企业验证用户根据自己的知识,占有,或一些证据固有它们与给定的访问权的一方。有些专家认为该用户的身份验证的情况下,如时间,其网络IP和设备,以及其作为身份验证的第四个因素的位置。
斯蒂芬·科布,在ESET高级安全研究员说,你可以用你添加认证的每个附加因素保证更高的安全性。
MFA是比以往更加重要的攻击者越来越多闯入使用单因素认证,有时甚至是那些有两个因素账户。在一个例子中,攻击者试图通过获得第二个因素这要求用户网络钓鱼的文本发送过来的令牌。
CSO看一些最新的MFA技术和方法,好处和挑战,以及如何将这些有助于保持攻击了。
MFA技术使用的因素,如你知道的东西,你有什么事情,有些东西你是,你的背景。因素你必须知道包括用户名,密码,密码短语,PIN码和信心的图像(您预选给你,确认该网站是真正的图像)。认证因素,你必须有包括令牌和一次性密码(系统向您发送一个代码,您必须键入,除了您的密码)和加密密钥。你是因素包括生物识别和基于行为的验证。环境因素包括你的可验证的位置,当你进行身份验证的时间,设备,或者你使用的IP地址。
有些认证方法已经看到显著的改善。公钥基础设施(PKI)加密的改进包括虚拟智能卡,使用可信平台模块(TPM)。同时限制他们到具有TPM设备使用虚拟智能卡保障的加密密钥。“虚拟智能卡可在几乎所有的设备,” Versasec的CEO乔金 - 的Thoren说。
基于上下文的认证增加了用户的行踪(与时间和IP地址或设备他们使用)确定是否进行身份验证更容易或更困难时,作为一个考虑因素。企业可以利用技术,如智能手机,蓝牙政策信标,GPS和执行这种认证。
“从总部内一部手机访问将允许更宽松的认证,而在中国的网吧接入将触发额外的安全措施登录”的Thoren说。企业还可以考虑时间,当用户和他们以前从未使用过的设备或IP地址之前从未连接。
有使用旧的生物识别技术是提高安全性的新方法。“把安全设备上的生物特征模板,如智能卡是要走的路。如果你把指纹的服务器和黑客攻击到它,根本就没有办法发出新的指纹,使其过时”的Thoren说。
“行为特征识别用户的行为,比如他们在键盘上键入如何。基于行为的认证是一个相对较新的MFA方法,并通过持续监视行为,可以检测到入侵一个非常有效的方式连续认证”的Thoren说。
在使用的OTP的略有改善,厂商发送经由语音呼叫,电子邮件和SMS消息进行安全令牌。有些应用程序生成的令牌,以及。
更多的利益/挑战
有优势和挑战,以组织和用户之间的新类型的身份验证。较新的基于TPM的PKI应用程序(虚拟智能卡)的优点包括了基于文件的标记,你必须进一步确保使用密码和加密的安全性。
生物识别技术都有各自的优点和缺点。如果您使用生物识别技术更换密码,你不必对用户的内存数。但是,如果它不能正常读取或准确地确认指纹其中一个密码,正确输入会成功的生物方法可能会失败。如果这项技术不能识别指纹,那么用户必须通过其他方式进行身份验证。“用户需要备份,就像一个安全代码,这意味着你还必须有PIN码/密码的程序,”的Thoren说。使用语音识别生物与面部识别相结合,使得它更容易识别,用户比指纹扫描呢,消除了附带指纹的挑战。
据科布,还有其他一些问题与生物识别技术,如基于宗教理由的人损坏的指纹,手形,是在铸造,或反对生物特征测量。“此外还有一些与生物权衡,如误报和速度,”科布说。在任何情况下,一个企业可能有无效生物认证暂时并使用另一种方法。
那要看是什么用户记忆或携带可以增加访问故障或增加安全隐患每个认证过程。随着基于上下文的认证,如果攻击者拥有对用户的设备,他们可以控制验证这一因素,帮助他们的攻击。这同样适用于通过发送语音通话,电子邮件或文本标记;如果有人已经威胁到设备或帐户,那么他们也破坏这种形式的认证。
用户也可以发现它侵犯隐私,要求他们的指纹或面部生物识别地图。“当用户使用他们的个人设备用于工作,企业可以问他们的部分或全部管理权限或硬件,它可以使很多员工不舒服的所有权”的Thoren说。
科布说,在企业,到MFA的挑战包括说服大多数系统需要MFA和获得认证的多个因素在这些系统上的人。“有力地推动了应对这些挑战是现在黑市销售验证帐户凭据目前爆炸袭击者已精简的过程中很容易被利用的形式把这些推向市场,”科布说。
使用MFA,尤其是员工在互联网上访问任何企业数据的增加的另一大驱动程序是一个越来越常见的各种攻击勒索。“攻击者正在使用的勒索,他们通过远程桌面协议(RDP)植入目标公司的服务器。他们使用蛮力攻击对RDP失利密码保护,然后在服务器上关闭恶意软件防护,加密重要文件的企业,并要求有关钥匙钱显著款项。MFA能战胜这些攻击,”科布说。
什么是MFA意味着攻击者?
MFA防止共享密码的用户;密码共享之前创建一个很大的风险,为企业。MFA可以预防许多由内部和第三方供应商所犯下的高调攻击。“双因素身份验证可以为防止内部威胁的安全级别。目标可以通过实施MFA都避免其违约行为,”的Thoren说。
MFA完成它是什么打算这样做。对于MFA系统的目标是防止盗窃的凭证。这是很难盗取认证的其他因素。其他身份验证措施的正确选择可以让登入负担较轻的用户,谁就能然后做更多的事。
“添加的东西像情境感知认证和行为特征有利于您的组织,因为它的工作在后台。您的用户体验并没有改变,但你已经增加了你的网络的安全态势,” VID的姐妹,在Accudata系统的技术实践总监说。
使用认证的三个因素可以消除网络钓鱼和座板强力密码猜测和数据泄漏所带来的回报。“通过增加更多的日志中的因素,您呈现被盗无效帐户信息”的姐妹说。
MFA作为端网络钓鱼
“MFA保护谁拥有它的安全性,以及谁在不明来历的电子邮件链接点击并给出了账户信息,以钓鱼式攻击用户的理解人”的姐妹说。除非攻击者弄清楚如何诱骗您的整个网络环境和您的系统唯一标识你的所有行为,这种MFA应该制止钓鱼。
这个故事,“在多因素认证进展(MFA)技术”,由最初发表CSO 。