三问移动身份验证部署
雇员利用智能手机、平板电脑、上网本等移动设备可以便捷地远程访问公司的计算资源。但移动设备的使用有可能产生一些被攻击者利用的漏洞或访问敏感信息的弱点,从而损害安全性。因而,对于移动设备的远程访问,多数专家建议企业至少利用某种形式的双重身份验证(双重认证)。
双重认证无论对于用户还是企业都是一个现实的难题,因为它增加了企业身份验证的复杂性。如果实施不力,双重认证未必比单重认证强健很多,有时反而会耗费更多的时间和资源。
下面将阐述为了设计、实施、部署可行且安全的移动设备双重认证方案,企业IT需要注意的三大要领:
首先,企业要对所有的移动设备寻求单一的解决方案。
不妨考虑一下用于工作场所的不同移动设备类型;笔记本电脑、上网本、智能手机、平板电脑等,其品牌众多,更别说其中还分为企业发给员工的设备和员工个人自己带来的(BYOD)。
有些用户可能使用企业发的笔记本电脑,同时还带着个人的平板电脑、智能手机等。要求这些用户对每一种设备都使用不同的双重验证是不现实的。不妨设想一下,员工需要带着不同的加密令牌,还要记住几个不同的口令或PIN,并且要记住哪些令牌和PIN适用于哪种设备。
为实现可用性,IT应该针对所有移动设备,考虑使用单一的远程认证方案。企业自有的笔记本电脑可以例外,当然,企业自有的这些设备最好是拥有内置的双重认证功能(如智能卡或生物识别阅读器)。如果企业能够避免使用多种双重认证系统,那么操作处理将会更平滑。
其次,不要忘了移动设备和网络的安全性。
移动设备(尤其是智能手机和平板电脑)一般都缺乏其它计算设备所拥有的安全特性。然而,许多双重认证方案主要依赖移动设备的安全性来实现认证的安全性。
例如,软件加密令牌将共享密钥或加密密钥存储在移动设备上。在很多设备上,这种密钥基本没有得到防御恶意软件或人为发现的保护。理想情况下,这种密钥应当存储在移动设备中的可信任平台模块(TPM)内部,但仍有一些移动设备并不支持可信任平台模块(TPM)。因而,实施不依赖本地存储的双重认证方法(例如,基于图像的认证)是明智之举。
网络安全是需要考虑的另一个问题。我们一般都会想当然地认为手机网络不会受到监视,但攻击者当然有能力这样做。这意味着以明文方式发送敏感信息的双重认证方法(如通过短消息发送的一次性口令)有可能将这种信息暴露给攻击者。
企业应考虑针对远程访问方法的威胁,如果有必要,要对通过移动设备发送或接收的所有敏感信息进行严格加密。
第三,防御蛮力攻击和拒绝服务攻击。
在使用双重认证时,企业IT不应同时验证两个因素,而应首先验证一个因素。如果此验证成功,再去验证第二个因素。这种做法可以防止蛮力攻击、拒绝服务攻击和包含多次登录企图的其它攻击。
例如,如果第一个认证因素是用户名和口令,就易于被锁定,攻击者可以轻松地在远程访问网关猜测用户名和口令的组合,并且锁定合法的用户账户。如果是其它因素第一认证,攻击者就必须在尝试用户名和口令认证之前提供此认证。
换言之,用户名和口令认证应当能够对抗蛮力攻击和拒绝服务攻击。完成此功能的一种有效方法就是在认证尝试期间实施一种递增延迟。例如,在一次认证尝试失败后,要让用户等待两秒钟才能再次尝试。如果第二次尝试失败,就将延迟时间增加到四秒。第三次尝试失败,则增加迟延时间为八秒,依此类推。这种做法可以防止账户被攻击者锁定,同时又可以使认证尝试的次数达到最小化。监视软件应当检测连续的认证尝试,并且通知管理员进行干预。