选择双重认证产品时要考虑的问题
双重认证技术可以帮助企业保护用户身份信息,降低企业环境中未授权访问和盗取身份信息的概率。此外,它也能够帮助企业符合法规标准和满足合规性要求。例如,PCI DSS 8.3规定:“员工、管理和第三方组织远程访问网络都必须使用双重认证。”
并非所有企业都必须符合PCI规范,但是PCI DSS被认为是一种基本要求,所以如果一些组织还没有应用双重认证策略,那么最好现在开始启动这个过程,当然先要评估供应商的技术。
在确定双重认证需求并开始规划项目时,组织应该考虑下面所列的建议:
• 理解企业IT环境——包括理解企业内部或外部用于访问信息或数据的技术,以及了解IT政策的应用方式和所采取的保护措施。例如,员工是否可以通过移动设备访问企业信息?或者,企业是否使用SaaS提供商托管的SaaS应用程序,以及这个SaaS提供商是否支持双重认证数据保护机制。
• 寻找目标用户——双重认证是否只应用于特定的业务部门,如销售或营销部门,或者也应用于远程作业和合作伙伴?一般而言,大多数组织只为VPN访问提供双重认证。要将实现范围限制在一些特定的用例上,至少是在早期阶段。
• 采用有利于控制风险的方法——有利于降低风险的技术,现在大多数组织都会选择。所以,当目标用户范围不明确时,只为那些访问关键业务信息或知识产权的用户提供双重认证,不论用户是员工还是第三方人员,是从企业网络还是从远程位置访问这些信息。
• 避免不必要的开支和复杂性——供应商不同,企业需求和规模不同,实现的总成本也不同。在确定成本时,要考虑用户数量、办公位置、企业的全球分布及支持与帮助台覆盖情况。
实现双重认证的挑战
双重认证并不容易实现。例如,安全公司Duo Security最近报告了谷歌双重登录流程的一个严重问题。这个问题很快被修复,它源于谷歌在许多服务上使用的一个特性。尽管谷歌是一个互联网巨头,有非常先进的技术,但是它的实现也仍然会出现问题。
一定要知道,在任何组织中,大范围部署双重认证都是一项非常复杂的任务。但是虽然实现一个覆盖整个基础架构安全双重认证平台会遇到一些困难,但是事先了解可能出现的问题将有利于减小出现问题的概率。
例如,遗留的软件和服务必须经常为了双重认证重新调整,或者需要一个身份认证框架用于不同的内部或外部工具,才能在整个企业范围支持双重认证。有时候,双重认证框架的选择需要很多的定制,这往往要在软件架构真正开始实施整合时才能够确定。
双重认证也很可能会影响用户体验。他们可能认为,每次登录时都带一个可信设备或硬件是很麻烦的事情。所以,一些需要频繁访问的系统认证上,要允许用户选择跳过双重认证。
双重认证实现遇到的一些困难和问题,可以通过下面这些方法处理:
• 选择一个符合企业需求的方式。这些方法包括基于硬件/软件的令牌或者向智能手机发送短信(SMS)。地理位置集中的企业更愿意使用物理令牌,而工作场所不断变化的企业则喜欢使用基于软件的令牌或移动方法。
• 考虑使用分阶段方法。显然,一次性在整个企业范围实现可能会让一部分人不适应。同时,应用与系统拥有者会发现一次性迁移更容易实现。但是,这对于最终用户和帮助台支持人员而言则完全相反,他们不得不在迁移过程提供支持和解决问题。此外,这也会增加项目开支。
• 提供足够的用户支持。安装和配置后台服务器组件需要一定的时间,整合和测试应用程序也需要时间。自助服务、足够的培训和人员完备的帮助与支持团队,都是帮助用户适应这项技术并成功度过转变时期的重要条件。
双重认证正成为现代企业IT安全项目的重要组成,但是它在理解、实现和管理上有一定的复杂性和难度。组织必须认识到,只使用密码的传统认证机制本身不够可靠,可能无法再提供足够的安全控制。在现在充满威胁的环境中,必须应用双重认证,才能防止未授权用户访问重要企业系统,同时阻挡源源不断的危险攻击者。