在智能手机、平板电脑、笔记本电脑和台式电脑上实施有效的身份验证。
身份验证是在授权访问设备或服务之前验证用户或设备身份的过程。
在每种情况下,可用的身份验证方法将取决于正在访问的服务和来自什么类型的设备。每种身份验证方法都有自己的优点和缺点。
作为一个组织,重要的是实施身份验证步骤,以平衡设备和服务的可用性和安全性。本指南将介绍一系列不同的用例和可用的常见身份验证方法,重点介绍安全优势和安全风险。这将帮助您为组织的设备设计和部署有效的身份验证策略。
为什么要认证?
在智能手机、平板电脑、笔记本电脑和台式机上,用户身份验证是防止未经授权访问设备及其上存储的数据的主要方法。它还在防止对设备设置进行未经授权的更改方面发挥着重要作用。
鉴于大多数企业服务将通过设备访问,重要的是:
-
验证设备用户的身份。这将确保只有那些有权访问的人才能获得授权。
-
如果服务包含您认为敏感的数据,则还应验证设备的身份和健康状况。这允许您阻止不符合企业策略的设备访问您的服务。
攻击者总是会瞄准身份验证系统中的弱点。许多常见的攻击寻找简单的方法来猜测或窃取用户或设备凭据。
使用这些凭据,攻击者可以冒充有效用户和设备,访问存储在设备上的数据,并连接远程企业服务。他们还将利用这一立足点进一步渗透到企业网络中。
考虑到这些潜在的后果,很明显,实施有效的身份验证对于希望防止帐户、设备或网络受损的组织至关重要。
为有效认证做准备
首先,您需要考虑要保护的资产的风险、它们持有的数据以及您面临的身份验证用例。在授予对系统和服务的访问权限之前,此信息将允许您制定适当的策略来验证用户和设备。
对于每个身份验证用例,您应该考虑可用身份验证方法的可用性和安全性。
身份验证用例
要考虑的主要用例是:
-
用户到设备
用户只有在成功通过身份验证后才被授予对设备的访问权限。
-
用户服务
用户只有在成功通过他们的设备对服务进行身份验证后才能访问企业服务。
-
服务设备
只有可以向企业进行身份验证的设备才被授予访问权限。
对于上述每个用例,在决定适当的身份验证机制时,重要的是要考虑哪些可用的身份验证机制最适合使用,同时考虑安全性和可用性。
用户到设备
在用户到设备 身份验证的情况下 ,常见的身份验证方法包括:
| 身份验证方法 | 考虑 |
|---|---|
| 密码或 PIN | 在智能手机、平板电脑、笔记本电脑和台式机上,密码或 PIN 通常是用户到设备身份验证的主要方法。他们仍然面临被猜测或被暴力逼迫的风险。但是,大多数设备都包含增强用户对设备密码或 PIN 以抵御离线 暴力 攻击的技术,从而限制攻击者重复猜测密码或 PIN 的能力。除了这些保护措施之外,如果 PIN 或密码仅用于对设备进行身份验证,那么只有当攻击者也可以物理访问设备时,了解它才有用。 |
| 生物识别 |
许多智能手机、平板电脑、笔记本电脑和台式机现在也具有指纹和面部识别等生物识别身份验证功能。这些可以提供方便和安全的密码替代方法。生物识别技术在其产生的误报率和否定率以及检测欺骗性生物识别技术的能力方面可能会有所不同。我们在单独的生物识别指南中提供了更详细的建议和建议 。 |
用户到服务/设备到服务
在 用户到服务 认证和 设备到服务 认证的情况下,常见的认证方法包括
| 身份验证方法 | 考虑 |
|---|---|
| 密码 | 由于密码相对容易实现,这仍然是目前用于用户身份验证的最常用方法。不过,密码确实存在一些主要弱点。要求用户记住和管理大量密码通常会导致 密码重复使用,以及使用 常见密码 ,这会使服务容易受到 密码喷射攻击或暴力破解。它们还容易受到 网络钓鱼、 鱼叉式网络钓鱼和服务器端凭据盗窃的攻击,最近的许多数据泄露事件都证明了这一点 。NCSC 有关于密码的广泛建议,包括 密码拒绝列表、设置 密码策略 对于您的组织,以及如何选择适当 安全的密码,用户应该会发现更容易实施。 |
| 证书 |
这些是包含私钥和签名公钥的长期凭证。需要访问私钥才能对其他服务进行身份验证,并可用于对设备或服务的用户进行身份验证。 应保护私钥免受恶意软件的访问(通过沙盒或其他访问控制机制,包括将其标记为不可导出)。私钥也应该通过设备的静态数据加密来防止硬件提取,或者如果不能以其他方式保护,则使用强加密密码。 有关如何管理证书和将证书部署到设备以及管理您的 PKI 基础设施的更多指导,请参阅我们关于 设计和构建私有托管公钥基础设施的内容。 |
| FIDO 2 验证器 |
FIDO2 是一套标准,它使用公钥凭据和协议提供加密身份验证,以提供更安全的密码替代方法来访问在线服务。它还降低了许多与密码相关的安全风险,包括网络钓鱼、凭据盗窃和重放攻击。 FIDO2 身份验证器可以是智能手机、硬件安全密钥或 PC 或笔记本电脑上的可信平台模块 (TPM)。身份验证器可以使用本地 PIN 或生物识别技术支持用户到设备的验证。这意味着只有在用户验证首先成功的情况下才能访问存储的密钥以对在线服务进行身份验证。一些身份验证器使用硬件保护的加密存储和反锤子进一步保护存储的密钥,以防止对本地用户验证的暴力攻击。 Windows Hello 和运行Android 7+ 的设备 是 FIDO2 认证平台身份验证器的示例。还有越来越多的支持 FIDO2 的硬件安全密钥生态系统,例如 Yubikeys 或 Google Titan 密钥。 例如,在企业场景中, Windows Hello 企业版 已经使用了 FIDO2。它需要使用 PIN 或生物识别(您知道/是的东西)进行用户到设备的身份验证,这允许访问基于公钥的凭据,绑定到设备的 TPM(您拥有的东西)。这允许用户对 Windows Active Directory 或 Azure Active Directory 进行身份验证,并获得对企业服务的访问权限。 Google 帐户 现在还支持 外部安全密钥和 Android 设备上的内置身份验证器,作为对 Google 帐户进行身份验证时的第二个因素。 |
服务的单因素与多因素身份验证
任何身份验证机制的安全性都取决于所选的具体实施和因素组合。
在某些情况下,使用单个因素可能是合适的。例如,在用户到设备身份验证的情况下,在考虑到诸如暴力保护或硬件保护存储等缓解措施时,使用单一因素对设备进行身份验证可能就足够了,这些措施可在当今许多设备上使用。
但是,对于服务级别身份验证,在单个身份验证因素 无法 提供适当安全级别的情况下, 多因素身份验证 (MFA) 可以显着增强安全性。
内置设备身份验证机制可以扩展为直接与您选择的身份提供商集成,以 使用绑定到设备的基于公钥的凭据提供无 密码 和 多因素身份验证,通常可以提供可用性和安全性的最佳平衡。Windows Hello 企业版就是一个很好的例子 。在用户拥有不止一台设备的情况下,使用 FIDO2 安全密钥可能会提供类似的好处。但是,您需要在设备上并与您的身份提供者一起调查对此的支持。
某些企业身份验证服务还可以与移动设备管理 (MDM)集成 ,以在授予对企业服务的访问权限之前 考虑环境因素,例如 网络位置、 设备合规性和 设备健康证明。这种类型的 条件访问 在零信任网络架构 或 自带设备 (BYOD) 场景中非常有用 。
单点登录服务
企业单点登录可用于使用通过您选择的身份提供商管理的单一身份源登录在线服务。这可以通过减少需要进行身份验证的次数和减少对密码的依赖来显着改善用户体验。它还使管理加入者、移动者和离开者变得更加简单且不易出错。
记录和监控
除了身份验证机制外, 还应设置适当的日志记录, 以监控身份验证以及对设备和服务的访问。对身份验证系统的攻击是您将面临的最普遍的攻击之一,因此将这些事件捕获到您的审计日志中是一种检测潜在问题的高效方法。
如何有效地进行身份验证
在设计和实施企业身份验证时,您应该:
-
选择支持对用户和组织使用的设备进行多重身份验证的企业身份提供商。使用您的身份提供者配置您的在线服务以使用单点登录身份验证。
-
根据上述注意事项选择可最大限度提高可用性并提供适当安全性的身份验证因素,并确保在选择在组织中使用的设备时所使用的设备支持这些因素。
-
为用户提供明确的认证政策和指导。
-
实施实用的用户到设备身份验证策略,包括使用生物识别和可用密码策略。
-
在可能的情况下,减少对密码的依赖并实施无密码身份验证,例如Windows Hello。
-
在访问服务需要密码的情况下,鼓励使用密码管理器。
-
对于机器身份验证,部署使用基于硬件保护的公钥的唯一绑定到设备的凭据的机制。在可能的情况下,考虑将其与其他上下文相结合(例如,在 Windows 上,您可以使用网络位置、设备合规性和设备健康证明)。这在零信任网络指南中有更多讨论。
-
部署企业单点登录以访问服务。将此与强大的用户和设备身份验证相结合,使用多因素身份验证或条件访问。
-
对身份验证成功和失败实施适当的日志记录和监控。
原文始发于微信公众号(河南等级保护测评):设备安全指南-企业认证政策
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论