发布日期:2024-11-01 浏览次数:
双因素身份认证方法基于多种技术,其中最突出的是一次性密码 (OTP) 和公钥基础设施 (PKI)。它们之间有何区别?您的组织应该使用哪一种?
一次性密码 (OTP) 是一种“对称”身份认证形式,其中一次性密码同时在两个地方生成 - 在身份认证服务器上以及在用户拥有的硬件令牌或软件令牌上。如果您的令牌生成的 OTP 与身份认证服务器生成的 OTP 匹配,则身份认证成功,您将被授予访问权限。
PKI 身份认证是一种“非对称”身份认证,因为它依赖于一对不同的加密密钥,即一个私有加密密钥和一个公共加密密钥。基于硬件 PKI 证书的令牌(如智能卡和 USB 令牌)旨在安全地存储您的秘密私有加密密钥。例如,在向企业网络服务器进行身份认证时,服务器会发出一个数字“质询”。该质询使用您的私有加密密钥进行签名。如果签名的质询与您的公共加密密钥(您的网络服务器已知)之间存在数学相关性或“匹配”,则身份认证成功,您将被授予网络访问权限。
就身份认证而言,没有一种万能的方法。在选择最适合您组织的方法时,请牢记以下几点注意事项:
虽然 OTP 身份认证(例如使用 OTP 应用程序)可以为大多数企业用例提供足够的保护,但需要更高级别保证的垂直行业(例如电子政务和电子医疗)可能被法律要求使用 PKI 安全性。
行业标准和要求
在 PKI 身份认证中,使用私有加密密钥,该密钥存储在硬件令牌中时不可转让。鉴于其非对称性,PKI 在世界许多地方用于更高保证用例。然而,OTP 的安全性也越来越受到许多行业的认可,例如美国的医疗保健,并且当使用符合 FIPS 标准的 OTP 应用程序时,它可以满足 DEA 的 EPCS 要求。
根据您所在行业相关的法规,您部署的硬件或软件令牌可能需要符合北美的 FIPS 140-2 或世界其他地区的通用标准。
物理/逻辑访问
如果需要结合使用物理和逻辑访问,则可能首选支持基于 RFID 的物理访问控制的硬件令牌。
多因素身份认证
无论使用哪种双因素身份认证技术,在评估登录尝试的其他上下文属性(例如各种基于设备和行为的变量)时,都可以提高安全性。
缓解各种威胁载体
不同的身份认证技术可以有效应对不同的威胁。
部署和管理成本
OTP 身份认证 传统上更经济实惠,部署起来也更简单快捷,因为它不需要设置 PKI 基础设施,也不需要为每个用户从证书颁发机构购买 PKI 数字证书。与使用可安装在用户移动设备和台式机上的 OTP 应用程序的 OTP 身份认证不同,PKI 身份认证需要为每个用户购买硬件令牌,以保证其私人加密密钥的安全。因此,OTP 身份认证通常涉及较低的部署成本,IT 人员需要的时间和精力也更少。
当使用软件令牌时,无论是基于 PKI 还是 OTP,都可以通过无线方式执行令牌替换,从而消除了邮寄替换硬件令牌的相关成本。
保留当前令牌投资
已经部署双因素身份认证解决方案(无论是基于 PKI 还是基于 OTP 的)的组织可能会寻求保留其当前投资的方法。
如果已经部署了 PKI 令牌,组织可以扩展或改进其部署以适应移动性。为此,SafeNet IDPrime Virtual和FIDO 设备等移动技术的进步可能使组织能够保留其当前的令牌投资并利用其当前的 PKI 基础设施。如果已经部署了 OTP 令牌,组织可以通过寻求支持第三方令牌和第三方 RADIUS 服务器的解决方案来保留其当前投资,或者寻求可以将其当前基于标准的令牌导入新解决方案(例如基于 OATH 的令牌)的解决方案
提供更高员工流动性或将强身份认证扩展到合作伙伴和顾问的组织可能会寻求越来越透明的身份认证方法。软件和基于移动的令牌以及无令牌解决方案提供了更便捷的身份认证过程,有助于实施安全移动计划。
SafeNet OTP 认证器:Thales提供最广泛的硬件、软件和基于移动的 OTP 认证器,使组织在保护任何企业解决方案(无论是本地、基于云、远程还是虚拟)时能够满足不同的保证级别。
Thales SafeNet OOB 身份认证器:Thales 的带外身份认证器通过推送通知、短信或电子邮件提供带外身份认证,利用正在访问的通信渠道以外的通信渠道来传递一次性密码,从而提高安全性和用户便利性。
物理和逻辑访问控制:通过将物理访问控制与逻辑访问相结合,组织可以保护对办公室的物理访问以及安全的工业和制造场所,同时保护对敏感网络和应用程序的访问。
PKI 认证器:Thales的 SafeNet 基于证书的 PKI 令牌套件支持对广泛资源以及其他高级安全应用程序的安全访问,包括数字签名、电子邮件加密和双因素身份认证。
双因素身份认证 (2FA) 可确保用户的身份真实可信。用于确定个人身份的因素越多,真实性的可信度就越高。
正如您不希望银行允许使用简单密码访问您的支票账户一样,您希望通过要求员工提供额外的身份认证因素来确保您的资源受到保护。这可以确保员工的身份,并保护他们的登录凭据不被轻易黑客入侵或窃取。您不希望仅使用一个因素(通常是弱密码)就允许访问您的宝贵资产(无论是 VPN、Citrix、Outlook Web Access 还是云应用程序)。
双因素身份认证可以大大降低身份盗窃、网络钓鱼、在线欺诈等各种安全攻击的可能性,从而加强对重要资源的保护。
有多种身份认证方法可用于认证个人身份。SafeNet 提供最广泛的身份认证方法和形式因素,使客户能够应对众多用例、保证级别和威胁载体。
基于硬件的身份认证 - 用户物理拥有的附加硬件,没有它就无法进行身份认证。
带外身份认证 - 用户已拥有的硬件,可用于通过短信或电子邮件安全地接收信息。
基于软件的身份认证 - 此类身份认证方法在用户的计算机、智能手机或移动设备上部署软件应用程序。
一次性密码 (OTP) - 生成动态一次性密码 (OTP),以便正确地对关键应用程序和数据的用户进行身份认证,无论是在令牌、移动设备还是基于网格的身份认证上。
基于证书的身份认证器 (CBA) USB 令牌 - 提供安全远程访问以及其他高级应用程序,包括数字签名、密码管理、网络登录和组合物理/逻辑访问。
基于证书的身份认证器 (CBA) 智能卡令牌 - 传统信用卡的形式因素,使组织能够满足其 PKI 安全和访问控制需求。
混合身份认证器 - 在同一强身份认证设备上结合一次性密码、加密闪存或基于证书的技术的身份认证器。
基于上下文的身份认证 使用上下文信息来确定用户身份是否真实。建议将其作为其他强身份认证技术的补充。
SafeNet 的下一代身份认证解决方案为 IT 管理员提供了一种多层访问控制方法。只要符合管理员预先设置的预定义策略规则,员工就可以轻松安全地访问企业和 SaaS 应用程序。如果用户不遵守现有的访问规则,他们可能会被要求提供额外的身份认证因素,然后才能获得访问权限。这可能是短信或由电话令牌或硬件令牌生成的一次性密码,具体取决于组织政策。单击 此处 查看我们的基于上下文的身份认证信息图。
随着向云的转变模糊了传统网络安全边界,组织难以提供、实施和管理对分布式企业资源的一致、统一的访问策略。随着 SaaS 的采用日益增加,企业应用程序不再只有一个入口点。
SafeNet 身份认证解决方案通过允许组织通过身份联合无缝扩展对云的安全访问,从而克服了这一挑战。SafeNet 身份认证平台利用组织现有的身份认证基础设施,允许他们将用户的内部身份扩展到云,并使他们能够为云和网络应用程序实施统一的访问控制策略。
SafeNet 提供单点管理来定义和实施对所有虚拟、云和本地资源的访问控制,从而能够将双因素身份认证扩展到所有风险级别的所有用户,包括移动员工。
不同的身份认证方法和形式因素针对不同级别的用户。因此,仅有权访问企业门户的员工的身份认证方法/形式因素与公司的 IT 管理员不同。
SafeNet 提供多种方法来确保从移动设备安全访问网络资源、电子邮件、VDI 等:
用户身份认证-积极识别通过 VPN、无线、接入点、VDI 访问公司资源的用户。
iOS 设备的证书凭证 - 只有设备配备了证书的用户才能访问公司资源。
基于上下文的身份认证的设备识别 - 识别从移动浏览器登录基于 Web 的应用程序的注册用户。
SafeNet 身份认证解决方案要求用户注册其设备,从而帮助确保 BYOD 场景中的访问安全。通过这种方式,组织可以决定只有预先注册的设备才能访问网络,或者非注册设备需要用户提供额外的身份认证方法(例如一次性密码)。
为了在受移动性影响很大的当前劳动力环境中设置和维护安全访问,必须对 SaaS 应用程序、基于云的解决方案和内部部署环境实施统一的访问策略。
面对降低成本和证明价值的压力,IT 管理人员不断寻求降低 TCO。精简的管理包括用户管理、配置、单点登录、强身份认证、授权、报告、审计和与 LDAP/Active Directory 集成的策略警报。
SafeNet 的集中管理身份认证解决方案基于单一管理平台,该平台支持:
确保员工通过公司发放的移动设备和个人移动设备的安全移动性
安全远程(VPN)访问企业网络
安全访问云应用程序
安全访问虚拟桌面基础架构 (VDI)
安全网络登录
安全访问门户网站
高级安全应用程序,例如预启动身份认证和数字签名
支离破碎的 IT 生态系统妨碍了安全性和合规性。在如此支离破碎的环境中确保员工对企业资源的访问确实具有挑战性。SafeNet 身份认证解决方案提供单一管理点,将一致的访问控制应用于整个 IT 生态系统。凭借完整的用例覆盖,我们的解决方案为云、VPN、VDI、Web 门户和 LAN 提供了 100 多种无缝的开箱即用集成。
SafeNet 通过提供以下功能确保 IT 管理员实现无摩擦管理:
全自动工作流程
异常解决方案管理
所有访问事件的单一审计跟踪
使用自助服务门户
从任何设备安全访问
无线发送软件令牌
希望在不增加最终用户负担的情况下保持可接受的访问安全级别,再加上需要支持多台设备,这些因素促使组织采用对用户体验影响最小的解决方案。SafeNet 为用户提供顺畅的身份认证,提供各种 2FA 令牌和无令牌身份认证方法以及联合 SSO 到云。
您可以在揽阁信息网站的“身份与访问管理”中查看相关产品,或者直接联系我们获取更多资料。
揽阁信息 · 值得您信赖的信息安全顾问!
沪公网安备31011202021337号 网站地图
友情链接: Thales官网 芯片产品网站 服务热线
