在开始本文前,先给大家出个解谜题,密码在下一段文字里,由 9 个字组成,开动你的脑筋吧,我们在本文结尾会揭晓答案:
2022 年马上就要结束了,机遇与挑战并存的一年。昨天,北京郊区一些地方下雪了,感觉很美。
近期,堂食也终于放开了。楼下星巴克咖啡堂食已经不需要 48 小时核酸了。
年底了,最近大家事情多么?是不是马上要写年终述职报告了?最近,有很多同事在 Authing 大家庭已满两年,收到了公司发的礼物,见证了 Authing 的成长,也见证了个人的蜕变。携手共进,2023 年让我们继续【点燃希望】,迎接新的数字化安全浪潮。
01 数字身份泄露,对企业危害有多大?
输入账号和密码,点击登录,看似只是日常的点击键盘鼠标,几秒钟的事情,却可能对企业造成重大影响。
根据 IBM 《2022 数据泄露报告》:83% 企业遭受过不止一次数据泄露,数据泄露的平均成本达 435 万美元,识别和遏制数据泄露平均时间为 277 天。另据美国最大通信运营商威瑞森最近发布的《2021 年数据泄露调查报告》显示:85% 的数据泄露涉及人的因素;61% 的数据泄露牵涉登录凭证。
2022 年,泄露事件层出不穷:
-
4 月:Zoetop Business Company 遭受网络攻击,3900万客户的数据泄露;
-
4 月:Cash App 的母公司 Block Inc. 被前员工访问并下载了多达 820 万客户的信息;
-
7 月:Twitter 遭受黑客攻击,540 万用户数据遭泄露,损失超 3 亿美元;
-
11 月:密码管理巨头 LastPass 遭遇黑客攻击,大部分用户信息和密码遭遇泄露;
-
11 月:WhatsApp 被黑客披露了来自 84 个国家/地区的 4.87 亿 用户信息;
由此可见,在实施数字化转型的过程中,企业对传统资源的数字化管理以及对资产的保护正面临巨大挑战,员工身份安全治理成为重中之重。
02 数字化安全和新一代身份基础设施需求旺盛
经历过才知道的痛。我曾任职于一家数千人规模的大型企业,由于没有提前规划身份体系,出现了上千僵尸账号,不少员工离职后仍然可以访问机密文件。为了亡羊补牢,公司不仅投入大量人力财力,还耗费数个季度的时间。所以当我到了现在的公司,第一件事就是与 Authing 合作搭建完善的身份基础设施。 ——某 AI 机器人公司 IT 总监
行业内的前车之鉴看到 AMD 因为内部弱口令被黑客盗取 450GB 数据进行公开勒索的新闻,我们立刻做了内部扫描,发现了不少类似的漏洞。最后选择与 Authing 合作,也是因为他们在密码管理上有非常丰富的产品能力,而且还有全链路的审计能力,很好地帮我们补足了内部管理的短板。 ——某芯片设计公司信息化负责人
对于高科技、智能制造企业而言,内部核心数据安全保护需求日益增大。一方面,代码、设计图、技术、客户数据等是企业核心资产,一旦发生泄露,将极大影响企业在客户心中的信任以及被竞品利用从而降低竞争力。另一方面,对于芯片、机器人等企业,设计流程十分复杂,这类企业对于员工权限管控、安全审计、合规操作都非常重视。
随着各个行业数字化安全需求日益增长,尤其金融行业、高科技、智能制造行业。清华大学金融科技研究院金融安全研究中心主任周道许曾说:“网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策,也是国家网络安全工作的基本制度,更是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施,是维护国家关键信息基础设施的重要手段”。金融行业由于其具有高资产和大量个人信息和敏感数据的特点,也是网络安全等级保护制度和关键信息基础设施安全保护条例实施的重点行业之一。(数据来源:陆水财经)
所以,简单的账号密码登录,其实并不简单,我们需要更为安全的身份保护机制,将不法分子拒之门外。
03 保护您的数字资产,从数字身份安全开始
近期,Authing 全新迭代安全登录配置功能,旨在通过配置用户池的基础安全、注册安全、扫码安全、登录安全模块规则,在登录密码以外增加一层安全保护,提高企业身份安全级别,欢迎各位开发者进入官网体验。
本次更新,主要包括四个模块:
模块一:基础安全模块
这个模块好处在于:增加登录验证多样性,适配登录方式设定为邮箱的企业;提高验证码安全级别,防止账户密码被暴力破解;降低 cookie 泄露风险,提高登录安全性。
在这个模块中,管理员可以对用户登录进行灵活配置:
-
修改邮箱时是否验证旧邮箱
-
修改手机号时是否验证旧手机号
-
未验证邮箱登录时发送认证邮件
-
是否支持选择账号
-
验证码尝试次数与验证码长度
-
此外,还可以自定义 cookie 过期时间
模块二:注册安全模块
这个模块好处在于:限定注册对象,确保企业被授权的用户才可以注册;防止用户频繁注册一些僵尸账号,使得企业难以管理;在验证码外增加一层安全保护,防止有员工手机丢失被不法人员捡到恶意注册。
在这个模块中,管理员可以灵活配置:
-
频繁注册显示:限定注册时间与频次
-
开启/关闭注册功能
-
验证码注册后是否立即配置密码
模块三:扫码安全模块
这个模块好处在于:防止个人信息被盗用,提高凭证安全性,降低被冒用风险,保护用户个人隐私。
在这个模块中,管理员可以灵活配置:
-
自定义二维码与 ticket 的有效时间
-
设置是否需要 Web 轮询接口返回完整用户信息
-
是否允许在浏览器使用 ticket 换取用户信息
模块四:登录安全模块
这个模块好处在于:提高登录安全配置灵活性,满足各个行业不同合规需求;在系统自动验证外增加一层保护,提高验证准确性,降低虚假凭证风险;即时保护账号资产安全,自主关闭账号。
在这个模块中,管理员可以灵活配置:
-
设置人机验证条件(可选择是否开启这个功能):登录密码错误限制、登录失败次数限制、限制 IP 名单之外的登录、登录时间限制
-
人机验证服务:可选择 Authing 或第三方服务商进行验证
-
账号锁定:可选择设置条件触发账号锁定
04 客户案例:某智能制造企业
某智能制造企业有 3 万多员工,业务遍布北京、南京、深圳、成都等地。集团总部和分部又有不同的业务结构,从股东、监事、董事再到高级管理层以及实际业务部门,实际业务部门还分市场、生产、研发部等,每个部门对于登录权限的安全等级要求各不相同。
主要有以下三个痛点:
-
研发、产品、市场、生产等部门需要不同安全等级的登录系统以及权限管理
-
研发中心需要更为复杂、安全的登录系统,比如对于登录时间、登录规则、锁定机制设计等等。
-
验证码、cookie、令牌等登录可以自动设置时间、锁定机制
在考察了国内外众多身份认证企业后,该公司选择了 Authing。
Authing 基于安全登录配置、密码策略、多因素认证,为该公司建立了分级安全登录系统,实现了各个部门有不同登录方式及安全等级,更便于企业分层掌控员工权限,同时也便于不同部门员工更便捷、安全登录企业系统。
作为企业级 SaaS 服务和关乎企业核心机密的身份服务提供商,Authing 始终把身份安全放在首位,拥有国际权威安全认证与成熟的信息安全管理体系,对软件全生命周期进行安全保障,拥有可靠的数据安全保护。
-
安全合规: Authing 遵从不同国家和行业的合规性要求,全力打造值得客户信赖的服务;同时,积极参与行业安全标准的制定及推广,坚持合规即服务,建设和运行安全可靠的云生态环境。
-
基础安全: Authing 采用 AWS 亚马逊云科技提供的基础设施服务,采用安全功能完善,可满足最苛刻要求的物理安全、网络安全、设备安全的措施来保障安全运行环境。
-
服务安全: Authing 在安全开发流程上,实施 Microsoft 微软安全推广的业界最佳实践 SDL(软件安全开发生命周期),并结合企业级安全需求以及自身的产品研发流程,有效控制产品服务安全漏洞风险。
-
人员安全: Authing 在所有员工招聘前、招聘中、工作中和离职后,有效落实背景调查、保密协议、安全培训和最小访问权限策略。
最后,让我们解谜开头密码:
2022 年马上就要结束了,机遇与挑战并存的一年。昨天,北京郊区一些地方下雪了,感觉很美。
近期,堂食也终于放开了。楼下星巴克咖啡堂食已经不需要 48 小时核酸了。
年底了,最近大家事情多么?是不是马上要写年终述职报告了?最近,有很多同事在 Authing 大家庭已满两年,收到了公司发的礼物,见证了 Authing 的成长,也见证了个人的蜕变。携手共进,2023 年让我们继续【点燃希望】,迎接新的数字化安全浪潮。
密码是:情报在公司咖啡机下
这是——漏隔板加密法,先将所要传达的内容按约定好的方式写入漏格里,然后再将这些文字扩写成一篇寻常文章。 你答对了么?
关于 Authing
Authing 是国内唯一以开发者为中心的全场景身份云产品,为企业和开发者提供高安全、高性能、高生产力的用户认证和访问管理服务。
Authing 目前已经服务包括可口可乐、三星集团、中国石油、元气森林在内的 30000+ 企业和开发者。