自适应多因素认证:构建不可破解的企业安全防线|身份云研究院

news2024/11/17 16:23:46

打开本文意味着你理解信息安全的重要性,并且希望获取行业最佳实践来保护你所在组织的信息安全。本文将带你了解多因素认证(MFA:Multi-Factor-Authentication)对于企业信息安全的重要性以及实施方法

多因素认证(MFA)已被证实是目前抵御绝大多数与密码泄漏相关攻击的最佳实践,微软研究表明,多因素认证(MFA)能有效阻止 99.9% 的密码泄漏事故。多因素认证是指用户需要提供一种类型以上的因素进行身份验证。通常可以分为四类因素,如下表所示:

注意,使用多个相同因素类型的相关凭证并不能构成多因素认证,例如:使用自有知识因素中的密码和安全问题不能构成多因素认证,而需要使用多个不同因素的凭证。例如:在最常见的支付场景中,当用户进行高额交易,系统不仅需要验证支付密码,通常情况下还需要额外进行外部口令验证,如手机验证码或 U 盾口令等。这种生活中常见的例子屡见不鲜。可见,多因素认证已经广泛应用于很多敏感的身份认证过程中

01 为什么要使用多因素认证(MFA)?

鉴于数据泄露事故频发,伴随社会数字化程度越来越高,相关安全隐患和事故只会越来越多。对于企业来说,员工或用户信息泄漏意味企业将承担巨大的信誉和直接经济损失以及法律风险。其实越来越多企业已经意识到信息安全的重要性,但碍于以下几个原因始终无法有效实施:

  • 技术力量受限,自建成本较高

  • “过度代偿”导致失衡,无法平衡安全性和用户体验

  • 已经实施了一些安全措施,但没有监测系统,无法评估其效果 

以下数据印证在几乎每个人身上,简易密码和密码复用等问题已经存在许久。但这并非用户的问题,越来越多的应用/系统/页面需要用户重新注册账号,用户不得不使用相同的密码来确保其不会遗忘。

  1. 一项调查发现,91% 的受访者声称了解在多个账户中重复使用密码的风险,但 59% 的人承认无论如何都会这样做

  2. 普通人重复使用某个相同密码高于 14 次。

  3. 72% 的人在个人生活中重复使用密码,而近一半 (49%) 的员工在每 90 天更新一次公司密码时只是更改或添加一个数字或字符到他们的密码中,这导致强制修改密码变得无效

  4. 73% 的用户在个人和工作帐户中重复密码

  5. 根据 Verizon 数据泄露调查报告,81% 的黑客相关泄露事件都是密码泄露造成的

即便是你已经知道了这些数据,并且决定开始为你的企业/用户部署多因素认证(MFA),但你仍然需要了解的使用不恰当的多因素认证(MFA)解决方案将会带来以下常见的问题

  • 要求用户持有特定硬件的 MFA 类型可能会产生大量成本和管理开销

  • 如果用户丢失或无法使用他们的其他因素,可能会导致用户无法进入账户

  • MFA 给应用程序带来了额外的复杂性

  • 许多 MFA 解决方案向系统添加外部依赖项,这可能会引入安全漏洞或单点故障

  • 为允许用户绕过或重置 MFA 而实施的流程可能会被黑客利用

  • 实施 MFA 会增加用户与系统间的摩擦,将导致用户体验下降,用户流失等问题

通用建议

对于已经实施或即将实施 MFA 的企业来说,关于上述 MFA 可能遇见的问题,有以下几个建议:

在应用程序中具体何时以及如何实施 MFA 取决于许多不同的因素,包括应用程序的威胁模型、用户画像以及对用户的访问控制级别。需要对不同应用不同场景进行分析,以下建议通常适用于大多数应用程序

  • 为用户提供使用TOTP 应用程序帮助用户快速使用 MFA

  • 需要具备管理特殊权限或者高级别权限用户的 MFA

  • 允许在公司 IP 范围内(或常用 IP 地址)不需要使用额外 MFA

  • 为用户策划安全、完善的「重置 MFA」流程

在什么时候需要使用 MFA?

最常见的场景就是在用户登录认证的时候,但如文章开头所说,在用户进行敏感操作的时候适当添加 MFA 也非常有必要,例如:

  • 修改密码或安全问题

  • 修改关联的手机号或身份信息

  • 禁用 MFA

  • 更改权限相关的操作

但以上方案并不能完全解决根本性的交互摩擦问题

02 自适应多因素认证(Adaptive-MFA) 是平衡安全和用户体验最佳实践

为了解决上述问题,自适应多因素认证(Adaptive MFA)在多因素认证(MFA)的基础上增加了上下文识别,能够根据当前安全状况自动判断是否需要增加额外的因素认证。验证流程示意图如下:

所谓上下文识别,即对用户当前行为、来源、位置、操作等信息进行判断,并根据预设的策略进行验证。例如:

  • 用户行为:如是否来自常用的登录地点;是否多次输入错误的账号密码;等异常用户操作

  • 请求来源:对当前请求来源进行判断,如硬件设备信息、操作系统等

  • 位置感知:位置感知分为虚拟位置和物理位置

传统的多因素认证通常在用户登录注册后要求用户进行二次因素认证,如发送短信验证码或者 OTP 口令等。但自适应多因素认证将评估每次登录的风险,并根据风险级别决定是否要求用户进行二次或多次因素认证。例如:

  • 发出请求地 IP 地址的风险,是否来自陌生 IP、或高风险 IP

  • 陌生地理位置发出地请求,如异地登录等

  • 发出请求地设备是否为常用设备还是陌生设备等

但基础的自适应能力并不能完全覆盖现代数字化各类业务场景需求。在上文为什么要使用多因素认证中我们提到了多数企业面临的问题

1.技术力量受限,构建成本较高

Authing 为用户提供了快速接入和一键开关多因素认证(MFA)能力,可以针对不同应用、不同场景自定义多因素认证策略。

2.无法平衡安全性和用户体验

自适应多因素认证的优势在于,只针对高风险或敏感操作的用户要求进行多因素认证,而对于经常使用同一设备和相同位置访问应用程序的用户永将不会被额外要求其它认证。

3.已经实施了一些安全措施,但没有监测系统,无法评估其效果

通过 Authing 提供的用户行为日志可帮助您快速了解风险级别和对用户体验的影响。

除此之外,Authing 身份自动化编排引擎,在以上基础之上,允许更自由的实施多种安全策略,通过模块化的编排能力,管理员可以自由地将多因素认证(MFA)等安全策略放置在任何业务节点当中,不再需要研发为不同的业务线一个个的编写安全策略,将极大降低企业研发成本和员工工作效率。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/349142.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

尚医通(十五)医院排班管理

目录一、医院排班管理需求1、页面效果2、接口分析二、科室列表(接口)1、添加service接口和实现2、添加DepartmentController方法三、科室列表(前端)1、添加隐藏路由2、封装api方法3、添加/views/hosp/schedule.vue组件四、排班日期…

torch相比于numpy都干了什么——torch入门

Torch已深度学习框架被熟知,但它首先是作为Numpy的存在。我们首先比较一下Torch和Numpy有什么不同,为什么可以实现深度学习。 从数据结构看起。Numpy的强大之处就在于array的数据结构,它是多维数组,要求所有元素是相同类型的&…

人与人之间赚钱的差距在哪里呢?体现在这几个因素中

同样生而为人,同样接受九年制义务教育的熏陶,但最终赚钱能力却千差万别,因此也就形成了我们所谓的圈层,阶层,穷人和富人。 一个人的赚钱能力跟什么有关?资源技能、学历、认知,这些都会决定一个人…

搞清楚动态库和静态库的区别

什么是库文件 一般来说,一个程序,通常都会包含目标文件和若干个库文件。经过汇编得到的目标文件再经过和库文件的链接,就能构成可执行文件。库文件像是一个代码仓库或代码组件的集合,为目标文件提供可直接使用的变量、函数、类等…

visual studio 改变界面语言

在使用visual studio 2019 时,开始是英文界面,后面变成了中文界面。但是看视频教学时有的是英文界面,我就想回到英文界面,所以有切换界面语言的需要。其实操作很简单:工具-> 选项 打开界面在界面里选择环境&#xf…

axios中的resolvePromise为什么影响promise状态

axios的取消请求意思很简单,就是在发送请求后不久停止发送请求 本文探讨的是v0.22.0之前的CancelToken API,因为在阅读源码交流的时候发现很多朋友不理解为什么CancelToken中的resolvePromise会影响到实例对象身上的promise状态 即下图所示代码&#xf…

为乡村振兴塑形铸魂,VR全景助力美丽乡村建设

民族要复兴,乡村必振兴,文旅部一直推动乡村文化产业和乡村旅游融合发展,大力推进乡村文化数字化,为乡村文化振兴注入新动能。为了更好的给乡村振兴塑形铸魂,VR智慧乡村助力数字化乡村建设发展,利用VR全景展…

CMD SET % 字符串截取

:: 使用 CSDN Cobol 格式化风格。:: *. 百分号 (%) :: (1) % 作为变量引导符,有几种用途:在命令行窗口中,用 1 个 % 引号变量; 在批处理文件中,用 2 个 % 引号变量。[1] 两个 % 夹着一个变量名称,表示取(扩…

HashMap如何避免内存泄露问题

HashMap对于Java开发人员来说,应该是一种非常非常熟悉的数据结构了,应用场景相当广泛。 本文重点不在于介绍如何使用HashMap,而是关注在使用HashMap过程中,可能会导致内存泄露的情况,下面将以示例的形式展开具体介绍。…

【Java】properties 和 yml 的区别

文章目录properties和yml的区别① 定义和定位不同② 语法不同③ yml更好的配置多种数据类型④ yml可以跨语言⑤ 总结properties和yml的区别 这几天刚好看到Spring Boot当中有两种配置文件的方式,但是这两种配置方式有什么区别呢? properties和yml都是S…

hadoop考试应急

概述 四大特点:大量化、快速化、多元化、价值化 关键技术:采集、存储管理、处理分析、隐私和安全 计算模式:批处理、流、图、查询分析计算 Hadoop处理架构 了解就好 2007年,雅虎在Sunnyvale总部建立了M45——一个包含了4000…

Leetcode 每日一题 2341. 数组能形成多少数对

Halo,这里是Ppeua。平时主要更新C语言,C,数据结构算法......感兴趣就关注我吧!你定不会失望。 🌈个人主页:主页链接 🌈算法专栏:专栏链接 我会一直往里填充内容哒! &…

《Java并发编程之美》- 线程终止的方法

多线程并发编程之美 等待线程执行终止的 join 方法 执行的代码 public class MyThreadThree {public static void main(String[] args) throws InterruptedException {Thread thread_anew Thread(()->{try {Thread.sleep(1000);} catch (InterruptedException e) {e.prin…

信息系统项目管理师真题精选(三)

1、以下关于我国现阶段电子政务建设的叙述中,不正确的是:( )。A.我国电子政务建设一直坚持统一规划,加强领导,需求主导,突出重点的原则B.我国电子政务建设一直坚持整合资源,拉动产业…

静态代理和动态代理的区别以及实现过程

前言 代理模式是一种设计模式,能够使得在不修改源目标的前提下,额外扩展源目标的功能。即通过访问源目标的代理类,再由代理类去访问源目标。这样一来,要扩展功能,就无需修改源目标的代码了。只需要在代理类上增加就可…

《真象还原》读书笔记——第五章 保护模式进阶,向内核迈进(特权级,更新)

5.4 特权级深入浅出 5.4.1 特权级哪点事 计算机 访问 可分为访问者和被访问者。 建立特权机制为了通过特权来检查合法性。 0、1、2、3级,数字越小,权力越大。 0特权级是系统内核特权级。 用户程序是3特权级,被设计为“有需求就找操作系统”…

QT+OpenGL光照

QTOpenGL光照 本篇完整工程见gitee:QtOpenGL 对应点的tag,由turbolove提供技术支持,您可以关注博主或者私信博主 颜色 现实生活中看到的物体的颜色并不是这个物体真正拥有的颜色,而是它所反射的颜色 太阳光能被看见的白光是多找演的的组合…

Linux部署项目

一、手动部署 1、终端直接部署(前台运行) (1)在IDEA中开发SpringBoot项目并打成jar包 (2)将jar包上传到Linux服务器 mkdir /usr/local/app #创建目录,将项目jar包放到此目录(3&…

C++——哈希4|布隆过滤器

目录 布隆过滤器 完整代码 布隆过滤器应用 布隆过滤器的查找 布隆过滤器删除 布隆过滤器优点 布隆过滤器缺陷 布隆过滤器海量数据处理 布隆过滤器 位图只能映射整形,而对于字符串却无能为力。 把字符串用哈希算法转成整形,映射一个位置进行标…

Axure教程(一)——线框图与高保真原型图制作

前面我们学习了制作网页的技能,从这里开始我们来学习前端必备技能,就是用Axure来制作原型图,一方面我们能提前绘制出我们所需的页面,这在我们开发的时候能节省大量的时间,另一方面我们能通过给用户进行体验从而能够发现…