谁需要两因素身份验证?可能你。
企业和机构数据的隐私、机密性、完整性和可用性面临网络攻击的风险,这已经不是新闻了。降低未经授权访问数据“金蛋”的风险至关重要。
我认为目前加强访问控制的最好方法之一,特别是对于访问公司应用程序的远程用户来说,是使用双重身份验证。两因素身份验证要求数据用户同时拥有两个正确的元素,以便通过身份验证;有些是他们有的,有些是他们知道的。这比仅仅使用用户名和密码的身份验证稍微强一些,因为它还要求用户在身份验证过程中拥有自己身上的特定物理设备。
如果用户丢失了称为令牌的身份验证设备,那么他们的用户名和密码就没用了。如果有人能够窃听到密码和用户名,那么这些信息也将是无用的,因为每次会话的密码修改频率至少是一样的。
任何重视安全性的组织都应该认真考虑实现双因素身份验证。关于这项技术的三个早期担忧是:
1.管理身份验证引擎。
2.不便:代币只是随身携带的其他东西。
3.管理丢失的令牌。
在我看来,新技术和新工艺已经很好地解决了这些问题。例如,你不再需要令牌设备;智能手机现在运行良好。运行适当令牌应用程序的智能手机定期与身份验证服务器通信以接收新密码。并且服务现在将身份验证服务器作为外包服务提供。
以下是一些你可能想要调查的两要素服务和技术供应商:
RSAhttp://www.rsa.com/node.aspx?id=1313
Pinsafehttp://www.swivelsecure.com/?page=principlesofpinsafe
Delfigo是一种多因素身份验证,使用多个因素进行身份验证和分配多个级别的授权。http://www.delfigosecurity.com/multi-factor-authentication?gclid=CNPnuqyc76QCFcZrKgod0nFo0w
为了避免混淆,我在这里讨论的两个因素身份验证是针对驻留在服务器上的应用程序的——不是用于访问实际智能手机的身份验证。例如,作为双因素认证的标志,黑莓是一个流行的平台。然而,这篇文章不包括安全访问实际黑莓设备,这是RIM提供的技术。
双因素认证也与黑莓自己的加密服务无关。黑莓加密技术是基于RIM的黑莓企业服务器技术:http://na.blackberry.com/eng/ataglance/security/features.jsp
我还需要数字签名吗?
可能是的。
数字签名与两因素身份验证互为补充,绝对不是互斥的。双因素身份验证加强了对应用程序(包括面向web的应用程序)访问的身份验证。数字签名用于加强身份证明、保密性、完整性,以及电子通信和网站访问的发件人证明。有一个安全的星期。
Ron Lepofsky CISSP, CISM,www.ere-security.ca