双因子(或称双因素)认证一直是安全圈比较关注的一个话题,从等保1.0时期的关键评价指标项,到现在网络安全等级保护、关键信息基础设施、高风险判定指引,要求在各个层面的身份鉴别上均实现双因子身份鉴别,可见对双因子认证在日常应用的重视程度。
什么是双因子认证?
现代双因子认证的起源,可追溯到一战时期的英国情报局军情6处M16,用于针对处理安全、防务、外事、经济方面的事物情报、密码情报。
所谓的双因子认证是指结合密码、实物(信用卡、SMS手机、令牌)或指纹等生物标志中的两种条件对用户进行认证的方法。
双因子的3种认证方式
一、知识
最常见的就是口令等知识, 其优势在于认证过程简单快捷, 不会出错。
二、实物
比如说是IC卡、令牌, USB Key等实物(古代的虎符也是这类),其优势在于认证过程也简单快捷, 不会出错。
三、人的生物特征
比如指纹, 虹膜, 视网膜, 掌纹, 面貌等, 这些识别元素是每个人都是唯一的,用来作为认证是最强的, 但认证过程比较慢, 而且会出错。
● 结论
双因子认证的认证方法,就是必须使用上述三种认证因子的任意两者的组合才能通过认证。
标准涉及双因子认证
《网络安全等级保护基本要求》
在三级安全计算环境中针对身份鉴别部分,要求“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。”
《关键信息基础设施网络安全保护基本要求》
在报批稿第7章安全防护中针对鉴别与授权要求“对设备、用户、服务或应用、数据进行安全管控,对于重要业务操作或异常用户操作行为,建立动态的身份鉴别方式,或者采用多因子身份鉴别方式等。”
《网络安全等级保护高风险判定指引》
在第7章针对双因素认证部分,判定内容为:“重要核心设备、操作系统等未采用两种或两种以上鉴别技术对用户身份进行鉴别。例如仅使用用户名/口令方式进行身份验证,削弱了管理员账户的安全性,无法避免账号的未授权窃取或违规使用,可判定为高风险。”
● 结论
通过以上标准和指引可以看出,对双因子认证的要求举足轻重,用户登录资源需要具备唯一身份标识,对唯一身份标识的鉴别需要实现多因素强身份认证,且其中一种鉴别技术至少应使用密码技术来实现,并且多方解读高风险即为一票否决项。
工作中暴露出的问题
网络安全对抗活动
从历年网络安全对抗活动行动了解到的情况来看,暴露出来的最大问题就是认证的安全问题。仅校验“账号+密码”的认证方式,很容易被口令猜测破解。
日常工作
日常工作中,缺少统一管理,资源各自认证,不便统一认证方式;账号各自维护,不便设置口令策略;日志各自保存,不便查询分析。
启明星辰解决方案
启明星辰统一身份认证系统,支持网络设备、安全设备、服务器、数据库等用户登录时的强身份认证,实现统一账号、统一认证、强身份认证和集中审计。
● 认证流程
系统实现用户登录资源时多因强认证功能,支持多种强认证方式组合,提升资源认证安全性,满足规范要求。资源将认证源指向认证系统,当用户直接访问资源时,输入用户名+静态密码+强认证因子,资源将认证请求转发给认证系统,通过认证后,即可登录资源。
● 实现效果
强认证即两段式密码认证,用户登录资产设备时,输入的登录密码包含前后两段,前半段是静态密码,后半段是随机密码,只有双码均验证通过后,方可成功登录。
● 统一认证管理
认证服务:基于Radius、Tacacs、Ldap协议,为资源提供统一身份认证服务。
认证策略:可设置用户访问资源时采用的强认证方式,如可勾选只有静态密码认证或静态密码+OTP认证。
多因强认证:支持对用户登录资源进行多因强认证,强认证方式包括:动态口令(硬件/手机)、指纹/人脸识别、短信、数字证书等,支持多种强认证方式组合。
国密算法:认证系统支持基于国密算法生成口令和对数据进行加密,保证数据安全的同时,满足规范要求。
● 多因子强认证
认证系统支持多种强认证方式,包括:动态口令(硬件/手机) 、指纹/人脸识别、短信、数字证书等,并支持多种强认证方式组合。
● 统一账号管理
支持对纳管的资源账号进行稽核,发现僵尸账号、幽灵账号、异常登录账号等,并及时删除或停用。
支持手动创建、离线导入、在线同步等方式统一创建和账号信息。
支持自定义密码长度、复杂度;可设置密码周期,定期自动更新密码,满足规范要求。
可设置用户访问资源时多因认证方式,包括认证因子数、认证方式,实现用户强身份认证。
● 客户价值
满足合规要求:实现对资源登录的统一认证及鉴权。
提升管理效率:实现资源用户/密码的统一管理。
降低管理工作量:对用户登录资源使用的账号和角色进行统一管理。
减少密码传播:可为外部系统提供密码查询,外部系统无需保存密码,随用随查,避免用户密码随意传播。
日志集中审计:实现日志集中审计,对资产登录日志、鉴权日志、操作日志等进行统一展示和查询。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
