通常,使用短语“多因素身份验证”时,人们首先会记住您使用在线购买卡付款时附带的SMS代码。 想到带有数字,令牌的闪存驱动器的机会要少一些。
今天,我将讨论其他多因素身份验证方法以及它们可以帮助公司解决的任务。 我将讨论金雅拓Safenet身份验证服务(SAS)解决方案的示例,该解决方案以云服务和FSTEC认证的本地版本的格式存在。
每个人都大致了解什么是多因素身份验证:这是除了密码(知识因素)之外,您还需要输入其他确认因素的时候。 其中有两个:
- 所有权因素(我所拥有的):来自SMS,电子邮件,移动应用程序,USB密钥等的代码。
- 属性因子(我是什么):指纹,虹膜。
通常,在公司内部,多因素身份验证用于防止未经授权的访问VDI,Web门户(OWA,各种ServiceDesk,Confluence,Microsoft IIS),VPN,云应用程序(Office 365,Salesforce)。
以下是一些使用SafeNet身份验证服务可以解决的任务的示例。
挑战:符合PCI DSS多因素身份验证是
PCI DSS标准的要求之一(第8.3条)。 此外,该标准要求多因素身份验证是一个步骤:密码和第二个因素必须在同一字段中输入。 如果攻击者试图占有该帐户并在输入时犯了一个错误,则他将不明白在密码或令牌中的错误出处。
解决方案:一站式多因素PIN + OTP身份验证这种基于SafeNet的身份验证方案是在我们的IaaS平台中实现的,该平台符合PCI DSS和152-要求-Cloud
-152 。 Cloud-152平台的管理员将其传递给管理段。 要进行授权,您需要在一个字段中输入PIN和OTP,该字段随Mobile Pass移动应用程序中的推送通知一起提供。
这就是在DataLine端对Cloud-152管理员进行身份验证的方式。
*应该有SafeNet Mobile Pass的屏幕截图,但是应用程序阻止了这些屏幕截图。挑战:没有智能手机和移动互联网的员工的两因素身份验证该公司打算将两因素身份验证引入访问工作站。 该公司在俄罗斯各地设有分布式办公网络,许多员工的移动互联网不稳定,甚至根本没有智能手机。 事实证明,将移动应用程序的推送通知作为第二个因素是行不通的。 SMS和物理令牌由于成本高而消失。
解决方案:使用GrIDSure作为第二个因素GrIDSure是一次性密码(OTP)。 它由带有字符和模式的表组成,用户在设置身份验证时自行设置。 为了进行授权,用户根据此模式从表中选择字符,然后输入作为第二个因素。
该表包含用户授权工作站时收到的字符。
接下来,用户只需遵循所选的模式。 例如,像这样。作为字符,可以使用数字,字母和特殊字符。 该表的大小是可定制的:它可以是5 x 5或更大的表。
每次尝试身份验证时,都会更新该表,因此无法清除此密码。
Gridsure也不需要移动应用程序,因此也不需要具有移动互联网的智能手机。 GrIDSure显示在与受保护服务相同的界面和设备上。
目标:保护Web服务免受暴力攻击基于SafeNet的多因素身份验证可用于保护Internet上发布的Web服务,例如Outlook Web App(OWA)。 Safenet支持RADIUS和SAML协议,因此可以轻松与Microsoft Outlook,Office 365,Saleforce,Dropbox,Apache等集成。
如果攻击者知道电子邮件,那么他将能够通过猜测密码来攻击此类服务。 此类攻击的目的可能并不总是捕获该帐户,而是阻止它。 从理论上讲,您可以阻止整个公司的邮件。
解决方案:使用OTP作为第二个因素在这里,您可以使用GrIDSure或Mobile Pass作为第二个因素。
任务:令牌的发行和维护自动化一家拥有2万名员工的分支机构分布式网络的公司,已经在使用GrIDSure作为第二要素的两要素身份验证。
问题在于管理员必须花大量时间进行令牌维护:发布新令牌,重置模式等。
解决方案:使用自助服务门户SafeNet具有自助服务门户,可帮助自动执行日常操作并减轻管理员的负担。
在自助服务门户上,用户可以保留发行令牌所需的所有信息。 管理员只能对其进行确认,并发送指向令牌形成的链接。 如果用户忘记了为GrIDSure选择的路径,那么他可以再次在此处独立重置并设置一个新路径。
任务:对工作站的访问进行管理呼叫中心有200名值班人员。 为了节省资源,两名员工拥有一个工作站。 您需要配置访问权限,以便没有竞争性会议。
解决方案:实施令牌登录和访问策略SafeNet可以安装在每个工作站上,并通过它设置时间和IP地址的访问策略。 如果尚未开始更换员工,则他将无法进入工作站。 管理员将能够跟踪员工何时登录以及日志中的IP地址。
多因素身份验证变得越来越重要,因为即使具有大量字符的静态密码也不再是攻击者的困难障碍。
这个方向的另一个趋势是使用令牌一次访问多个公司系统或应用程序(SSO输入)。 也可以使用SafeNet来实现这种情况。 如果有兴趣,我会在另一篇文章中向您介绍他。