无硬件实现硬件级企业身份验证:适用于IAM的创新解决方案

攻防
2年前

sim.jpg

  IBM的最新研究表明,数据泄露平均损失如今高达破纪录的424万美元。最主要的原因是什么呢?凭证被盗!为什么会被盗?人为失误!尽管调查结果继续显示出错误做法的上升趋势,但安全挑战本身却久已有之。新出现的问题在于,工作环境安全防护的复杂性快速增加,达到了前所未有的高度。CISO/CIO不得不同时应对老旧系统、云托管、本地部署、远程员工、现场办公、传统软件和软件即服务(SaaS)等等。

  企业迅速适应的做法值得称道,但面对如今员工散布各处办公场所和各自家中的情况(超过半数员工扬言不实行混合工作模式就不复工复产了),这一挑战变成了如何保护好非均匀边界。

  众所周知,仅靠口令并不足以守好安全防线。基于知识的访问控制通常辅以其他形式的多因素身份验证(MFA),比如身份验证应用或FIDO令牌,安全要求非常严格的情况下还可以使用生物特征识别技术。

混合工作模式要求强大的IAM

  “BYOD”(自带设备办公)时代演变成了咨询公司Gartner所谓的“自备身份办公”:员工在不同位置通过一系列远程设备访问数据。

  网络罪犯能以多种方式拦截数据,比如盗取登录凭证、进行网络钓鱼、执行中间人攻击等等。这些手段在咖啡馆或机场Wi-Fi热点等缺乏安全控制措施的公共网络上更加容易施展。如果员工访问仅仅基于用户名和口令等知识因素,那攻击者入手敏感数据完全访问权限也不是什么难事。

  基于硬件的安全令牌或加密狗越来越受欢迎,尤其是在企业级层面上。这些设备能生成密码供用户登录时输入,因而只有持有令牌的用户才能获得访问权限。但这些单独的小硬件设备也不是没有弱点。

硬件身份验证存在的问题

  成本高:安全令牌单个设备的平均成本在50到100美元之间。所以,一般只有少数高风险人士才有权使用此类设备,而不太重要的员工就很容易被攻破了。

  设备易遗失:硬件令牌可能会丢失、被盗或忘带,而员工往往只在需要访问权限的时候才会意识到这一点。订购新令牌可不便宜,而且还很麻烦。

  用户体验差:翻出设备并输入密码需要劳烦用户动手操作,而且不能轻松用于快速配置、人事变动和与外部承包商合作上。

  攻击风险大:尽管无法直接远程接触,硬件令牌却也不能完全规避中间人攻击——恶意黑客可以诱骗用户在虚假网站/登录页面上输入密码。

  现在有一种创新技术可以无需增加任何硬件装置就为IAM带来强大的持有因素,而且这种技术已经掌握在几乎每个人的手中了。

用手机代替硬件令牌

  这种比购买昂贵的令牌更便捷的替代方案,就是利用员工已经持有的东西:手机。

  运用SIM卡的高级加密安全功能,移动网络已经采用安全且透明的方式进行客户身份验证,保障通话和数据传输的安全性。基于SIM卡的身份验证是防篡改的实时验证,其工作原理类似于银行卡中的芯片。

  因为无需用户翻找令牌和输入密码,基于SIM卡的身份验证令员工登录变得简单,同时还能将恶意黑客拒之门外。通过验证SIM卡本身而非仅仅验证手机号,我们还可以检查SIM卡交换行为,阻止账户接管攻击。

  基于SIM卡的替代方案性价比更高、更普适,非常适合大规模部署。如果能够推广,这种方法可使每位员工(而非仅仅少数重要员工)都达到最高安全级别。而且,不同于容易丢失的小巧硬件加密狗,手机可是员工走到哪儿带到哪儿的重要设备。

  如今,公司企业可通过tru.ID提供的API调用基于SIM卡的网络身份验证,实现无摩擦的安全验证。

  由于tru.ID不处理移动网络及其API之间的个人可识别信息(PII),用户大可不必过多担忧自身隐私问题。

tru.ID SIM安全解决方案实战

  使用tru.ID API的方法之一是实现无密码一键注册和登录解决方案,通过配套应用来访问企业系统。示例工作流程如下:

trueid.jpg

  tru.ID覆盖20个市场中的20多亿部手机,可通过两种方式加以部署:既可以通过简单的REST API和SDK直接集成进公司现有应用,也可以与tru.ID配套应用一起推出,由配套应用通过员工手机凭证来验证其访问权限。为探讨应用案例,tru.ID热切期盼听到来自社区的声音,请不吝访问网站观看演示或直接开始编程。

  tru.ID官网:https://tru.id/



参考阅读

云安全风险为何转向身份与授权?

身份安全的盲点:非人类身份

从Ping Identity收购ShoCard看个人身份安全的未来