当你下班回家时,掏出钥匙即可将锁打开。门锁并不在乎钥匙的持有者是谁,它唯一关心的就是钥匙是否适合。也就是说,哪怕钥匙持有者是你的邻居,甚至是一个小偷,都能悄无声息地将门打开。
如果开门所需的不仅有钥匙,而且还有能够识别主人身份的摄像头或其他传感器设备呢?别人即使拿着钥匙,但因为无法通过进一步的身份认证,所以还是无法开门。
企业为什么需要多因素身份认证?
目前,只用“用户名+密码”的方式登录账户(OA、ERP、CRM、VPN、工作邮箱)的企业不在少数。有调查表明,约有60%的员工会复用密码,甚至还有20%左右的员工使用诸如1234、abc、生日之类的弱口令。
我们知道,钥匙有丢失、被盗的可能,主人也有可能因为某些原因让邻居或朋友代为保管,这些都很有可能威胁到个人财产安全。
同理,在企业中,因为员工使用的静态密码安全等级太低,很容易被内部恶意人员或黑客猜到、破解,从而引发信息泄漏事件。
在黑客五花八门的入侵手段面前,静态密码显得不堪一击。
暴力破解:也被称为穷举法,黑客将密码进行逐个推算,直到找出真正的密码为止,运用计算机能够极大地提高破解效率。
撞库:黑客通过收集已泄漏的用户和密码信息,生成对应字典表,尝试批量登录其他网站后,得到一系列可以登录的用户信息。因为复用密码的现象非常普遍,黑客可以通过获取的个人账户尝试登录员工的工作账户,从而窃取企业信息。
钓鱼邮件:黑客利用伪装的电邮,欺骗员工将账号、密码等信息回复给指定接受者,或引导企业员工到特制的网页输入账号、密码等信息。FBI于5月7日发布的《2017年互联网犯罪报告》指出,2017年美国网络欺诈造成的损失为14亿美元,在众多欺诈行为中,钓鱼邮件造成的损失最多,高达6.76亿美元。
社会工程学:黑客利用企业员工的善良、信任、好奇心、贪婪等人性特点,通过人际交流的方式,用欺骗等手段使其心理受到影响,从而透露一些机密信息,然后黑客冒用员工身份登录并窃取信息。
当然,黑客的攻击手段还有很多,有些手段甚至更加“高大上”。不过,有调查表明,超过80%的黑客入侵事件,都是利用了被盗口令或弱口令。目前,身份窃取已经成为黑客主要的攻击点。
那么,用技术手段进行软件升级、硬件加固、严防死守就能确保网络安全了吗?别忘了,使用软、硬件的,其实还是企业员工。“人”是网络安全最薄弱的环节。根据今年4月Ponemon Institute的研究报告,企业信息泄漏主要原因是员工疏忽,而内鬼泄漏的比例高达23%。
1+1>2
简单地讲,在应用多因素身份认证后,员工登录内部系统时,需要提供除了账户密码以外的信息。MFA通常使用以下几种因素的组合:
- 你所知道的东西:主要是用户名+密码。
- 你拥有的东西:比如短信验证码、U盾等硬件设备、手机软令牌,等等。
- 你本身:比如指纹、人脸等生物特征。
关于这几种因素,详见《持续了近百万年的人类身份认证,从没有密码到消灭密码》一文。当然,网络安全行业的一个共识是:没有一种身份识别技术是万能的。单独来看,这三种因素中的任何一种都有各自的安全风险。比如“你所知道的东西”可以被猜出、分享,“你拥有的东西”可以丢失、被盗走;“你本身”的生物特征也能用低成本方式收集、伪造和复制。
每种因素“单打独斗”固然不足以满足企业对信息安全的需求,但当它们结合起来时,却能本质提升安全等级。这就相当于“开门时需要钥匙+能够识别主人身份的摄像头或其他传感器设备”。
当用户试图登录账户时,在完成账户密码的输入之后,系统会要求用户再完成另一种因素的身份验证,比如指纹、人脸识别,或者OTP动态口令,等等。
在这种情况下,因为访问权不取决于密码强度,即使黑客窃取用户的密码,在登录过程中仍然无法绕过二次强身份认证,也就无法登录账户。这并不是简单的1+1叠加问题,对黑客来讲,是破解两次身份认证难度系数的乘积。因此,在安全等级上来讲,多因素身份认证可以实现1+1>2的效果。
目前,最新的多因素身份认证已经实现了这三种因素的结合,而企业用户则可根据实际需求来选择相应的验证方式。
比如锦佰安科技自主研发的SecID多因素身份认证系统,集成了人脸识别、指纹识别、图片密码、一键确认、OTP动态口令等身份识别技术,企业可以根据安全场景的不同,指定相应的登录验证方式,从而建立起一个多层次的防御系统,使未经授权的人访问企业的应用、系统或网络更加困难。
结语
身份认证是企业安全体系中最为核心的部分。结合企业用户使用场景的多因素身份认证,有利于推动使用体验与账户安全的平衡。正是因此,MFA对企业用户的吸引力日益增加。