我們大多數人都同意密碼是不安全的身份驗證形式這一觀點,更糟糕的是,它完全不智能。但這引發了一個問題:如果密碼不是解決安全問題的答案,那什麼是?目前,答案可能是多因素身份驗證(MFA)。
多因素身份驗證增加了一層關鍵的防禦
MFA使用兩個或多個因素的任意組合來驗證身份并保護重要資産免受欺詐性通路。到目前為止,我們都使用了雙因素身份驗證(2FA)線上授權登入,方法是将密碼與發送到移動裝置的SMS代碼結合起來。如果有一個因素受到影響,系統仍然是安全的。
可以使用三種因素來确認身份:
- 您所擁有的東西—比如銀行卡,鑰匙或U盤。
- 您所知道的東西—比如密碼或PIN。
- 您本身就是生物識别因素—比如指紋,語音,虹膜掃描和其他實體特征。
如何組合這些因素并使用它們來驗證身份的标準取決于實作這些因素的實體。在某些行業中,MFA甚至需要滿足合規性要求。例如,第三方支付行業資料安全标準(PCI DSS)在特定情況下要求MFA進行身份和通路管理,遠端通路來自網絡外部的持卡人資料環境或受信任網絡内部對資料環境進行管理者通路。
上下文是無縫化員工通路管理的關鍵
越來越多的組織正在為滿足每個應用程式和IT系統的需要考慮使用MFA,但這幾乎是很複雜的。如果員工每次要通路應用程式時都必須等待短信驗證碼,那使用者購買量将很低。一種更有效的保護企業安全的方法是盡可能減少使用者負擔,并根據敏感度和折衷風險對真正需要2FA的應用程式進行優先級排序。
即使在MFA得到保證的情況下,基于非侵入式風險或上下文的身份驗證也可以使使用者免于受挫。非侵入式身份驗證因素包括裝置指紋,地理位置,IP和裝置信譽以及移動網絡營運商資料。某些威脅情報平台,例如IBM X-Force Exchange,已經向第三方應用程式和解決方案提供了這些資訊。
這些因素為交易的使用者和裝置添加了上下文,并有助于量化每個操作的風險級别。如果風險太大,則需要其他身份驗證。例如,如果紐約的使用者通過其桌面登入到公司網絡,則可能不需要MFA。但是如果香港使用者嘗試使用無法識别的裝置通過未知網絡通路應用,那肯定要添加身份驗證措施。
此外,與欺詐檢測技術和統一端點管理(UEM)工具內建的平台有助于減少對使用者驅動的MFA的需求,并提供有關使用者風險級别的有用上下文,以确定是否需要額外的身份驗證層。此類平台使企業能夠管理和保護員工移動時的所有連接配接方式,例如智能手機,筆記本電腦,可穿戴裝置,甚至是物聯網(IoT)裝置。開放平台還使現有應用程式和基礎架構的內建變得簡單。
消費者的安全性與便利性之間的平衡正在發生變化
MFA對員工來說可能很好,他們可以選擇使用組織允許的任何身份驗證機制。但是消費者呢?傳統上,公司一直在權衡安全性和便利性,總是出于擔心客戶會采取額外措施來保護個人資料的考慮而始終強調後者。
但是,這種傳統的看法已經不正确了,因為我們看到了越來越多的普通人群對多因素身份驗證的接受度和熟悉度的提高。實際上,正如“ 2018年IBM未來身份研究 ”所顯示的那樣,消費者對MFA越來越熟悉和接受,特别是在涉及金錢的應用程式和社交媒體方面。根據年齡段的不同,首選的MFA類型也會有所不同,年輕一代更能接受移動裝置技術和生物識别方法或token,而不是密碼。
公司可能會發現最佳的解決方案是為使用者提供各種身份驗證方式,無論是一次性密碼還是指紋讀取器。基于風險的方法類似于針對員工的方法,也可用于針對消費者的通路場景。随着來自異常活動的潛在危害增加,所需的認證因素數量也将增加。
MFA解決方案必須與外部因素保持同步
随着漏洞的出現,技術的發展以及最主要的參與者越來越多地來自千禧一代(是指出生于20世紀時未成年,在跨入21世紀以後達到成年年齡的一代人)和Z世代(是指在1995-2009年間出生的人,又稱網絡世代、網際網路世代,統指受到網際網路、即時通訊、短訊、MP3、智能手機和平闆電腦等科技産物影響很大的一代人)人群,MFA的方法正在不斷變化。新的MFA方法必須用有趣的高科技可能性來取代繁瑣的登入。明智的公司将通過利用雲平台保持靈活性和适應性,雲平台将以最新的方式進行更新。
此外,選擇MFA政策可以被視為處理資料驅動的實驗,負責安全的上司應該關注那些允許他們監視其身份驗證方法成功率的平台。您今天實施的方法和政策不會也不應該是永久性的。持續收集資料将幫助您設計多因素身份驗證政策,進而為您的員工,客戶群組織提供最佳的安全性,便利性和先進性。
文章來源: https://securityintelligence.com/posts/beyond-2fa-secure-your-critical-assets-with-risk-based-multifactor-authentication/