-
-
[分享][翻译]CEO们的FIDO2企业安全管理实践指北
-
发表于: 2020-11-26 10:52 5133
-
随着5G的到来,打开了万物互联的新时代,数据泄露和攻击风险也急剧增加,保障互联网应用和服务安全访问的机制,已经从基于知识共享的口令机制转变为可信设备、公钥和生物识别相结合的新一代安全认证机制。
FIDO联盟自2013年开始开发开放且可扩展的协议来抵御钓鱼和其他安全攻击。为了介绍这些领先的方法,通过公司的管理和IT安全实践来指导员工,FIDO联盟开发了一系列最佳实践、指南白皮书,以贯彻联盟作为认证领域专家的义务和职责。这项工作致力于“杀死”口令以及保护所有企业系统中的简单登录行为。
本白皮书回答了CEO们最常见的问题:即FIDO认证的价值主张,以及FIDO2无口令框架怎样解决企业的身份验证需求和劳动力挑战。本文的目的是向组织内的高级管理人员介绍为企业部署FIDO2的必要性。
CEO们的常见问题与实践指南
1.什么是FIDO认证、FIDO2适用于什么场景?
FIDO认证是一种强认证方法,运用了标准公私钥机制替代替共享密钥机制,提供强认证并且可以有效抵御钓鱼、信道攻击。FIDO的设计初衷是为了保护用户隐私;认证时使用的登录凭据和生物特征数据,从未离开用户的设备。在平衡便捷和安全的用户体验后,只要在登录时使用设备上已有的生物认证模块(如指纹或人脸)或外部安全硬件(如FIDO安全密钥)进行简单操作即可。
FIDO认证可以通过三组公开协议来实现:FIDO Universal Second Factor(FIDO U2F),FIDO Universal Authentication Framework(FIDO UAF),FIDO2(Client to Authenticator Protocols 和 Web Authentication)。FIDO2为web端和客户端都带来了无口令体验;FIDO2也是本白皮书的主角。
2.FIDO2提供了哪些新能力,为什么会成功?
FIDO兼备双因素认证的多个优点,并且添加了强密钥和应用密钥唯一性。FIDO可以防范令企业头疼的钓鱼攻击,通过用户密钥与应用一一对应以及密钥永不离开设备来实现。我们相信这个方法会带来更加快速、简单和安全的登录体验。
FIDO2涵盖了FIDO认证的全部优点,在此基础上还可以进行扩展,比如使用移动设备作为外部认证器、支持企业办公系统无用户名口令登录等。更重要的是,FIDO2的 W3C Webauthn API组件允许将FIDO认证支持构建到所有主流的浏览器和操作系统中,从而简化了其在企业中的应用与实现。
3.FIDO解决了业务中的什么问题?
口令对所有相关人员都是一个挑战。对用户而言它们难于记忆、易于被盗取和复用。事实上,互联网上大多数漏洞都源于口令被盗或弱口令。此外,处理丢失的口令对企业及售后人员来说都要付出巨大的成本。FIDO可以完全替换口令,也可以作为现有方案之上的第二因素认证方法。FIDO降低了口令一直以来的风险。口令是共享的秘密,一旦被盗,攻击者可以访问该用户的帐户和信息。这个问题使得多因素认证(MFA)被广泛使用,它帮助解决了口令的一些缺点,但一些多因素的认证方法(比如短信验证码)仍然容易受到技术和社会工程的攻击。
FIDO为MFA提供了一种新的方法来解决口令的安全性和可用性问题。FIDO使用公钥加密技术
为用户需要进行身份验证的每个应用创建强且独立唯一的身份标识。用户的认证器创建一个公私钥对,并与指定的web应用程序共享公钥,私钥安全存储于硬件中,例如用户手机安全芯片、硬件key等安全存储空间。这个私钥是不可提取的,且不像口令那样存储于中央服务器中。生物特征认证也可以用在FIDO认证器中,以确保访问私钥的用户身份。
FIDO旨在使应用程序的认证更加安全且易于操作,以此增强用户和企业的安全性。
4.还有什么安全认证方法,在实践中各有什么限制?
当前,大部分组织依靠口令来进行认证。
虽然企业可以通过使用单点登录(SSO)或者帐户联合来减少用户输入口令的次数,但用户仍然会选择弱口令、多个应用共用同一密码、分享密码等违反口令使用规范的行为,最终导致口令的泄漏。
为了弱凭据的危害,很多企业使用智能卡、MFA应用、双因素身份认证(2FA)令牌等,这些虽然有助于降低凭据被盗的风险,但是也带来了管理方面的挑战以及糟糕的认证体验,而且无法防范更复杂的重放攻击和中间人攻击。
5.谁关心?如果FIDO2在企业中成功部署了,会带来什么变化?
当企业成功部署了FIDO2,将在以下方面带来深远的提升:
●安全性:最大的泄漏来自于口令的盗用、重用和弱密码性。FIDO2给网页应用带来了可行的口令替代方案。FIDO认证器使用户能够更快速、更安全地登录。
●成本:口令泄漏造成的危害对企业安全底线、声誉和组织生产都是异常昂贵。此外,基于口令的认证系统需要额外的支持成本(比如密码重置、安全教育、部署多因素认证系统)。
●用户体验:用户已经体验到手机和笔记本电脑上的指纹、人脸认证。现在FIDO2可以带给企业的应用和网页应用,同样的便捷体验。
6.在部署中会有什么挑战?
如果没有用户培训和资源,部署会非常艰难。无口令登录对大多数员工来说仍然是一个新概念,很多人可能会对生物认证技术持怀疑态度、对新机制感到困扰。对采用者来说,首要任务是教育用户。老用户的支持是另一个问题,因此要计划好如何使企业当前的方案过渡到FIDO2。如果并没有使用单点登录作为认证网关,实现FIDO2需要企业应用开发者支持。如果企业计划部署FIDO key,一定要为这些设备设计一个管理周期,如何向用户分发这些硬件Key,最终停止使用旧的机制。
7.项目开始前需要准备多长时间?
我们的建议是计划一个试点项目,3到6个月时间足够部署并获得用户的反馈。根据企业身份认证基础架构的不同,会有所区别。
如果企业使用第三方产品或服务来实现网页访问管理,需要由产品或服务的供应商来完成FIDO2的部署。如果您有一个单点认证系统,且系统中包含某种形式的多因素功能的可扩展性框架,请首先将FIDO2注册和身份认证作为附加的多因素功能添加到该系统。对于有宏伟眼光和强开发能力的管理者,让您的团队挑战完全替换口令认证。否则,这个挑战会被遗留到以后的应用阶段。
8.部署成功后是什么样子的?
合理的期望是员工登录企业应用将更加安全、便捷。由于在应用访问时不再使用弱口令和重用口令,认证将会更安全;这种方式也更令人喜欢,因为员工可以使用更加快速、直观的认证方式,就像解锁手机和笔记本一样。
如果大部分的应用都可以通过轻触按钮实现安全访问,对企业安全和员工生产力不都是一个很好的提升吗?
以某供应链金融公司为例:总共约200台服务器部署于阿里云,开发者登录服务器使用google authenticator作为安全手段。优点是非常方便集成,终端设备可以离线使用;缺点是口令可能被人获取,输入OTP操作略显繁琐。在此使用环境中,管理者需要解决的问题是设备、人员管理,更安全便捷的登录手段,在使用FIDO替换google authenticator后,登录操作简化为:账号+指纹(3D人脸)登录,提高登录成功率约30%,安全性提高,同时提供登录设备管理,方便企业管理人员进行管理。
9.我在哪里可以获取更多资料?
更多案例研究,请参见https://fidoalliance.org/content/case-study/
企业部署FIDO的白皮书https://fidoalliance.org/white-papers/
FIDO在中国的落地与实践案例,请咨询http://www.gmrz-bj.com。
总结
目前,大部分组织依赖口令进行用户登录,这种方式对业务和用户都有潜在的威胁。口令会被盗用、泄漏、钓鱼,用户不同应用之间也可能共享,相应的口令安全培训和口令丢失管理的成本会很高。使用FIDO2来登录企业应用可以很好的提高用户安全。无口令认证仍然是一个新概念,前期对用户的教育非常重要。我们建议限定时间进行试用,与应用访问控制管理团队或供应商共同探讨适合企业的解决方案。随着FIDO2的成功推出,用户能够享受到比之前更快、更简单、更安全的登录体验。
翻译自https://media.fidoalliance.org/wp-content/uploads/2020/07/CXO-Explanation-FIDO2-Value-Proposition.pdf
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
赞赏
- [原创]如何弥补m1 MAC漏洞 7820
- [翻译]CEO们的FIDO2企业安全管理实践指北 9250
- [原创]FIDO技术原理简介 5987
- [分享][翻译]CEO们的FIDO2企业安全管理实践指北 5134