从目标到下周遭到违反的人,那些丢失客户数据的公司的一连串公司应该制作企业重新思考,而不仅仅是他们如何保护客户信息和账户,而且是否希望自己运行客户和消费者身份服务。
尽管攻击是家常便饭,但用户的身份信息往往得不到充分保护。快速浏览一下Stack Exchange就会发现,有许多开发人员不知道如何处理加密或安全存储用户名和密码,这令人担忧。许多公司的支持实践将客户数据置于危险之中,从技术错误(如跨站脚本漏洞或不安全地提供登录页面),到糟糕的架构决策(如阻止密码管理器或糟糕地处理密码重置,包括发送纯文本密码)。的纯文本违法者网站和安全专家特洛伊·亨特这两家公司都收集了很多例子,其中很多来自家喻户晓的名字。
即使您正在确保您自己的客户身份良好,当人们经常重复使用用户名和密码时,您在其他网站被违反时出现风险。
身份——作为一种服务
微软Active Directory团队负责人亚历克斯•西蒙斯表示:“用户名和密码对进入你的网站很有价值,但对进入其他网站来说,它们甚至更有价值。”“每次有信息泄露,至少有20%的人与其他网站匹配。你只是不想让你的用户名和密码的网站成为目标,但你也不想负责维护所有的补丁和正确的加密方式,确保它处于锁定状态,没有人可以进入。”
[相关:如何赢得关心安全的千禧一代的信任]
西蒙斯说,正确的身份认同需要经验、专业知识和持续的研究,因为这是那些试图闯入的人所拥有的:
“你必须了解地下发生了什么,才能知道该去哪里。你最好有现代的加密技术,你最好知道如何有效地加密,要运行多少次迭代,以及如何在迭代和CPU带宽以及所有这些类型的东西之间进行权衡。你必须跟上它,因为网络罪犯的世界发展得太快了。这里的挑战非常高;罪犯是专业人士,他们有工具供应链,他们可以去买一个你从未见过的无声IP地址,他们可以在公开市场上获得黑客工具进入。那是有组织犯罪,你不会想要一群外行来保护你的。你需要找专业人士,让他们帮你运作。”
开发商身份识别服务公司Auth0的首席执行官乔恩·格尔西(Jon Gelsey)对此表示赞同。“整个网络或移动应用程序、API或物联网设备的‘安全’概念是复杂的。为应用程序实现强大的安全性意味着开发人员必须不断地意识到快速发展的威胁,并且必须具备将安全性适当地集成到应用程序中的技能。因为最好的安全性是实际部署的,所以对开发人员来说,实现必须尽可能简单。”他说,身份识别服务将更容易使用,开发更快,并将提供更好的安全性,他希望这成为“鼓励公司从第一天起就推出具有适当安全性的应用程序”。
Twilio旗下Authy服务的负责人马克•博罗迪茨基(Marc Boroditsky)表示,在一些行业,使用身份识别服务的趋势正在形成。“企业擅长通过生命周期控制来保护员工信息,但管理消费者数据的风险超出了他们的能力。确实有一些有能力的服务提供商能够提供更好、更可交付的解决方案。5年前,大型零售商开始努力将这些业务转移给第三方供应商。由于服务和制造关系相互作用的复杂性,汽车行业已经开始将身份识别外包给将其作为服务提供的中央供应商。”
他指出,如果你访问的是OnStar,那么你就是在通过Covisint这样的服务。
安全从规模
皇马决定为他们的开发人员简化身份,他们一直在使用微软新的Azure AD B2C服务,Simons将其描述为“Azure Active Directory的私人标签版本,以运行您的消费者网站”,因为它是在私人预览。粉丝可以使用用户名和密码登录,或者使用Facebook之类的社交账户,这可以在网站或团队制作的任何移动应用中使用。但他们看到的是皇家马德里的网页,而不是微软的,因为这很容易设计网站的风格。
通过身份识别服务提高安全性可以节省资金。“我们的定价非常实惠;我们可以帮你运行它,比你自己运行它要便宜得多,而且还能得到所有其他好处,”西蒙斯说。前5万个消费者身份是免费的;如果你的业务需要更多,微软会“对每个身份验证和每个存储身份收取一美分”。这将为您提供在Azure规模下、在全球多个数据中心运行的高可用服务(因此无论您的客户在哪里,连接都很快)。“如果数据中2020欧洲杯预赛心烧毁或磁盘坏了,或其他任何情况,我们可以立即重新路由到另一个活动节点,这样就不会出现任何停机时间。”
重要的是要注意,仅仅使用身份服务并不能保证您的安全。正如特洛伊·亨特(Troy Hunt)所说:“如果你不知道自己在做什么,你怎么知道自己选择了正确的服务?”首席信息官需要投资教育,而不是试图将安全责任外包出去。亨特说:“他们应该确保那些做出这类关键决定的人接受了适当的培训。”
西蒙斯同意:“知识没有替代。您必须进行投资以跟上这些事情。你必须在多层思考它,并在深度故事中具有良好的防守。但是,这有很大的碎片,你可以外包给像我们这样的聪明人。您的身份安全:我们可以为您提供保护。然后表面区域和你必须担心的威胁模型的复杂性减少了。“
[有关的:为什么到了和密码说再见的时候了]
许多公司在支持和账户管理方面都做错了。如果您的系统可以将忘记的密码邮寄出去,那么您就在某种程度上存储了未加密的密码。Simons说:“我们B2C系统最酷的一点是,它全是工作流和元数据驱动的。“所有这些工作流程,比如如何重置密码,如何回答双因素身份验证挑战;我们为您生成电子邮件。你在元数据中声明“这是我想让它工作的方式”,我们关注最佳实践。你从来没有一个用户说“嘿,支持团队,把我的密码发给我”。我们有一个很好的流程来证明他们拥有这个账户,也许是用他们的手机,他们有机会安全地重置密码。这是关于管理身份的生命周期,这都是在政策中完成的。”
一个优点是难以自行的是atzure b2c等身份服务的规模,以及微软从管理每天登录的500万Microsoft帐户用户。为了保护它们,Microsoft积极寻找它所谓的濒危账户。“我们有一个与各国政府和其他公司合作的团队,并在黑市上看起来并挑选泄露的用户名和密码,”西蒙斯说。“我们通过我们的服务运行这些,我们可以提醒您在您的租户中潜在地妥协客户和员工的用户名和密码。我们可以帮助您采取行动,因此您可以要求他们进行多因素身份验证或重置密码。“
该B2C服务还将使用一个已经到位的系统,以保护微软账户不受弱密码的影响。“如果你输入了1000个最常用的密码之一,我们会要求你‘请选择一个更难猜的密码’。”
密码并不是保护账户的唯一手段。“当你登录时,我们会查看用户的90多个上下文属性。如果你提供了正确的用户名和密码,但你使用的上下文是错误的——如果你来自一台我们从未见过的机器,你来自Tor网络,你将无法登录该服务。”
微软还与谷歌和Facebook等服务合作,以便更容易发现跨不同服务的攻击或受损账户(因为攻击者在一个服务上破解了一个账户,通常会在其他系统上瞄准该用户,在那里他们可能会重复使用自己的密码,因为一个账户通常通过使用另一个账户重置密码来获得安全)。
此外,它的工作要帮助停止僵尸网络意味着它现在控制了世界上最大的十个最大的僵尸网络。它离开了运行的命令和控制服务器,以便在他们报告到服务器时,可以跟踪使用恶意软件感染的IP地址。Azure Active Directory客户可以看出任何自己的IP地址是否受到感染,但Microsoft也可以在Azure B2C中使用,以保护您试图登录您的服务的受感染客户。
保护自己不受伙伴的伤害
许多公司必须处理的其他外部身份是那些为合作伙伴提供访问网络的公司。由于重复违规事件证明 - 从他们的合作伙伴到卫生兵的业务中受到SQL Slammer的银行,通过该企业通过哪个黑客破坏目标的网络 - 这很难进行对。
“传统上,企业遵循两种模式,但都以失败告终,”西蒙斯说。“联邦模式是昂贵的,从合规的角度来看,这是一场噩梦。我只是想让某个人送个礼物给我。另一个失败的模式是使用合作伙伴身份运行一个单独的目录——所以现在他们有不同的身份需要处理,我必须有一个服务,他们可以调用重置密码,然后当员工离开他们的公司时,我不知道这一点。”
一个替代方案是新的免费Azure B2B服务,用于与其他公司合作。“你可以在云中的租户之间建立信任关系,以便您可以在公司之间分享应用程序和文件,”西蒙斯说。这将使用免费的Azure广告租户,任何企业都可以设置(许多公司都有一个,因为Azure和Office 365的广泛采用。“当您邀请合作伙伴时,如果他们有一个租客,我们使用那个,如果不是我们无形地创建租户。您可以邀请特定用户,因此您可以看到租户中的关系的可见性。您可以在将它们添加到访问的群体的意义上看到您的合作伙伴并管理它们。如果员工离开我的伴侣的租户,他们自动删除。“
西蒙斯表示,保护账户和登录信息不再是一个单纯的技术问题;这是商业能力的一个关键领域。“我们知道,如果你的用户名和密码泄露,你的股票会下跌20%,你的首席执行官会被解雇。这已经不是一个小问题了。”
这个故事,“是一个作为服务的身份的时间吗?”最初发表首席信息官 .