企业信息系统通常是通过用户名或密码来进行身份验证,但如果仅使用这种方式,其实安全隐患很大,很容易被冒用身份,导致系统被攻击。因此我们需要采取不止一种措施来确保只有合法用户才能访问企业的应用程序和服务,同时还能保护机密、个人身份信息等敏感数据。
强身份验证是指,任何验证用户或设备身份的方法,它比一般的身份认证更加严格,可以抵御可能遇到的任何攻击。其中,强身份验证必须包括至少两个相互独立的因素,这些因素是:
在 IAM 策略中,强大的身份验证方法(如 MFA 和现代身份验证)正在迅速取代密码等传统方法,成为 IT 和安全团队执行访问控制和获取访问事件可见性的新标准,尤其是在工作负载迁移到云时、虚拟机以及跨远程和混合环境。
IAM(Identity and Access Management ),即“身份识别与访问管理”,具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。
它是一套全面建立和维护数字身份,并提供有效、安全的IT资源访问的业务流程和管理手段,从而实现组织信息资产统一的身份认证、授权和身份数据集中管理与审计。
强身份验证是现代身份和访问管理的关键组成部分,它不仅围绕入口点提供额外的安全层,而且允许在整个环境中进行可定制级别的身份验证、授权和访问控制,并只为用户提供他们需要的权限(和登录要求)。
多因素身份验证(MAF)
防止由弱密码造成的危害
一旦使用了 MFA,仅凭密码将不足以被授予访问权限,因此凭证填充和暴力攻击也会变得毫无用处。
减少网络钓鱼和其他社会工程计划的身份盗用。
即使员工确实点击了网站钓鱼的电子邮件,并输入了一些凭证,但只要接入点需要 MFA(尤其是使用令牌化、生物识别或基于位置的条目),就不足以让黑客登入系统。
保持在合规范围内
例如在OMB 零信任网络安全备忘录和欧盟网络安全机构 (ENISA) 以及 CERT-EU指南,文件都要求在企业中使用 MFA。
强身份验证中使用MFA 方法有:
FIDO 安全密钥
基于证书的智能卡和基于证书的 USB 令牌
基于手机和软件的身份验证
一次性密码 (OTP) 身份验证器
基于模式(或网格)的身份验证器
混合代币
现代身份验证
现代身份验证依赖诸如 FIDO 和 Webauthn 、上下文身份验证和现代联合协议等技术,这些技术可确保云环境中正确的用户身份和访问控制。这也就意味着企业可以为云应用程序实施更有效的访问安全,为本地和遗留的应用程序实施现有的访问控制。灵活的基于策略的访问可实现友好的体验,同时为需要访问的角色或资源保持高级别的安全性。
在选择身份验证服务时,无论是在本地还是在云中,要考虑的功能包括:
为了优化用户体验,同时保持特定用户和应用程序的最佳访问安全性,可以通过策略和风险评分强制执行一系列身份验证方法的解决方案。
数据显示,网络钓鱼约占所有数据泄露事件的四分之一。使用 FIDO2 的强大身份验证解决方案既可以安全地进行身份验证,又可以防止攻击。
在提高安全性而不妨碍用户的便利性。所涉及的方法是否会造成安全疲劳,或者保护多次使用的身份验证过程是否简单?
企业可根据角色或资产分配不同的访问控制、上下文、环境或用例。
最后,企业需要确保强大的身份验证提供商支持所在行业的身份和访问法规,并与企业当前的身份环境顺利集成,灵活部署并在过渡时保持平衡。为了保持基于风险的身份验证状态,IAM 解决方案必须随着数字化需求的增加而不断发展。
当一把锁和一把钥匙不再足以保护当今的虚拟机、远程环境和基于云的数字资产时,我们必须采用访问管理和强大的身份验证方法。
01威胁增长超200% | 企业如何保护API安全?02物联网安全 | 警惕!企业易忽略的安全漏洞之一03数据安全 | 大数据时代,如何有效预防数据泄露?04数据安全 | 躲在暗处的黑客如何窃取你的信用卡