我们大多数人都同意密码是不安全的身份验证形式这一观点,更糟糕的是,它完全不智能。但这引发了一个问题:如果密码不是解决安全问题的答案,那什么是?目前,答案可能是多因素身份验证(MFA)。
多因素身份验证增加了一层关键的防御
MFA使用两个或多个因素的任意组合来验证身份并保护重要资产免受欺诈性访问。到目前为止,我们都使用了双因素身份验证(2FA)在线授权登录,方法是将密码与发送到移动设备的SMS代码结合起来。如果有一个因素受到影响,系统仍然是安全的。
可以使用三种因素来确认身份:
- 您所拥有的东西—比如银行卡,钥匙或U盘。
- 您所知道的东西—比如密码或PIN。
- 您本身就是生物识别因素—比如指纹,语音,虹膜扫描和其他物理特征。
如何组合这些因素并使用它们来验证身份的标准取决于实现这些因素的实体。在某些行业中,MFA甚至需要满足合规性要求。例如,第三方支付行业数据安全标准(PCI DSS)在特定情况下要求MFA进行身份和访问管理,远程访问来自网络外部的持卡人数据环境或受信任网络内部对数据环境进行管理员访问。
上下文是无缝化员工访问管理的关键
越来越多的组织正在为满足每个应用程序和IT系统的需要考虑使用MFA,但这几乎是很复杂的。如果员工每次要访问应用程序时都必须等待短信验证码,那用户购买量将很低。一种更有效的保护企业安全的方法是尽可能减少用户负担,并根据敏感度和折衷风险对真正需要2FA的应用程序进行优先级排序。
即使在MFA得到保证的情况下,基于非侵入式风险或上下文的身份验证也可以使用户免于受挫。非侵入式身份验证因素包括设备指纹,地理位置,IP和设备信誉以及移动网络运营商数据。某些威胁情报平台,例如IBM X-Force Exchange,已经向第三方应用程序和解决方案提供了这些信息。
这些因素为交易的用户和设备添加了上下文,并有助于量化每个操作的风险级别。如果风险太大,则需要其他身份验证。例如,如果纽约的用户通过其桌面登录到公司网络,则可能不需要MFA。但是如果香港用户尝试使用无法识别的设备通过未知网络访问应用,那肯定要添加身份验证措施。
此外,与欺诈检测技术和统一端点管理(UEM)工具集成的平台有助于减少对用户驱动的MFA的需求,并提供有关用户风险级别的有用上下文,以确定是否需要额外的身份验证层。此类平台使企业能够管理和保护员工移动时的所有连接方式,例如智能手机,笔记本电脑,可穿戴设备,甚至是物联网(IoT)设备。开放平台还使现有应用程序和基础架构的集成变得简单。
消费者的安全性与便利性之间的平衡正在发生变化
MFA对员工来说可能很好,他们可以选择使用组织允许的任何身份验证机制。但是消费者呢?传统上,公司一直在权衡安全性和便利性,总是出于担心客户会采取额外措施来保护个人数据的考虑而始终强调后者。
但是,这种传统的看法已经不正确了,因为我们看到了越来越多的普通人群对多因素身份验证的接受度和熟悉度的提高。实际上,正如“ 2018年IBM未来身份研究 ”所显示的那样,消费者对MFA越来越熟悉和接受,特别是在涉及金钱的应用程序和社交媒体方面。根据年龄段的不同,首选的MFA类型也会有所不同,年轻一代更能接受移动设备技术和生物识别方法或token,而不是密码。
公司可能会发现最佳的解决方案是为用户提供各种身份验证方式,无论是一次性密码还是指纹读取器。基于风险的方法类似于针对员工的方法,也可用于针对消费者的访问场景。随着来自异常活动的潜在危害增加,所需的认证因素数量也将增加。
MFA解决方案必须与外部因素保持同步
随着漏洞的出现,技术的发展以及最主要的参与者越来越多地来自千禧一代(是指出生于20世纪时未成年,在跨入21世纪以后达到成年年龄的一代人)和Z世代(是指在1995-2009年间出生的人,又称网络世代、互联网世代,统指受到互联网、即时通讯、短讯、MP3、智能手机和平板电脑等科技产物影响很大的一代人)人群,MFA的方法正在不断变化。新的MFA方法必须用有趣的高科技可能性来取代繁琐的登录。明智的公司将通过利用云平台保持灵活性和适应性,云平台将以最新的方式进行更新。
此外,选择MFA策略可以被视为处理数据驱动的实验,负责安全的领导应该关注那些允许他们监视其身份验证方法成功率的平台。您今天实施的方法和政策不会也不应该是永久性的。持续收集数据将帮助您设计多因素身份验证策略,从而为您的员工,客户和组织提供最佳的安全性,便利性和先进性。
文章来源: https://securityintelligence.com/posts/beyond-2fa-secure-your-critical-assets-with-risk-based-multifactor-authentication/