)級別實現(xiàn)的 SSO 解決方案還可以消除系統(tǒng)所有者花費資源來管理自己的身份驗證解決方案的需要。SSO 解決方案就位后，組織可以通過與其他組織聯(lián)合身份驗證來進一步擴展強大的身份驗證功能。通過將這些概念和其他戰(zhàn)略考慮因素納入對其“原樣”狀態(tài)的評估中，組織可以定義他們想要的“未來”狀態(tài)，并制定實現(xiàn)目標的計劃。