等保2.0高风险判定系列 | 双因子认证
作者:
2020-08-26
双因子(或称双因素)认证一直是宁静圈比力关注的一个话题�,从等保1.0时期的要害评价指标项�,到现在网络宁静品级掩护、要害信息基础设施、高风险判定指引�,要求在各个层面的身份鉴别上均实现双因子身份鉴别�,可见对双因子认证在日常应用的重视水平���。
什么是双因子认证����?
现代双因子认证的起源�,可追溯到一战时期的英国情报局军情6处M16�,用于针对处置宁静、防务、外事、经济方面的事物情报、密码情报���。
所谓的双因子认证是指结合密码、实物(信用卡、SMS手机、令牌)或指纹等生物标志中的两种条件对用户进行认证的要领���。
双因子的3种认证方式
一、知识
最常见的就是口令等知识, 其优势在于认证过程简单快捷, 不会堕落���。
二、实物
好比说是IC卡、令牌, USB Key等实物(古代的虎符也是这类)�,其优势在于认证过程也简单快捷, 不会堕落���。
三、人的生物特征
好比指纹, 虹膜, 视网膜, 掌纹, 面貌等, 这些识别元素是每个人都是唯一的�,用来作为认证是最强的, 但认证过程比力慢, 而且会堕落���。
● 结论
双因子认证的认证要领�,就是必须使用上述三种认证因子的任意两者的组合才气通过认证���。
尺度涉及双因子认证
《网络宁静品级掩护基本要求》
在三级宁静计算环境中针对身份鉴别部门�,要求“应接纳口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别�,且其中一种鉴别技术至少应使用密码技术来实现���。”
《要害信息基础设施网络宁静掩护基本要求》
在报批稿第7章宁静防护中针对鉴别与授权要求“对设备、用户、服务或应用、数据进行宁静管控�,对于重要业务操作或异常用户操作行为�,建立动态的身份鉴别方式�,或者接纳多因子身份鉴别方式等���。”
《网络宁静品级掩护高风险判定指引》
在第7章针对双因素认证部门�,判定内容为:“重要核心设备、操作系统等未接纳两种或两种以上鉴别技术对用户身份进行鉴别���。例如仅使用用户名/口令方式进行身份验证�,削弱了管理员账户的宁静性�,无法制止账号的未授权窃取或违规使用�,可判定为高风险���。”
● 结论
通过以上尺度和指引可以看出�,对双因子认证的要求举足轻重�,用户登录资源需要具备唯一身份标识�,对唯一身份标识的鉴别需要实现多因素强身份认证�,且其中一种鉴别技术至少应使用密码技术来实现�,而且多方解读高风险即为一票否决项���。
事情中袒露出的问题
网络宁静反抗活动
从历年网络宁静反抗活动行动了解到的情况来看�,袒露出来的最大问题就是认证的宁静问题���。仅校验“账号+密码”的认证方式�,很容易被口令推测破解���。
日常事情
日常事情中�,缺少统一管理�,资源各自认证�,未便统一认证方式;账号各自维护�,未便设置口令计谋;日志各自生存�,未便查询分析���。
东森平台解决方案
东森平台统一身份认证系统�,支持网络设备、宁静设备、服务器、数据库等用户登录时的强身份认证�,实现统一账号、统一认证、强身份认证和集中审计���。
● 认证流程
系统实现用户登录资源时多因强认证功效�,支持多种强认证方式组合�,提升资源认证宁静性�,满足规范要求���。资源将认证源指向认证系统�,当用户直接访问资源时�,输入用户名+静态密码+强认证因子�,资源将认证请求转发给认证系统�,通过认证后�,即可登录资源���。
● 实现效果
强认证即两段式密码认证�,用户登录资产设备时�,输入的登录密码包罗前后两段�,前半段是静态密码�,后半段是随机密码�,只有双码均验证通过后�,方可乐成登录���。
● 统一认证管理
认证服务:基于Radius、Tacacs、Ldap协议�,为资源提供统一身份认证服务���。
认证计谋:可设置用户访问资源时接纳的强认证方式�,如可勾选只有静态密码认证或静态密码+OTP认证���。
多因强认证:支持对用户登录资源进行多因强认证�,强认证方式包罗:动态口令(硬件/手机)、指纹/人脸识别、短信、数字证书等�,支持多种强认证方式组合���。
国密算法:认证系统支持基于国密算法生成口令和对数据进行加密�,保证数据宁静的同时�,满足规范要求���。
● 多因子强认证
认证系统支持多种强认证方式�,包罗:动态口令(硬件/手机) 、指纹/人脸识别、短信、数字证书等�,并支持多种强认证方式组合���。
● 统一账号管理
支持对纳管的资源账号进行稽核�,发现僵尸账号、幽灵账号、异常登录账号等�,并及时删除或停用���。
支持手动创建、离线导入、在线同步等方式统一创建和账号信息���。
支持自界说密码长度、庞大度;可设置密码周期�,定期自动更新密码�,满足规范要求���。
可设置用户访问资源时多因认证方式�,包罗认证因子数、认证方式�,实现用户强身份认证���。
● 客户价值
满足合规要求:实现对资源登录的统一认证及鉴权���。
提升管理效率:实现资源用户/密码的统一管理���。
降低管理事情量:对用户登录资源使用的账号和角色进行统一管理���。
减少密码流传:可为外部系统提供密码查询�,外部系统无需生存密码�,随用随查�,制止用户密码随意流传���。
日志集中审计:实现日志集中审计�,对资产登录日志、鉴权日志、操作日志等进行统一展示和查询���。
京公网安备11010802024551号