安全問題不斷，身份驗證引發(fā)熱議

RSA的安全泄漏事故，比之前向客戶公布的情況還要更嚴(yán)重，這次事故，4000萬個RSA Secur ID令牌必須更換。這次事故也引發(fā)了對雙因素身份驗證的廣泛討論。供應(yīng)商們開始向RSA客戶提供有競爭力的產(chǎn)品，企業(yè)也正在決定是否應(yīng)該繼續(xù)選擇RSA的解決方案。

現(xiàn)在市面上存在很多類型的雙因素身份驗證解決方案。最常見的部署是每隔60秒顯示任意號碼的物理令牌，例如RSA Secur ID。其他類型還包括用戶或者設(shè)備證書，通過短信驗證的身份驗證，以及圖像驗證，這主要是由一些金融機(jī)構(gòu)在使用。

每個企業(yè)的雙因素身份驗證部署都有所不同。有些企業(yè)只為遠(yuǎn)程訪問使用雙因素身份驗證，而一些政府企業(yè)則在桌面也使用雙因素解決方案。對于大部分企業(yè)而言，有一些關(guān)鍵區(qū)域必須使用雙因素解決方案，而有些區(qū)域則沒有必要使用。

很少有人會反對遠(yuǎn)程訪問應(yīng)該使用某種形式的雙因素身份驗證的觀點(diǎn)，然而，對于部署的方式則存在很多異議。有些企業(yè)通過證書、用戶名和密碼來驗證遠(yuǎn)程用戶的身份。在這種情況下，用戶名和密碼可能僅用于遠(yuǎn)程訪問，與證書相關(guān)聯(lián)，或者某種專用于外部訪問的驗證系統(tǒng)關(guān)聯(lián)。

在其他情況下，用戶名和密碼就是Active Directory或其他集中的身份驗證系統(tǒng)。擴(kuò)展內(nèi)部身份驗證憑證到網(wǎng)絡(luò)邊緣并不是理想的方法，但是這種方法卻變得越來越普遍，這是因為企業(yè)需要支持越來越多新型移動設(shè)備，而這些設(shè)備并不支持證書，因此需要一種方式將身份驗證綁定到他們的中央賬戶數(shù)據(jù)庫，或者努力降低成本和精力。無論哪種方式，在這種用戶必須使用訪問內(nèi)部資源的賬戶來進(jìn)行外部身份驗證的情況下，必須采取一些步驟來保護(hù)這種賬戶。

第一個也是經(jīng)常被忽視的因素就是確保賬戶不能被暴力破解，也就是通過將用戶名和密碼身份驗證放在證書驗證前。開包即用(out-of-the-box)的遠(yuǎn)程訪問解決方案是一款支持多種形式身份驗證的遠(yuǎn)程訪問解決方案，包括包含LDAP的雙因素驗證。

不幸的是，供應(yīng)商將LDAP驗證放在雙因素身份驗證之前，從而創(chuàng)造了一個賬號可能被暴力破解或者鎖定的機(jī)會。通過將雙因素驗證放在第一步，能夠從根本上消除隨機(jī)暴力破解賬戶的風(fēng)險。

有些企業(yè)將雙因素身份驗證擴(kuò)展到密鑰系統(tǒng)和應(yīng)用程序。這樣做肯定會提高系統(tǒng)的驗證安全，但是這可能增加用戶的負(fù)擔(dān)或破壞其他功能。要求自動化操作來登錄的系統(tǒng)或應(yīng)用程序可能會被攻破，必須配置為允許這些賬戶使用密鑰或密碼登錄。

為你的雙因素身份驗證建立了這個后門的話，任何知道如何通過這些賬戶進(jìn)行身份驗證的人都可以進(jìn)入，可能并不是惡意進(jìn)入，只是涂個方便。所以企業(yè)應(yīng)該通過IP規(guī)則、密鑰身份驗證、監(jiān)控等方法來緩解這個問題。

任何要求客戶端軟件裝在軟令牌、USB或訪問卡的雙因素身份驗證都增加了管理這種解決方案需要的支持。所有供應(yīng)商都會說他們的解決方案具有非常低的支持要求，但是低并不等于沒有要求，而且可能現(xiàn)在是低要求，以后就變成高要求，因為操作系統(tǒng)升級或者配置更改等問題。

根據(jù)風(fēng)險、成本和負(fù)擔(dān)等問題，在必要的系統(tǒng)和應(yīng)用程序上使用雙因素驗證。

項目時間跟蹤應(yīng)用程序中的登錄時間可能不需要雙因素身份驗證，但是訪問敏感系統(tǒng)就需要。在具有相同重要性和安全需求的系統(tǒng)的情況下，可能沒必要直接在眾多系統(tǒng)部署雙因素身份驗證，可以將網(wǎng)絡(luò)進(jìn)行分隔，將這些設(shè)備放置驗證點(diǎn)后，例如內(nèi)部SSLVPN網(wǎng)關(guān)，在這里雙因素驗證被用來獲取到網(wǎng)絡(luò)分割區(qū)的訪問，然后是標(biāo)準(zhǔn)驗證。

另外，內(nèi)部系統(tǒng)和應(yīng)用程序使用的雙因素身份驗證可能與外部驗證有所不同。很多企業(yè)使用密鑰來驗證系統(tǒng)服務(wù)，例如SSH。密鑰加密碼屬于一種雙因素驗證形式，這種形式是可以接受的，而不是整合SecurID或者其他雙因素身份驗證到每個系統(tǒng)以進(jìn)行SSH訪問，這需要更高的支持成本，并需要驗證到外部服務(wù)器。

雙因素身份驗證產(chǎn)品選擇越來越多，各自有各自的優(yōu)缺點(diǎn)。了解企業(yè)的需要、風(fēng)險和支持能力，對比所有解決方案，選擇最適合企業(yè)的解決方案。范圍和部署細(xì)節(jié)是確保正常工作和安全安裝的重要因素。

雙因素身份驗證的相關(guān)內(nèi)容就與大家分享完了，不要認(rèn)為任何開包即用(out-of-the-box)的解決方案是最好最安全的，但請記住，你必須使用這些解決方案，確保解決方案適合你的用戶，同時提供你需要的安全性。

【編輯推薦】

1. 一種可信身份驗證技術(shù)
2. 從身份驗證角度談云服務(wù)
3. 打造更安全身份驗證系統(tǒng)
4. 身份驗證管理的交付方式
5. 調(diào)查發(fā)現(xiàn)：用戶重新評價雙因素身份驗證選項