三問移動身份驗證部署
雇員利用智能手機、平板電腦、上網(wǎng)本等移動設備可以便捷地遠程訪問公司的計算資源。但移動設備的使用有可能產(chǎn)生一些被攻擊者利用的漏洞或訪問敏感信息的弱點,從而損害安全性。因而,對于移動設備的遠程訪問,多數(shù)專家建議企業(yè)至少利用某種形式的雙重身份驗證(雙重認證)。
雙重認證無論對于用戶還是企業(yè)都是一個現(xiàn)實的難題,因為它增加了企業(yè)身份驗證的復雜性。如果實施不力,雙重認證未必比單重認證強健很多,有時反而會耗費更多的時間和資源。
下面將闡述為了設計、實施、部署可行且安全的移動設備雙重認證方案,企業(yè)IT需要注意的三大要領(lǐng):
首先,企業(yè)要對所有的移動設備尋求單一的解決方案。
不妨考慮一下用于工作場所的不同移動設備類型;筆記本電腦、上網(wǎng)本、智能手機、平板電腦等,其品牌眾多,更別說其中還分為企業(yè)發(fā)給員工的設備和員工個人自己帶來的(BYOD)。
有些用戶可能使用企業(yè)發(fā)的筆記本電腦,同時還帶著個人的平板電腦、智能手機等。要求這些用戶對每一種設備都使用不同的雙重驗證是不現(xiàn)實的。不妨設想一下,員工需要帶著不同的加密令牌,還要記住幾個不同的口令或PIN,并且要記住哪些令牌和PIN適用于哪種設備。
為實現(xiàn)可用性,IT應該針對所有移動設備,考慮使用單一的遠程認證方案。企業(yè)自有的筆記本電腦可以例外,當然,企業(yè)自有的這些設備最好是擁有內(nèi)置的雙重認證功能(如智能卡或生物識別閱讀器)。如果企業(yè)能夠避免使用多種雙重認證系統(tǒng),那么操作處理將會更平滑。
其次,不要忘了移動設備和網(wǎng)絡的安全性。
移動設備(尤其是智能手機和平板電腦)一般都缺乏其它計算設備所擁有的安全特性。然而,許多雙重認證方案主要依賴移動設備的安全性來實現(xiàn)認證的安全性。
例如,軟件加密令牌將共享密鑰或加密密鑰存儲在移動設備上。在很多設備上,這種密鑰基本沒有得到防御惡意軟件或人為發(fā)現(xiàn)的保護。理想情況下,這種密鑰應當存儲在移動設備中的可信任平臺模塊(TPM)內(nèi)部,但仍有一些移動設備并不支持可信任平臺模塊(TPM)。因而,實施不依賴本地存儲的雙重認證方法(例如,基于圖像的認證)是明智之舉。
網(wǎng)絡安全是需要考慮的另一個問題。我們一般都會想當然地認為手機網(wǎng)絡不會受到監(jiān)視,但攻擊者當然有能力這樣做。這意味著以明文方式發(fā)送敏感信息的雙重認證方法(如通過短消息發(fā)送的一次性口令)有可能將這種信息暴露給攻擊者。
企業(yè)應考慮針對遠程訪問方法的威脅,如果有必要,要對通過移動設備發(fā)送或接收的所有敏感信息進行嚴格加密。
第三,防御蠻力攻擊和拒絕服務攻擊。
在使用雙重認證時,企業(yè)IT不應同時驗證兩個因素,而應首先驗證一個因素。如果此驗證成功,再去驗證第二個因素。這種做法可以防止蠻力攻擊、拒絕服務攻擊和包含多次登錄企圖的其它攻擊。
例如,如果第一個認證因素是用戶名和口令,就易于被鎖定,攻擊者可以輕松地在遠程訪問網(wǎng)關(guān)猜測用戶名和口令的組合,并且鎖定合法的用戶賬戶。如果是其它因素第一認證,攻擊者就必須在嘗試用戶名和口令認證之前提供此認證。
換言之,用戶名和口令認證應當能夠?qū)剐U力攻擊和拒絕服務攻擊。完成此功能的一種有效方法就是在認證嘗試期間實施一種遞增延遲。例如,在一次認證嘗試失敗后,要讓用戶等待兩秒鐘才能再次嘗試。如果第二次嘗試失敗,就將延遲時間增加到四秒。第三次嘗試失敗,則增加遲延時間為八秒,依此類推。這種做法可以防止賬戶被攻擊者鎖定,同時又可以使認證嘗試的次數(shù)達到最小化。監(jiān)視軟件應當檢測連續(xù)的認證嘗試,并且通知管理員進行干預。
