网络安全 频道

密码并非万无一失 三种方式加强用户认证

    【IT168专稿】许多企业在用户认证方面正在减少对用户名和密码的依赖。他们同样也在了解部署强用户认证系统可以带来的收益来提高网上身份保障的水平。这也是保障信息访问和风险管理安全方法的一个环节。

    Aberdeen集团的Derek E. Brink和Tom Karol表示,企业应该通过部署强用户认证系统以提供更高的身份保证。如果能够做到这一点,企业的人为失误会进一步减少,并且管理所需的总体成本也会比原来更低。

    经过对安全和总拥有成本(TCO)进行权衡,以及对最终用户和应用程序作出调整后,企业应该选择和部署强大的用户认证解决方案。

    Aberdeen的研究表明,调查中几乎所有的企业(98%)表示他们将会继续通过用户名/密码来对访问系统、网络、数据和应用程序的最终用户进行认证。然而,在所有的被调查者中几乎半数的企业(48%)已经部署了至少一个更强大的,非密码的用户认证方法。

    大多数的被调查者已经采取措施开始加强密码的安全,例如这样的做法:

  •     •密码长度要求(71%的企业),密码复杂性(62%的企业)和更改密码的频率(36%的企业)
  •     •限制重复使用密码(58%的企业)
  •     •排除标准字典条款(55%的企业)

    上述步骤加强了密码的安全,也使最终用户的密码更加繁琐。难以猜测的密码也让人更加难以记住。要想记住密码,人们最基本的做法是把密码写下来(这让密码更加不安全)和通过帮助平台获取密码(这增加了成本)。

    令人吃惊的是将近三分之二的被调查者(64%)目前根本没有更改密码的需求。毋庸置疑,没有一个企业希望通过管理以密码为基础的用户认证策略让风险、成本和麻烦变得更多。

    密码数量的增多导致了问题的增多。在正常情况下,企业员工可能需要使用一个六位密码或者更多字数的密码登录Windows操作系统,以及数据加密、远程访问(例如VPN或者安全套接字层SSL VPN),WiFi访问、电子邮件,基于Web的应用软件或门户网站,以及内部应用软件(如人力资源或企业资源规划)。

    规模更小的用户组可能需要使用密码来访问特权帐户(即行政职能)或进行价值较高的交易活动。目前的调查显示,几乎十分之九(88%)的企业用户设立了多个与工作相关的密码。

    Aberdeen集团在过去的一年中看到了许多关于安全基准的研究:风险、法规、内部策略,以及行业非常好的做法和那些引领市场发展的标准(这些标准的流行源于“企业及其品牌的保护”意识的增强。)所以,最近,越来越多的企业把资源重点用在评估和执行更强大的非密码形式的用户认证上。

    “降低成本”是Aberdeen集团的安全研究中最近出现的主题,但是,对身份安全投资引导者来说最有价值的是:人们觉得密码是免费的。“Security Governance and Risk Management的《2007年11月报告》研究结果首先显示出,非常好的企业已经开始研究安全治理,风险管理以及法规遵从(GRC)的过程,以便更有效地分配他们有限的IT资源和在其业务目标和可接受的风险程度上进行业务活动。”

    建立在一致的用户认证政策基础上的策略与目前在强用户认证系统上的投资有着很大的关系。我们的研究发现,作为目前投资的引导者,在top performers中有24%的人愿意制定一个明确的策略来降低用户认证证书管理的总体成本。

    3个不同的策略方针帮助选择和执行具体的强用户认证系统:

    1、使用合适的工具。第一个办法是执行适合于每个应用和最终用户的用户身份认证方法。企业可能使用硬件tokens来管理对特权帐户的访问,使用数字证书管理员工通过VPN进行远程访问,以及启发式的基于风险的外部用户网络访问评估系统。这些系统的管理都是独立的。

    2、功能较多的用户认证方法。第二个做法是对所有的应用程序和最终用户建立一个普通的用户认证方法。这方面的例子就是一个美国联邦政府机构,他们按照美国《国土安全总统令 12 号》(HSPD-12)的要求使用智能卡,就像2007年12月的《Logical/Physical Security Convergence: Is It in the Cards? 》基准报告中描述的那样。

    3、通用平台。第三个办法就是使用一个通用的可管理多个用户认证办法的用户认证设施。同样的例子,一个公司,部署了硬件token、数字证书以及针对不同的用户和目的的启发式的基于风险的评估系统。在这个案例中,不同的是企业可以执行一个通用的back end来建立和执行政策,并且通过生命周期更持久地管理认证证书。

    然而这些目前还属于新生事物,被人们接受还需要一个漫长的过程。我们明显地看到甚至是表现最好的企业也正处于这样的一个背景下,他们通过部署强用户认证系统提供个更高的用户身份保证。

    通用平台策略与降低管理现有强用户认证设备成本的目的是一致的。目前,除了用户名/密码方法之外,大多数非常好的企业已经部署了至少一个强用户认证系统,并且约一半的企业已经部署了两个甚至更多的强用户认证系统,用具有互操作性、更具成本效益的替代品来取代现有的解决方案。

    研究表明,密码仍将是个问题,并且丰富多样的强用户认证替代品将会继续有很大的市场。那些已部署了至少一个强用户认证系统的企业应该在深入研究参数与解决方案的性质后再做出选择。在制定策略时,企业应该经过一番深思熟虑的思考,选择适合自己后端的各种各样的方法;选择适用所有用户的方法;选择可在通用的后端上运行的多样化的方法。解决方案供应商可能会变成对具体的方法进行改革的“身份认证专家”,以及让一般的支持和生命周期管理适合于多种方法的“身份认证平台”。

    我们已经看到,市场上出现了强用户认证系统替代品的很多生产商。TCO的四个高级别类型分别是:适合最终用户,适用企业,并且策略提供了一个有用的框架,用于将一个强用户认证系统与另一个进行比较。

    企业现在在选择产品的时候首先应该解决的还是权衡问题。对用户来说有个好消息,那就是产品市场的发展继续趋向多样化、灵活性和优质。人们选择出正确的强用户认证系统应该首先在解决方案性质和企业性质间作出平衡(即使用情况和选择的标准)。

    如果不通过用户身份认证方法,根据自然生命周期,非常好的企业的用户身份认证证书管理也表现出色。在某些情况下,这将支持一个更普遍的以平台为导向的方法。研究发现,在四个高级别配置选项(用户支持,deprovisioning和业务运营/管理)中,表现最好的是目前的前端配置。做好如下两方面将会让产品更受用户的青睐:最终用户的自助服务以及关于从身份认证解决方案中提取情报。企业不仅应该寻求扩大强用户认证系统部署的方法,还应该改善其在具体环境中的证书生命周期管理。

    非常好的企业所取得的成果告诉我们,身份认证的基础应该建立在对用户身份认证和授权的一贯的政策上,以及明确的责任制度和对政策和证书生命周期管理的所有权。通过强用户认证系统提供更高的身份保证是信息保护和风险管理的一个重要组成部分。并且人们可以更好地意识到如下几方面可为企业带来更高的商业利益:改善的安全保护、持续的法规遵从、人为失误的减少,降低对帮助平台的需求以及更低的管理总体成本。

0