八種優(yōu)秀多因素身份驗(yàn)證產(chǎn)品以及如何選擇解決方案
人們需要了解選擇多因素身份驗(yàn)證解決方案時(shí)的關(guān)鍵考慮因素以及采用這些解決方案的原因。
如今的基于憑證的網(wǎng)絡(luò)攻擊要復(fù)雜得多。無(wú)論是網(wǎng)絡(luò)釣魚(yú)技術(shù)、憑證填充,甚至是通過(guò)社交工程或第三方服務(wù)破壞而泄露的憑證,憑證很容易成為企業(yè)安全系統(tǒng)最薄弱的一點(diǎn)。這些網(wǎng)絡(luò)攻擊都是針對(duì)傳統(tǒng)憑證、用戶(hù)名和密碼的,而作為一種合法的安全措施,這些憑證、用戶(hù)名和密碼已經(jīng)過(guò)時(shí)。增強(qiáng)訪問(wèn)安全性的一個(gè)有效方法是多因素身份驗(yàn)證。
安全專(zhuān)業(yè)人員需要進(jìn)行安全控制。在物理安全方面,通常是通過(guò)限制入口來(lái)實(shí)現(xiàn)的,安全人員檢查身份憑證或采用金屬探測(cè)器對(duì)進(jìn)入者進(jìn)行探測(cè)。在互聯(lián)網(wǎng)和基于網(wǎng)絡(luò)的應(yīng)用程序爆發(fā)式增長(zhǎng)之前,單一的數(shù)字入口點(diǎn)是企業(yè)目錄。員工使用一組憑據(jù)對(duì)企業(yè)資源進(jìn)行身份驗(yàn)證,然后可以訪問(wèn)業(yè)務(wù)應(yīng)用程序。
如果沒(méi)有專(zhuān)門(mén)的工具來(lái)維護(hù)安全狀態(tài),現(xiàn)代基礎(chǔ)設(shè)施和基于Web的業(yè)務(wù)應(yīng)用程序使維護(hù)這個(gè)單一入口點(diǎn)變得更加困難。多因素身份驗(yàn)證顯著增強(qiáng)了身份驗(yàn)證過(guò)程,其中第一個(gè)是附加因素本身:智能手機(jī)、硬件多因素身份驗(yàn)證令牌或基于SMS或電子郵件的身份驗(yàn)證代碼。身份驗(yàn)證過(guò)程不再依賴(lài)于用戶(hù)名和密碼等基于安全知識(shí)的元素,這些元素可能會(huì)被網(wǎng)絡(luò)釣魚(yú)或其他惡意技術(shù)破壞。利用其他多因素身份驗(yàn)證的身份驗(yàn)證嘗試需要用戶(hù)與注冊(cè)設(shè)備或硬件設(shè)備進(jìn)行交互,從而最大限度地減少用戶(hù)名和密碼泄露的影響。
選擇多因素身份驗(yàn)證解決方案
任何安全措施都有一個(gè)棘手的部分,那就是讓最終用戶(hù)感到便捷或者高效。企業(yè)能做的最糟糕的事情就是提高安全要求,以至于用戶(hù)不能(或不會(huì))訪問(wèn)企業(yè)資源,或者他們想辦法繞過(guò)并破壞企業(yè)已經(jīng)實(shí)施的安全措施。
多因素身份驗(yàn)證是選擇身份驗(yàn)證提供程序時(shí)的一個(gè)關(guān)鍵特性。安全管理系統(tǒng)(SMS)和基于電子郵件的安全代碼是比較低級(jí)的安全措施,但總比沒(méi)有好,需要考慮這些因素是否提供需要的安全級(jí)別。電子郵件和安全管理系統(tǒng)(SMS)都可能容易受到攻擊。諸如基于時(shí)間的一次性密碼(TOTP)之類(lèi)的多因素身份驗(yàn)證標(biāo)準(zhǔn)通常得到Google Authenticator等身份驗(yàn)證應(yīng)用程序的支持,但最終取決于身份驗(yàn)證服務(wù)和用戶(hù)身份驗(yàn)證設(shè)備都知道的單個(gè)身份驗(yàn)證令牌。許多多因素身份驗(yàn)證提供商依賴(lài)專(zhuān)有協(xié)議,這些協(xié)議使用推送通知到注冊(cè)的移動(dòng)設(shè)備來(lái)提供強(qiáng)大的安全性和便捷的身份驗(yàn)證流程。
多因素身份驗(yàn)證提供商提供了增強(qiáng)身份驗(yàn)證安全性的附加工具和功能。如果實(shí)施得當(dāng),多因素身份驗(yàn)證服務(wù)可以幫助企業(yè)實(shí)現(xiàn)跨各種應(yīng)用程序和企業(yè)資源的單一身份驗(yàn)證焦點(diǎn)。擁有這一身份驗(yàn)證流量中心點(diǎn)讓企業(yè)可以實(shí)現(xiàn)其他功能,如改進(jìn)的日志記錄和分析、身份驗(yàn)證策略,甚至人工智能和基于風(fēng)險(xiǎn)的條件訪問(wèn)。
選擇多因素身份驗(yàn)證解決方案時(shí)要考慮的另一個(gè)方面涉及企業(yè)希望保護(hù)的資源類(lèi)型。Office365、Google Workspaces或Salesforce等云計(jì)算應(yīng)用程序顯然是多因素身份驗(yàn)證的目標(biāo),而且很容易獲勝。企業(yè)虛擬專(zhuān)用網(wǎng)是多因素身份驗(yàn)證的另一個(gè)常見(jiàn)用例,虛擬專(zhuān)用網(wǎng)本質(zhì)上是企業(yè)網(wǎng)絡(luò)的網(wǎng)關(guān),至少應(yīng)該像對(duì)企業(yè)設(shè)施的物理訪問(wèn)一樣受到保護(hù)。將多因素身份驗(yàn)證與內(nèi)部或自定義業(yè)務(wù)應(yīng)用程序結(jié)合使用是一個(gè)艱難的勝利,并且在很大程度上取決于企業(yè)希望保護(hù)的應(yīng)用程序的成熟度。最后,有充分的理由實(shí)施多因素身份驗(yàn)證以對(duì)企業(yè)桌面和服務(wù)器進(jìn)行身份驗(yàn)證,尤其是在越來(lái)越多的用戶(hù)在家遠(yuǎn)程工作的時(shí)代。
與企業(yè)使用多因素身份驗(yàn)證保護(hù)的資源結(jié)合在一起的是將這些資源與企業(yè)現(xiàn)有的身份存儲(chǔ)庫(kù)聯(lián)系在一起所需的基礎(chǔ)設(shè)施。無(wú)論企業(yè)的用例如何,很有可能希望將其多因素身份驗(yàn)證提供商與企業(yè)的身份存儲(chǔ)庫(kù)聯(lián)系起來(lái)。這通常涉及與本地輕量級(jí)目錄訪問(wèn)協(xié)議(LDAP)目錄的集成。許多多因素身份驗(yàn)證提供商使用安裝在本地網(wǎng)絡(luò)上的軟件代理或通過(guò)LDAPS(LDAPoverSSL)來(lái)執(zhí)行此操作。
在特定于用例的基礎(chǔ)設(shè)施方面,云應(yīng)用程序通常會(huì)輕松獲勝,因?yàn)樵S多應(yīng)用程序使用安全斷言標(biāo)記語(yǔ)言(SAML)等標(biāo)準(zhǔn)無(wú)縫集成。大多數(shù)虛擬專(zhuān)用網(wǎng)解決方案支持與遠(yuǎn)程身份驗(yàn)證撥入用戶(hù)服務(wù)(RADIUS)的集成,該服務(wù)可用于將身份驗(yàn)證傳送到現(xiàn)有的RAD IUS服務(wù)器,然后傳送到多因素身份驗(yàn)證提供商,或者在某些情況下可以使用標(biāo)準(zhǔn)直接與企業(yè)的多因素身份驗(yàn)證提供商通信RADIUS協(xié)議。自定義或內(nèi)部托管的業(yè)務(wù)應(yīng)用程序可能需要通過(guò)API與多因素身份驗(yàn)證提供商進(jìn)行交互,或者可能會(huì)利用SAML。臺(tái)式機(jī)和服務(wù)器的多因素身份驗(yàn)證需要在每個(gè)端點(diǎn)上安裝軟件才能將自身插入到身份驗(yàn)證工作流程中。
八種優(yōu)秀的多因素認(rèn)證產(chǎn)品
多因素身份驗(yàn)證細(xì)分市場(chǎng)是買(mǎi)方市場(chǎng)。有一些非常可靠的產(chǎn)品,每種產(chǎn)品都具有全面的功能集和相當(dāng)多的靈活性。以下是八種優(yōu)秀的多因素認(rèn)證產(chǎn)品。
(1) Cisco Duo
Duo是多因素身份驗(yàn)證中的主要品牌之一。它具有Duo Push中更流行的基于推送的多因素身份驗(yàn)證選項(xiàng)。Duo還與企業(yè)設(shè)備上的生物識(shí)別因素緊密集成,通過(guò)確認(rèn)注冊(cè)用戶(hù)擁有設(shè)備來(lái)提供額外的安全性。
(2) ESET Secure Authentication
ESET公司以其反惡意軟件和端點(diǎn)保護(hù)產(chǎn)品而聞名,ESET Secure Authentication是一個(gè)功能齊全的多因素身份驗(yàn)證解決方案,其功能集可與其他的解決方案相媲美。該解決方案支持虛擬專(zhuān)用網(wǎng)和RADIUS;基于瀏覽器的管理控制臺(tái);與現(xiàn)有LDAP目錄或基于云的身份存儲(chǔ)集成;靈活的多因素身份驗(yàn)證因素,例如推送通知或硬件令牌。ESET甚至為希望將其應(yīng)用程序與服務(wù)更緊密地集成的企業(yè)提供API和SDK。
(3) HID Approve
HID Global與RSA是大型企業(yè)和政府中較為成熟的實(shí)體之一。事實(shí)上,由于其物理安全解決方案(感應(yīng)卡/刷卡和讀卡器),HID甚至在多因素身份驗(yàn)證成為主流之前就已經(jīng)有了重要的立足點(diǎn)。由于計(jì)算機(jī)系統(tǒng)的企業(yè)身份驗(yàn)證要求已經(jīng)成熟,HID已做好充分準(zhǔn)備以滿足其企業(yè)客戶(hù)的需求。
除了硬件和智能卡解決方案之外,HID在HI DApprove中還有一個(gè)基于軟件的可靠多因素身份驗(yàn)證解決方案,可以在不需要硬件投資的情況下進(jìn)行快速部署。HID Approve支持推送身份驗(yàn)證和安全策略,該服務(wù)具有運(yùn)行時(shí)應(yīng)用程序自我保護(hù)(RASP),可以監(jiān)控身份驗(yàn)證嘗試,并幫助防止動(dòng)態(tài)攻擊。
(4) LastPass MFA
LastPass以其密碼管理器而聞名,但由于多因素身份驗(yàn)證是身份驗(yàn)證安全領(lǐng)域的近親,LastPass也將參與該領(lǐng)域是有道理的。事實(shí)上,LastPass為其密碼管理器和LastPass MFA使用相同的LastPass身份驗(yàn)證器移動(dòng)應(yīng)用程序,這是一件好事。LastPass MFA服務(wù)支持上述所有用例:虛擬專(zhuān)用網(wǎng)、Web應(yīng)用程序、桌面、本地應(yīng)用程序,并與AzureAD和Okta等常見(jiàn)身份管理平臺(tái)緊密集成。
(5) Okta Adaptive MFA
出于多種原因,Okta一直是身份驗(yàn)證領(lǐng)域最熱門(mén)的解決方案之一,這主要是它在其工具組合中的強(qiáng)大功能。Okta Adaptive MFA從一個(gè)安全平臺(tái)開(kāi)始,該平臺(tái)使用從先前攻擊中收集的數(shù)據(jù)(針對(duì)Okta服務(wù)和第三方威脅數(shù)據(jù)的攻擊)自動(dòng)防止身份攻擊。Okta還可以利用威脅數(shù)據(jù)對(duì)合法身份驗(yàn)證嘗試所涉及的風(fēng)險(xiǎn)進(jìn)行評(píng)分,以動(dòng)態(tài)管理對(duì)更強(qiáng)大身份驗(yàn)證因素的需求。
除了基于主動(dòng)分析的防御之外,Okta還支持用戶(hù)簡(jiǎn)化威脅報(bào)告,然后可以觸發(fā)向管理員發(fā)送通知或自動(dòng)緩解措施。使用Okta作為多因素身份驗(yàn)證服務(wù)還提供了廣泛的選擇和靈活性,以滿足身份驗(yàn)證需求。
(6) RSA SecurID
RSA是多因素身份驗(yàn)證領(lǐng)域的另一個(gè)行業(yè)先驅(qū)。帶有旋轉(zhuǎn)數(shù)字鍵的RSA硬件令牌是用于保護(hù)企業(yè)虛擬專(zhuān)用網(wǎng)和遠(yuǎn)程訪問(wèn)的原始多因素身份驗(yàn)證解決方案之一。其悠久的歷史加上與Okta相媲美的安全產(chǎn)品組合,使RSA成為幫助企業(yè)對(duì)關(guān)鍵業(yè)務(wù)資源進(jìn)行安全身份驗(yàn)證的一個(gè)理想選擇。RSA SecurID不僅支持基于移動(dòng)和硬件的身份驗(yàn)證因素,它們還支持無(wú)縫身份驗(yàn)證路徑,即使用戶(hù)沒(méi)有互聯(lián)網(wǎng)服務(wù)(例如在飛機(jī)上)。RSA還支持基于風(fēng)險(xiǎn)的動(dòng)態(tài)身份驗(yàn)證策略,以平衡對(duì)額外安全性的需求和對(duì)最終用戶(hù)有效身份驗(yàn)證過(guò)程的需求。
(7) Silverfort
Silverfort是一個(gè)人們之前可能沒(méi)有聽(tīng)說(shuō)過(guò)的名字,但他們的多因素身份驗(yàn)證產(chǎn)品也是在必備清單上的。異常行為檢測(cè)、基于模式的威脅檢測(cè)和基于風(fēng)險(xiǎn)評(píng)分的升級(jí)身份驗(yàn)證因素只是Silverfort提供的一些功能。Silverfort提供能夠?qū)ΤR?jiàn)的管理工具(如遠(yuǎn)程PowerShell會(huì)話、遠(yuǎn)程桌面和SSH)實(shí)施多因素身份驗(yàn)證的功能。
(8) Twilio Authy
Twilio Authy是一項(xiàng)已經(jīng)存在了一段時(shí)間的服務(wù),盡管并不總是在Twilio的保護(hù)傘下。正如對(duì)Twilio提供的身份驗(yàn)證服務(wù)所期望的那樣,Twilio Authy的主要賣(mài)點(diǎn)是通過(guò)由大量文檔和社區(qū)支持的強(qiáng)大API實(shí)現(xiàn)的靈活性。Authy不同于這一列表中的其他一些即插即用解決方案,但如果企業(yè)需要一個(gè)高度靈活和可擴(kuò)展的自定義業(yè)務(wù)應(yīng)用程序解決方案的話,它可能正是企業(yè)需要的服務(wù)。
