功能更新 | 身份认证增强安全配置

news2024/11/16 3:25:21

在开始本文前,先给大家出个解谜题,密码在下一段文字里,由 9 个字组成,开动你的脑筋吧,我们在本文结尾会揭晓答案:

2022 年马上就要结束了,机遇与挑战并存的一年。昨天,北京郊区一些地方下雪了,感觉很美。

近期,堂食也终于放开了。楼下星巴克咖啡堂食已经不需要 48 小时核酸了。

年底了,最近大家事情多么?是不是马上要写年终述职报告了?最近,有很多同事在 Authing 大家庭已满两年,收到了公司发的礼物,见证了 Authing 的成长,也见证了个人的蜕变。携手共进,2023 年让我们继续【点燃希望】,迎接新的数字化安全浪潮。

01 数字身份泄露,对企业危害有多大?

输入账号和密码,点击登录,看似只是日常的点击键盘鼠标,几秒钟的事情,却可能对企业造成重大影响

根据 IBM 《2022 数据泄露报告》:83% 企业遭受过不止一次数据泄露,数据泄露的平均成本达 435 万美元,识别和遏制数据泄露平均时间为 277 天。另据美国最大通信运营商威瑞森最近发布的《2021 年数据泄露调查报告》显示:85% 的数据泄露涉及人的因素;61% 的数据泄露牵涉登录凭证。

2022 年,泄露事件层出不穷

  • 4 月:Zoetop Business Company 遭受网络攻击,3900万客户的数据泄露;

  • 4 月:Cash App 的母公司 Block Inc. 被前员工访问并下载了多达 820 万客户的信息;

  • 7 月:Twitter 遭受黑客攻击,540 万用户数据遭泄露,损失超 3 亿美元;

  • 11 月:密码管理巨头 LastPass 遭遇黑客攻击,大部分用户信息和密码遭遇泄露;

  • 11 月:WhatsApp 被黑客披露了来自 84 个国家/地区的 4.87 亿 用户信息;

由此可见,在实施数字化转型的过程中,企业对传统资源的数字化管理以及对资产的保护正面临巨大挑战,员工身份安全治理成为重中之重。

02 数字化安全和新一代身份基础设施需求旺盛

经历过才知道的痛。我曾任职于一家数千人规模的大型企业,由于没有提前规划身份体系,出现了上千僵尸账号,不少员工离职后仍然可以访问机密文件。为了亡羊补牢,公司不仅投入大量人力财力,还耗费数个季度的时间。所以当我到了现在的公司,第一件事就是与 Authing 合作搭建完善的身份基础设施。 ——某 AI 机器人公司 IT 总监

行业内的前车之鉴看到 AMD 因为内部弱口令被黑客盗取 450GB 数据进行公开勒索的新闻,我们立刻做了内部扫描,发现了不少类似的漏洞。最后选择与 Authing 合作,也是因为他们在密码管理上有非常丰富的产品能力,而且还有全链路的审计能力,很好地帮我们补足了内部管理的短板。 ——某芯片设计公司信息化负责人

对于高科技、智能制造企业而言,内部核心数据安全保护需求日益增大。一方面,代码、设计图、技术、客户数据等是企业核心资产,一旦发生泄露,将极大影响企业在客户心中的信任以及被竞品利用从而降低竞争力。另一方面,对于芯片、机器人等企业,设计流程十分复杂,这类企业对于员工权限管控、安全审计、合规操作都非常重视。

随着各个行业数字化安全需求日益增长,尤其金融行业、高科技、智能制造行业。清华大学金融科技研究院金融安全研究中心主任周道许曾说:“网络安全等级保护是党中央、国务院决定在网络安全领域实施的基本国策,也是国家网络安全工作的基本制度,更是实现国家对重要网络、信息系统、数据资源实施重点保护的重大措施,是维护国家关键信息基础设施的重要手段”。金融行业由于其具有高资产和大量个人信息和敏感数据的特点,也是网络安全等级保护制度和关键信息基础设施安全保护条例实施的重点行业之一。(数据来源:陆水财经)

所以,简单的账号密码登录,其实并不简单,我们需要更为安全的身份保护机制,将不法分子拒之门外。

03 保护您的数字资产,从数字身份安全开始

近期,Authing 全新迭代安全登录配置功能,旨在通过配置用户池的基础安全、注册安全、扫码安全、登录安全模块规则,在登录密码以外增加一层安全保护,提高企业身份安全级别,欢迎各位开发者进入官网体验

本次更新,主要包括四个模块

模块一:基础安全模块

这个模块好处在于:增加登录验证多样性,适配登录方式设定为邮箱的企业;提高验证码安全级别,防止账户密码被暴力破解;降低 cookie 泄露风险,提高登录安全性。

在这个模块中,管理员可以对用户登录进行灵活配置:

  • 修改邮箱时是否验证旧邮箱

  • 修改手机号时是否验证旧手机号

  • 未验证邮箱登录时发送认证邮件

  • 是否支持选择账号

  • 验证码尝试次数与验证码长度

  • 此外,还可以自定义 cookie 过期时间

Authing 控制台【通用安全-基础安全】

模块二:注册安全模块

这个模块好处在于:限定注册对象,确保企业被授权的用户才可以注册;防止用户频繁注册一些僵尸账号,使得企业难以管理;在验证码外增加一层安全保护,防止有员工手机丢失被不法人员捡到恶意注册。

在这个模块中,管理员可以灵活配置:

  • 频繁注册显示:限定注册时间与频次

  • 开启/关闭注册功能

  • 验证码注册后是否立即配置密码

Authing 控制台【通用安全-注册安全】

模块三:扫码安全模块

这个模块好处在于:防止个人信息被盗用,提高凭证安全性,降低被冒用风险,保护用户个人隐私。

在这个模块中,管理员可以灵活配置:

  • 自定义二维码与 ticket 的有效时间

  • 设置是否需要 Web 轮询接口返回完整用户信息

  • 是否允许在浏览器使用 ticket 换取用户信息

Authing 控制台【通用安全-扫码安全】

模块四:登录安全模块

这个模块好处在于:提高登录安全配置灵活性,满足各个行业不同合规需求;在系统自动验证外增加一层保护,提高验证准确性,降低虚假凭证风险;即时保护账号资产安全,自主关闭账号。

在这个模块中,管理员可以灵活配置:

  • 设置人机验证条件(可选择是否开启这个功能):登录密码错误限制、登录失败次数限制、限制 IP 名单之外的登录、登录时间限制

  • 人机验证服务:可选择 Authing 或第三方服务商进行验证

  • 账号锁定:可选择设置条件触发账号锁定

Authing 控制台【通用安全-登录安全】

04 客户案例:某智能制造企业

某智能制造企业有 3 万多员工,业务遍布北京、南京、深圳、成都等地。集团总部和分部又有不同的业务结构,从股东、监事、董事再到高级管理层以及实际业务部门,实际业务部门还分市场、生产、研发部等,每个部门对于登录权限的安全等级要求各不相同。

主要有以下三个痛点

  • 研发、产品、市场、生产等部门需要不同安全等级的登录系统以及权限管理

  • 研发中心需要更为复杂、安全的登录系统,比如对于登录时间、登录规则、锁定机制设计等等。

  • 验证码、cookie、令牌等登录可以自动设置时间、锁定机制

在考察了国内外众多身份认证企业后,该公司选择了 Authing。

Authing 基于安全登录配置、密码策略、多因素认证,为该公司建立了分级安全登录系统,实现了各个部门有不同登录方式及安全等级,更便于企业分层掌控员工权限,同时也便于不同部门员工更便捷、安全登录企业系统。

作为企业级 SaaS 服务和关乎企业核心机密的身份服务提供商,Authing 始终把身份安全放在首位,拥有国际权威安全认证与成熟的信息安全管理体系,对软件全生命周期进行安全保障,拥有可靠的数据安全保护。

  • 安全合规: Authing 遵从不同国家和行业的合规性要求,全力打造值得客户信赖的服务;同时,积极参与行业安全标准的制定及推广,坚持合规即服务,建设和运行安全可靠的云生态环境。

  • 基础安全: Authing 采用 AWS 亚马逊云科技提供的基础设施服务,采用安全功能完善,可满足最苛刻要求的物理安全、网络安全、设备安全的措施来保障安全运行环境。

  • 服务安全: Authing 在安全开发流程上,实施 Microsoft 微软安全推广的业界最佳实践 SDL(软件安全开发生命周期),并结合企业级安全需求以及自身的产品研发流程,有效控制产品服务安全漏洞风险。

  • 人员安全: Authing 在所有员工招聘前、招聘中、工作中和离职后,有效落实背景调查、保密协议、安全培训和最小访问权限策略。

最后,让我们解谜开头密码

2022 年马上就要结束了,遇与挑战并存的一年。昨天,北京郊区一些地方下雪了,感觉很美。

近期,堂食也终于放开了。楼星巴克咖啡堂食已经不需要 48 小时核酸了。

年底了,最近大家事多么?是不是马上要写年终述报告了?最近,有很多同事 Authing 大家庭已满两年,收到了公司发的礼物,见证了 Authing 的成长,也见证了个人的蜕变。携手共进,2023 年让我们继续【点燃希望】,迎接新的数字化安全浪潮。

密码是:情报在公司咖啡机下

这是——漏隔板加密法,先将所要传达的内容按约定好的方式写入漏格里,然后再将这些文字扩写成一篇寻常文章。 你答对了么?

关于 Authing

Authing 是国内唯一以开发者为中心的全场景身份云产品,为企业和开发者提供高安全、高性能、高生产力的用户认证和访问管理服务。

Authing 目前已经服务包括可口可乐、三星集团、中国石油、元气森林在内的 30000+ 企业和开发者。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/129362.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

企业电子招标采购系统源码及功能清单

​ ​ 一、立项管理 1、招标立项申请 功能点:招标类项目立项申请入口,用户可以保存为草稿,提交。 2、非招标立项申请 功能点:非招标立项申请入口、用户可以保存为草稿、提交。 3、采购立项列表 功能点:对草稿进行编…

从卖货到广告,跨境电商解锁变现新模式

一、经济全球化背景下,跨境电商作为外贸发展的新模式,可谓势头正盛。而 2022 年,在汇率波动、欧美通胀等不可抗逆因素的影响下,跨境电商大环境也面临着诸多挑战。对于消费者而言,全球通货膨胀持续走高,物价…

List、List<Object>、List<?>

List、List、List<?>ListList<Object>List<?>demoList 1、声明的List集合对其 所指向的集合对象&#xff08;就是赋值的集合对象&#xff09;的限制:无泛型限制&#xff0c;并且无视指向的集合对象的泛型&#xff0c;直接当成List处理&#xff08;泛型擦除…

软件测试难吗?应该怎样学习?

软件测试是一份不错的职业&#xff0c;现在也有许多小伙伴想要学习软件测试技术&#xff0c;成为一名软件测试员。但是零经验的小白又担心不知道软件测试好不好学&#xff0c;应该如何学习软件测试能力&#xff0c;需要做哪些培训呢。下面就给大家推荐一些学习经验与技巧&#…

【JavaEE】JVM(八股文!)

努力经营当下&#xff0c;直至未来明朗&#xff01; 文章目录【JVM内存划分】【JVM类加载】【JVM垃圾回收机制GC】一&#xff09;GC是啥二&#xff09;GC回收哪部分内存三&#xff09;具体怎么回收四&#xff09;怎么找垃圾&#xff08;判定某个对象是否是垃圾&#xff09;五&a…

圆和椭圆外投影

1 圆外一点在缩放到圆上 圆方程: x2y222x^2y^2 2^2 x2y222 直线方程: ykxy kx ykx 圆外一点: A(3,3)A(3,3)A(3,3) 求点B. 方法1-解方程 圆外一点A(3,3)A(3,3)A(3,3),那么:直线k1k1k1,直线方程:yxyxyx 方程联立: x2x24x^2 x^2 4 \\ x2x24 x2y2x \sqrt{2} \\ y \sqrt…

点云 3D 分割 - SqueezeSeg(ICRA 2018)

点云 3D 分割 - SqueezeSeg&#xff08;ICRA 2018&#xff09;摘要1. 引言2. 相关工作A. 三维激光雷达点云的语义分割B. 用于3D点云的CNNC. 图像的语义分割D. 通过模拟收集数据3. 方法描述A. 点云变换B. 网络结构C. 条件随机场D. 数据收集4. 实验A. 评估指标B. 实验设置C. 实验…

2022电商行业重磅年度报告:八大年度关键词盘点

2022年终于过去&#xff0c;当网易云音乐推出“年度报告”霸屏朋友圈&#xff0c;它在试图唤起那些可能被遗忘的情绪和小心思。 这一年&#xff0c;有人悲观&#xff0c;有人积极&#xff0c;有人凭实力搭上了顺风车&#xff0c;也有人放弃了抵抗。这一年&#xff0c;作为电商人…

Mybatis学习笔记 | 动力节点老杜

目录 一、MyBatis概述 历史 MyBatis特点 ORM概述 二、Mybatis入门 1、SqlSessionFactory和SqlSession 2、核心配置文件的加载 3、mybatis事务管理机制 4、第一个mybatis程序 5、mybatis继承日志 三、mybatis增删改查 1、增加 通过Map传值 通过实体类传值 2、删除…

【uniapp】如何实现拖动文件直接上传

做uniapp项目发布H5有个后台管理&#xff0c;用户说上传文件的体验需要改进&#xff0c;那个弹出选择文件对话框然后去填文件路径选择文件上传&#xff0c;感觉操作太麻烦&#xff0c;于是就有了这么一个需求&#xff0c;需要实现拖动文件直接上传的&#xff0c;这样效率和体验…

九、动态组件与插槽

一、动态组件 1.1、什么是动态组件 动态组件指的是动态切换组件的显示与隐藏。 1.2、如何实现动态组件渲染 vue提供了一个内置的<component>组件&#xff0c;专门用来实现动态组件的渲染。示例代码如下&#xff1a; data() {// 1. 当前要渲染的组件名称return {comN…

学习笔记:混沌工程

个人理解&#xff1a; 混沌工程&#xff0c;chaos engineering&#xff0c;找出系统中的脆弱环节的方法学 混沌工程是软件测试和质量保证的一种方法&#xff0c;在黑客入侵之前或系统故障之前使用它来识别漏洞&#xff0c;由于混沌工程测试而做出的改变增加了人们对系统的信心。…

SpringBoot @SessionScope注解和Session的用法解释

参考资料 JSESSIONID是什么SessionScope 解决了不同session下如何生成不同服务实例 目录一. 前期准备二. 被SessionScope作用的类三. 使用被SessionScope作用类的Service四. 效果4.1 用Edge浏览器进入页面4.2 然后用Edge浏览器进入页面4.3 若将CacheHolder类上的SessionScope注…

nginx部署next项目访问日志去重小技巧,next项目资源不计入日志,网站日志统计去除资源请求

next项目访问日志去重小技巧需求提出具体解决方案配置代码需求提出 之前在跟SEO做网站日志分析的时候受到了一部分资源请求数据的影响&#xff0c;统计出来的ip访问次数远远大于实际值&#xff0c;从日志中或者网站控制台看到每个页面都会发送十几个请求&#xff0c;而这些请求…

Qt中使用QWebEngine加载百度离线地图,在特定地点加载个圣诞树

一、前言 2022年圣诞节到来啦&#xff0c;很高兴这次我们又能一起度过~ 遇上圣诞节&#xff0c;正好最近研究了QT中加载百度离线地图&#xff0c;用百度地图API加载个圣诞树&#xff08;主要我想要那个圣诞节特制勋章&#xff09;。 二、创意名 在百度离线地图加载个圣诞树。…

演化博弈、复制动态方程与仿真

本文只整理和总结一下我的理解&#xff0c;文末列出了可供参考的更详细完整的资料。建议先看参考资料[1]&#xff08;博弈论公开课&#xff09;的博弈论课程&#xff0c;可以直接从第11讲开始看。   参考链接[2]是关于演化博弈非常经典的一本书。   参考链接[5]涵盖内容比较…

CSDN文章质量检测系统

想知道你的文章在CSDN中质量如何吗&#xff1f; 你想知道你的CSDN文章到底写得怎么样吗&#xff1f; 你想要获得一个你的系统的CSDN文章评分吗&#xff1f; CSDN质量分数帮你解决这个问题&#xff0c;网址如下&#xff1a; https://www.csdn.net/qc 界面在如下&#xff0c;如果…

XGBoost模型的python实现

文章目录函数介绍实例二分类问题多分类问题作者&#xff1a;李雪茸函数介绍 实现 XGBoost 分类算法使用的是 xgboost 库的 XGBClassifier&#xff0c;具体参数如下&#xff1a; 1、max_depth&#xff1a;给定树的深度&#xff0c;默认为3 2、learning_rate&#xff1a;每一步…

SpringBoot整合TKMyBatis实现增删改查

文章目录什么是TKMybatis&#xff1f;SpringBoot整合TKMybatis实体类注解TKMapper接口如何使用基本增删改操作批量查询和删除批量添加自定义查询条件ExampleExample 条件设置Example 使用什么是TKMybatis&#xff1f; TKMybatis 是基于Mybatis 框架开发的一个工具&#xff0c;…

[4]MQTT协议基础--下

1.QoS服务质量等级 MQTT服务质量(Quality of Service 缩写 QoS)正是用于告知物联网系统&#xff0c;哪些信息是重要信息需要准确无误的传输&#xff0c;而哪些信息不那么重要&#xff0c;即使丢失也没有问题。 MQTT协议有三种服务质量级别&#xff1a; QoS 0 – 最多发一次…