【TechTarget中国原创】正如法规遵从可以促进身份识别与访问管理(IAM)套件的增长,它也已经促进了多因素认证的发展。
更明确地说,美国联邦金融机构审查委员会(FFIEC)做出指示,号召在网络银行交易时使用多因素认证技术,诸如此类的规则促使人们对多因素认证技术产生兴趣。物理安全和逻辑安全的结合趋势越来越强,这也使得多因素认证从中受益。因为这种结合有赖于多因素认证产品实现传统密码与诸如智能卡和生物识别之类的新技术之间的结合使用。
因此,毫无疑问,随着多因素认证的发展,它已经成为IAM套件所提供技术中日益重要的一部分。
但是,作为IAM套件的一部分,多因素认证是否可以有效地工作呢?多因素认证是否可以遵照其承诺,提供更多的安全呢?还是它对于用户而言,只是又一件麻烦事儿呢?IAM套件是否在多因素技术中添加了一些新的技术,还是和原来一样?将多因素认证结合到IAM套件中的最佳方式有哪些?在本文中,TechTasarget中国的特约专家将对这些问题进行探讨。
定义多因素认证
首先,我们简单地对多因素认证下个定义。共有三个认证因素:你所了解的东西,你所拥有的东西,另外就是你。你所了解的是指你记住的共有秘密:比如用户ID和密码;你拥有的是指设备:比如智能卡或者一次性密码(OTP)令牌;一些是你的东西是指物理特征:比如指纹、面部特征或者语音识别。
多因素认证将上述两种或者更多种因素结合起来,创建纵深防御。如果一种因素失败或者被攻破的话,攻击者在成功进入目标系统之前,仍然需要至少攻破一道或者更多的障碍。
一些人已经声称:多因素认证是一个麻烦,用户使用起来很困难,并不能提供更多的安全性,因为智能卡可以被攻击和OPT令牌能被中间人(MITM)攻破。然而,基本上,多因素认证系统已经证明可以成功地为访问管理系统和破坏的安全性辩论。尽管媒体可能夸大了,但比较而言,多因素认证仍然比较罕见。
IAM套件中多因素认证需要考虑的事项
IAM套件以访问管理组分附加软件的形式,提供了多因素认证功能。作为独立的组分,它们并不独立运行,并且尽管最近IAM部门做了巩固,但独立的多因素认证厂商仍然没有确定的目标。
因此,购买IAM套件时,应该考虑已经——或者将要——与套件的准入管理功能结合的多因素认证性能。切记,多因素认证对于IAM套件而言是一种补救。它是一个附加软件,并非一个标准的功能,并且不一定必须包含在厂商的基本包装中。更重要的是,应当考虑访问管理块的效能和灵活度。如果它可以适应多因素认证,那么它很容易就可以与其它套件配合使用。如果访问管理块本身就是薄弱环节,那么不要寄希望于通过加上多因素认证便可以使其更好地运行。
幸运的是,随着多因素认证需求的增加,IAM套件已经得到发展,通过采用数字身份数据巩固多因素认证技术,进而更新身份形态,以及更新登录画面来适应物理设备。
虽然一些安全专家对多因素认证是否真的可以加强安全性表示质疑——他们说它不够完美,可以像任何其它认证系统一样被攻破——它的确为IAM套件增强了额外的安全保护层。使用多因素认证可以使IAM套件得到更好的保护,这些得到保护的IAM套件有什么不同呢?在大多数情况下,甚至当远程办公室与系统连接时,IAM套件在的防火墙后面深处与公司网络内部。用户群是雇员,公司使用访问控件控制他们;用户群并非客户,公司很少或者几乎不能控制他们的安全。厂商和合作伙伴可能通过IAM套件访问公司网络,即使是这些外部用户,在加为合法用户之前仍然需要进行审核。此外,仍然要求那些外部用户使用多因素认证。
多因素认证对用户而言是否是一个麻烦,更多地取决于它是如何推出、配置和实施的,而不是它在套件中的功能。由于企业的IAM套件配置是一项主要的任务,并且需要协调进行。相同的分阶段配置规则也适用于IAM的附件,比如多因素认证,因此,在企业范围内配置之前,所有的错误和缺点都可以得到解决。
由于多因素认证是作为一种选择而不是一种功能添加到IAM套件中的,IAM套件并没有为多因素技术添加任何新技术。多因素技术的发展与IAM套件无关。
多因素认证的最佳方式
作为一种最佳方式,在分析多因素认证之前,要对要求访问的系统进行一次彻底的风险分析。由于硬件和推行多因素系统需要较高的费用,因此它们应当仅用于保护高风险数据或者交易。
选择使用哪个多因素设备应当由公司的业务需要决定。智能卡是最容易启动和安装的设备之一,并且如果需要的话,可以扩展为集物理与逻辑于一身的访问。生物识别,起初仅用于确保物理访问设备和高风险资金转移的安全,而现在是一种标准的功能,甚至在一些笔记本电脑上都有。但是,再一次说明,它并不是所有访问管理系统的标准功能,因此,首先要确保它是您安全套件的一部分。
IAM套件的方便性之一就是它们可以随着组织的发展而改变比例,要么从内部要么通过定位进行衡量。检查你所选择的多因素系统是否仍然可以进行串联衡量,进而确保它适用于你的套件。