移动身份验证部署三问

日期: 2015-01-27 作者:赵长林 来源:TechTarget中国

雇员利用智能手机、平板电脑、上网本等移动设备可以便捷地远程访问公司的计算资源。但移动设备的使用有可能产生一些被攻击者利用的漏洞或访问敏感信息的弱点,从而损害安全性。因而,对于移动设备的远程访问,多数专家建议企业至少利用某种形式的双重身份验证(双重认证)。 双重认证无论对于用户还是企业都是一个现实的难题,因为它增加了企业身份验证的复杂性。

如果实施不力,双重认证未必比单重认证强健很多,有时反而会耗费更多的时间和资源。 下面将阐述为了设计、实施、部署可行且安全的移动设备双重认证方案,企业IT需要注意的三大要领: 首先,企业要对所有的移动设备寻求单一的解决方案。 不妨考虑一下用于工作场所的不同移动设备……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

雇员利用智能手机、平板电脑、上网本等移动设备可以便捷地远程访问公司的计算资源。但移动设备的使用有可能产生一些被攻击者利用的漏洞或访问敏感信息的弱点,从而损害安全性。因而,对于移动设备的远程访问,多数专家建议企业至少利用某种形式的双重身份验证(双重认证)。

双重认证无论对于用户还是企业都是一个现实的难题,因为它增加了企业身份验证的复杂性。如果实施不力,双重认证未必比单重认证强健很多,有时反而会耗费更多的时间和资源。

下面将阐述为了设计、实施、部署可行且安全的移动设备双重认证方案,企业IT需要注意的三大要领:

首先,企业要对所有的移动设备寻求单一的解决方案。

不妨考虑一下用于工作场所的不同移动设备类型;笔记本电脑、上网本、智能手机、平板电脑等,其品牌众多,更别说其中还分为企业发给员工的设备和员工个人自己带来的(BYOD)。

有些用户可能使用企业发的笔记本电脑,同时还带着个人的平板电脑、智能手机等。要求这些用户对每一种设备都使用不同的双重验证是不现实的。不妨设想一下,员工需要带着不同的加密令牌,还要记住几个不同的口令或PIN,并且要记住哪些令牌和PIN适用于哪种设备。

为实现可用性,IT应该针对所有移动设备,考虑使用单一的远程认证方案。企业自有的笔记本电脑可以例外,当然,企业自有的这些设备最好是拥有内置的双重认证功能(如智能卡或生物识别阅读器)。如果企业能够避免使用多种双重认证系统,那么操作处理将会更平滑。

其次,不要忘了移动设备和网络的安全性。

移动设备(尤其是智能手机和平板电脑)一般都缺乏其它计算设备所拥有的安全特性。然而,许多双重认证方案主要依赖移动设备的安全性来实现认证的安全性。

例如,软件加密令牌将共享密钥或加密密钥存储在移动设备上。在很多设备上,这种密钥基本没有得到防御恶意软件或人为发现的保护。理想情况下,这种密钥应当存储在移动设备中的可信任平台模块(TPM)内部,但仍有一些移动设备并不支持可信任平台模块(TPM)。因而,实施不依赖本地存储的双重认证方法(例如,基于图像的认证)是明智之举。

网络安全是需要考虑的另一个问题。我们一般都会想当然地认为手机网络不会受到监视,但攻击者当然有能力这样做。这意味着以明文方式发送敏感信息的双重认证方法(如通过短消息发送的一次性口令)有可能将这种信息暴露给攻击者。

企业应考虑针对远程访问方法的威胁,如果有必要,要对通过移动设备发送或接收的所有敏感信息进行严格加密。

第三,防御蛮力攻击和拒绝服务攻击。

在使用双重认证时,企业IT不应同时验证两个因素,而应首先验证一个因素。如果此验证成功,再去验证第二个因素。这种做法可以防止蛮力攻击、拒绝服务攻击和包含多次登录企图的其它攻击。

例如,如果第一个认证因素是用户名和口令,就易于被锁定,攻击者可以轻松地在远程访问网关猜测用户名和口令的组合,并且锁定合法的用户账户。如果是其它因素第一认证,攻击者就必须在尝试用户名和口令认证之前提供此认证。

换言之,用户名和口令认证应当能够对抗蛮力攻击和拒绝服务攻击。完成此功能的一种有效方法就是在认证尝试期间实施一种递增延迟。例如,在一次认证尝试失败后,要让用户等待两秒钟才能再次尝试。如果第二次尝试失败,就将延迟时间增加到四秒。第三次尝试失败,则增加迟延时间为八秒,依此类推。这种做法可以防止账户被攻击者锁定,同时又可以使认证尝试的次数达到最小化。监视软件应当检测连续的认证尝试,并且通知管理员进行干预。

作者

赵长林
赵长林

TechTarget中国特邀作者

相关推荐