译文 | CEO们的FIDO2企业安全管理实践指北
发布时间:2020-11-18 05:35:19|浏览次数:1784
摘要 随着5G的到来,打开了万物互联的新时代,数据泄露和攻击风险也急剧增加,保障互联网应用和服务安全访问的机制,已经从基于知识共享的口令机制转变为可信设备、公钥和生物识别相结合的新一代安全认证机制。 FIDO联盟自2013年开始开发开放且可扩展的协议来抵御钓鱼和其他安全攻击。为了介绍这些领先的方法,通过公司的管理和IT安全实践来指导员工,FIDO联盟开发了一系列最佳实践、指南白皮书,以贯彻联盟作为认证领域专家的义务和职责。这项工作致力于“杀死”口令以及保护所有企业系统中的简单登录行为。 本白皮书回答了CEO们最常见的问题:即FIDO认证的价值主张,以及FIDO2无口令框架怎样解决企业的身份验证需求和劳动力挑战。本文的目的是向组织内的高级管理人员介绍为企业部署FIDO2的必要性。 CEO们的常见问题与实践指南 01、什么是FIDO认证、FIDO2适用于什么场景? FIDO认证是一种强认证方法,运用了标准公私钥机制替代替共享密钥机制,提供强认证并且可以有效抵御钓鱼、信道攻击。FIDO的设计初衷是为了保护用户隐私;认证时使用的登录凭据和生物特征数据,从未离开用户的设备。在平衡便捷和安全的用户体验后,只要在登录时使用设备上已有的生物认证模块(如指纹或人脸)或外部安全硬件(如FIDO安全密钥)进行简单操作即可。 FIDO认证可以通过三组公开协议来实现:FIDO Universal Second Factor(FIDO U2F),FIDO Universal Authentication Framework(FIDO UAF),FIDO2(Client to Authenticator Protocols 和 Web Authentication)。FIDO2为web端和客户端都带来了无口令体验;FIDO2也是本白皮书的主角。 02、FIDO2提供了哪些新能力,为什么会成功? FIDO兼备双因素认证的多个优点,并且添加了强密钥和应用密钥唯一性。FIDO可以防范令企业头疼的钓鱼攻击,通过用户密钥与应用一一对应以及密钥永不离开设备来实现。我们相信这个方法会带来更加快速、简单和安全的登录体验。 FIDO2涵盖了FIDO认证的全部优点,在此基础上还可以进行扩展,比如使用移动设备作为外部认证器、支持企业办公系统无用户名口令登录等。更重要的是,FIDO2的 W3C Webauthn API组件允许将FIDO认证支持构建到所有主流的浏览器和操作系统中,从而简化了其在企业中的应用与实现。 03、FIDO解决了业务中的什么问题? 口令对所有相关人员都是一个挑战。对用户而言它们难于记忆、易于被盗取和复用。事实上,互联网上大多数漏洞都源于口令被盗或弱口令。此外,处理丢失的口令对企业及售后人员来说都要付出巨大的成本。FIDO可以完全替换口令,也可以作为现有方案之上的第二因素认证方法。FIDO降低了口令一直以来的风险。口令是共享的秘密,一旦被盗,攻击者可以访问该用户的帐户和信息。这个问题使得多因素认证(MFA)被广泛使用,它帮助解决了口令的一些缺点,但一些多因素的认证方法(比如短信验证码)仍然容易受到技术和社会工程的攻击。 FIDO为MFA提供了一种新的方法来解决口令的安全性和可用性问题。FIDO使用公钥加密技术为用户需要进行身份验证的每个应用创建强且独立唯一的身份标识。用户的认证器创建一个公私钥对,并与指定的web应用程序共享公钥,私钥安全存储于硬件中,例如用户手机安全芯片、硬件key等安全存储空间。这个私钥是不可提取的,且不像口令那样存储于中央服务器中。生物特征认证也可以用在FIDO认证器中,以确保访问私钥的用户身份。 FIDO旨在使应用程序的认证更加安全且易于操作,以此增强用户和企业的安全性。 04、还有什么安全认证方法,在实践中各有什么限制? 当前,大部分组织依靠口令来进行认证。虽然企业可以通过使用单点登录(SSO)或者帐户联合来减少用户输入口令的次数,但用户仍然会选择弱口令、多个应用共用同一密码、分享密码等违反口令使用规范的行为,最终导致口令的泄漏。 为了弱凭据的危害,很多企业使用智能卡、MFA应用、双因素身份认证(2FA)令牌等,这些虽然有助于降低凭据被盗的风险,但是也带来了管理方面的挑战以及糟糕的认证体验,而且无法防范更复杂的重放攻击和中间人攻击。 05、谁关心?如果FIDO2在企业中成功部署了,会带来什么变化? 当企业成功部署了FIDO2,将在以下方面带来深远的提升: ● 安全性:最大的泄漏来自于口令的盗用、重用和弱密码性。FIDO2给网页应用带来了可行的口令替代方案。FIDO认证器使用户能够更快速、更安全地登录。 ● 成本:口令泄漏造成的危害对企业安全底线、声誉和组织生产都是异常昂贵。此外,基于口令的认证系统需要额外的支持成本(比如密码重置、安全教育、部署多因素认证系统)。 ● 用户体验:用户已经体验到手机和笔记本电脑上的指纹、人脸认证。现在FIDO2可以带给企业的应用和网页应用,同样的便捷体验。 06、在部署中会遇到什么挑战? 如果没有用户培训和资源,部署会非常艰难。无口令登录对大多数员工来说仍然是一个新概念,很多人可能会对生物认证技术持怀疑态度、对新机制感到困扰。对采用者来说,首要任务是教育用户。老用户的支持是另一个问题,因此要计划好如何使企业当前的方案过渡到FIDO2。如果并没有使用单点登录作为认证网关,实现FIDO2需要企业应用开发者支持。如果企业计划部署FIDO key,一定要为这些设备设计一个管理周期,如何向用户分发这些硬件Key,最终停止使用旧的机制。 07、项目开始前需要准备多长时间? 我们的建议是计划一个试点项目,3到6个月时间足够部署并获得用户的反馈。根据企业身份认证基础架构的不同,会有所区别。 如果企业使用第三方产品或服务来实现网页访问管理,需要由产品或服务的供应商来完成FIDO2的部署。如果您有一个单点认证系统,且系统中包含某种形式的多因素功能的可扩展性框架,请首先将FIDO2注册和身份认证作为附加的多因素功能添加到该系统。对于有宏伟眼光和强开发能力的管理者,让您的团队挑战完全替换口令认证。否则,这个挑战会被遗留到以后的应用阶段。 08、部署成功后是什么样子的? 合理的期望是员工登录企业应用将更加安全、便捷。由于在应用访问时不再使用弱口令和重用口令,认证将会更安全;这种方式也更令人喜欢,因为员工可以使用更加快速、直观的认证方式,就像解锁手机和笔记本一样。 如果大部分的应用都可以通过轻触按钮实现安全访问,对企业安全和员工生产力不都是一个很好的提升吗? 以某供应链金融公司为例:总共约200台服务器部署于阿里云,开发者登录服务器使用google authenticator作为安全手段。优点是非常方便集成,终端设备可以离线使用;缺点是口令可能被人获取,输入OTP操作略显繁琐。在此使用环境中,管理者需要解决的问题是设备、人员管理,更安全便捷的登录手段,在使用FIDO替换google authenticator后,登录操作简化为:账号+指纹(3D人脸)登录,提高登录成功率约30%,安全性提高,同时提供登录设备管理,方便企业管理人员进行管理。 09、我在哪里可以获取更多资料? 更多案例研究,请参见https://fidoalliance.org/content/case-study/ 企业部署FIDO的白皮书https://fidoalliance.org/white-papers/ FIDO在中国的落地与实践案例,请咨询http://www.gmrz-bj.com。 结语 目前,大部分组织依赖口令进行用户登录,这种方式对业务和用户都有潜在的威胁。口令会被盗用、泄漏、钓鱼,用户不同应用之间也可能共享,相应的口令安全培训和口令丢失管理的成本会很高。使用FIDO2来登录企业应用可以很好的提高用户安全。无口令认证仍然是一个新概念,前期对用户的教育非常重要。我们建议限定时间进行试用,与应用访问控制管理团队或供应商共同探讨适合企业的解决方案。随着FIDO2的成功推出,用户能够享受到比之前更快、更简单、更安全的登录体验。