密码或许是最常用的安全措施,但在今天的 IT 环境中却难以应付新的安全风险。近年来的安全漏洞表明,单靠密码并不足以抵御网络攻击。事实上,由密码窃取引发的凭证泄露已经成为企业最核心的安全威胁之一。为了保证企业账户安全和登录安全,IT 管理员往往选择为 Windows 系统登录实施双因子认证(MFA)工具。
1. 什么是双因子认证?
双因子身份认证,也称为双因素身份认证,它要求用户提供除用户名、密码之外的附加因素,以增强身份认证过程的安全性。目前常见的验证因素类型包括基于时间的动态令牌 (TOTP)、硬件令牌或生物识别(面部/指纹/虹膜)。
换句话说,双因子身份认证要求终端用户提供个人知道的信息(凭证/密码)、个人拥有的信息(TOTP/令牌)或个人的生物特征,作为身份认证依据。这样一来,在缺少其他因素的情况下,即便用户密码或凭证遭到泄露,黑客也很难利用泄露的信息进行攻击。
2. 为什么要为 Windows 系统部署双因子认证(MFA)?
为什么密码会成为攻击的主要目标呢?2019年,国外安全新闻媒体 welivesecurity 发现,“12345”和“password”是当年最常用密码的其中两个。此外,61%的用户会在不同平台中重复使用这类简单密码。基于这两个发现,密码成为首选的攻击媒介也就不足为奇了。
而密码也不是黑客唯一的目标。另一项研究表明用户系统是网络攻击的第二大目标。 在当前的 IT 环境中,Mac 和 Linux 系统虽然在企业中不断普及,Windows 仍然是最常见的操作系统。结合上述两大攻击目标的背景,可以肯定的是 Windows 系统密码非常容易遭到攻击。 如果黑客破解了 Windows 系统,密码就不能作为系统的唯一保护来源。所以管理员通过双因子身份认证为 Windows 系统添加了更严谨的安全层,确保受损系统不会成为入侵企业资源的缺口,再结合全盘加密,受损系统就不会造成太大损失。
3. 为什么选择双因子认证(MFA)?
但在众多安全措施中,为什么选择双因子身份认证?网络安全界认为双因子认证是防止攻击最有效的方法之一。赛门铁克的一项研究报告称,近年来80%的安全漏洞可以通过双因子身份认证阻止。但只有26.5%的企业实施了该方案,说明世界上大部分企业都面临着不法分子利用泄露凭证攻击的风险。 届时,实施双因子身份认证后,即便黑客窃取了用户凭证,也很难进行到入侵网络的最后一步。毕竟,获得终端用户的手机令牌、物理令牌、指纹等其他验证因素比窃取密码要困难得多。
关于双因子身份认证的有效性,谷歌安全博客认为基于设备(你拥有的)的双因子身份认证在保护一组特定凭据免受攻击方面非常有效,而基于知识(你知道的)的双因子身份认证在大多数情况下虽然实现效果有所差异,但依然证明是安全有效的。
因此,对于希望保护 Windows 系统的企业,双因子身份认证(尤其是基于设备的双因子认证)是理想的安全措施。而在确定实施之后,新的问题也随之而来:如何将双因子身份认证集成到 Windows 系统中?
4. 如何将双因子认证(MFA)集成到 Windows 系统?
双因子身份认证与 Windows 系统有多种集成方案。只是在 Windows 环境中,通过 Active Directory 对双因子认证进行分层并不容易。在考虑为 Windows 部署双因子身份认证时,管理员还需要确定除了用户凭证之外还必须保护哪些 IT 资源。
首先是系统,除了 Windows 外, macOS 和 Linux 系统也正成为企业的标准选择,也应该通过双因子身份认证加强保护。在系统之外,管理员还应该关注应用程序的访问和网络连接,比如为 VPN 添加双因子身份认证 MFA。此外,管理员应该强制执行锁屏和全盘加密等其他关键的安全策略,最好从云服务器集中执行,从而支持远程访问。
不过,新一代基于云的身份和访问管理方案——身份目录即服务(DaaS)提供了跨 Windows、Mac 和 Linux 多类型终端、VPN/云桌面/堡垒机登录以及应用程序和网络的双因子身份认证,并内置了安全策略管理。基于云的双因子认证(云MFA)使企业 IT 管理员减少复杂配置,实现统一管理,极大提升了 IT 资源的安全性与运维效率。