在智能手機(jī)、平板電腦、筆記本電腦和臺(tái)式電腦上實(shí)施有效的身份驗(yàn)證。

　　身份驗(yàn)證是在授權(quán)訪問設(shè)備或服務(wù)之前驗(yàn)證用戶或設(shè)備身份的過程。

　　在每種情況下，可用的身份驗(yàn)證方法將取決于正在訪問的服務(wù)和來自什么類型的設(shè)備。每種身份驗(yàn)證方法都有自己的優(yōu)點(diǎn)和缺點(diǎn)。

　　作為一個(gè)組織，重要的是實(shí)施身份驗(yàn)證步驟，以平衡設(shè)備和服務(wù)的可用性和安全性。本文將介紹一系列不同的用例和可用的常見身份驗(yàn)證方法，重點(diǎn)介紹安全優(yōu)勢和安全風(fēng)險(xiǎn)。將幫助為組織的設(shè)備設(shè)計(jì)和部署有效的身份驗(yàn)證策略。

　　為什么要認(rèn)證？

　　在智能手機(jī)、平板電腦、筆記本電腦和臺(tái)式機(jī)上，用戶身份驗(yàn)證是防止未經(jīng)授權(quán)訪問設(shè)備及其上存儲(chǔ)的數(shù)據(jù)的主要方法。還在防止對設(shè)備設(shè)置進(jìn)行未經(jīng)授權(quán)的更改方面發(fā)揮著重要作用。

　　鑒于大多數(shù)企業(yè)服務(wù)將通過設(shè)備訪問，重要的是：

　　驗(yàn)證設(shè)備用戶的身份。將確保只有那些有權(quán)訪問的人才能獲得授權(quán)。

　　如果服務(wù)包含敏感的數(shù)據(jù)，則還應(yīng)驗(yàn)證設(shè)備的身份和健康狀況。這允許阻止不符合企業(yè)策略的設(shè)備訪問服務(wù)。

　　攻擊者總是會(huì)瞄準(zhǔn)身份驗(yàn)證系統(tǒng)中的弱點(diǎn)。許多常見的攻擊尋找簡單的方法來猜測或竊取用戶或設(shè)備憑據(jù)。

　　使用這些憑據(jù)，攻擊者可以冒充有效用戶和設(shè)備，訪問存儲(chǔ)在設(shè)備上的數(shù)據(jù)，并連接遠(yuǎn)程企業(yè)服務(wù)。他們還將利用這一立足點(diǎn)進(jìn)一步滲透到企業(yè)網(wǎng)絡(luò)中。

　　考慮到這些潛在的后果，很明顯，實(shí)施有效的身份驗(yàn)證對于希望防止賬戶、設(shè)備或網(wǎng)絡(luò)受損的組織至關(guān)重要。

　　為有效認(rèn)證做準(zhǔn)備

　　首先，需要考慮要保護(hù)的資產(chǎn)的風(fēng)險(xiǎn)、它們持有的數(shù)據(jù)以及面臨的身份驗(yàn)證用例。在授予對系統(tǒng)和服務(wù)的訪問權(quán)限之前，此信息將允許用戶制定適當(dāng)?shù)牟呗詠眚?yàn)證用戶和設(shè)備。

　　對于每個(gè)身份驗(yàn)證用例，應(yīng)該考慮可用身份驗(yàn)證方法的可用性和安全性。

　　身份驗(yàn)證用例

　　要考慮的主要用例是：

　　用戶到設(shè)備

　　用戶只有在成功通過身份驗(yàn)證后才被授予對設(shè)備的訪問權(quán)限。

　　用戶服務(wù)

　　用戶只有在成功通過他們的設(shè)備對服務(wù)進(jìn)行身份驗(yàn)證后才能訪問企業(yè)服務(wù)。

　　服務(wù)設(shè)備

　　只有可以向企業(yè)進(jìn)行身份驗(yàn)證的設(shè)備才被授予訪問權(quán)限。

　　對于上述每個(gè)用例，在決定適當(dāng)?shù)纳矸蒡?yàn)證機(jī)制時(shí)，重要的是要考慮哪些可用的身份驗(yàn)證機(jī)制最適合使用，同時(shí)考慮安全性和可用性。

　　用戶到設(shè)備

　　在用戶到設(shè)備 身份驗(yàn)證的情況下 ，常見的身份驗(yàn)證方法包括：

　　身份驗(yàn)證方法考慮

　　密碼或 PIN在智能手機(jī)、平板電腦、筆記本電腦和臺(tái)式機(jī)上，密碼或 PIN 通常是用戶到設(shè)備身份驗(yàn)證的主要方法。但仍然面臨被猜測或被暴力逼迫的風(fēng)險(xiǎn)。但是，大多數(shù)設(shè)備都包含增強(qiáng)用戶對設(shè)備密碼或 PIN 以抵御離線暴力攻擊的技術(shù)，從而限制攻擊者重復(fù)猜測密碼或 PIN 的能力。除了這些保護(hù)措施之外，如果 PIN 或密碼僅用于對設(shè)備進(jìn)行身份驗(yàn)證，那么只有當(dāng)攻擊者可以物理訪問設(shè)備時(shí)，它才有用。

　　生物識別

　　許多智能手機(jī)、平板電腦、筆記本電腦和臺(tái)式機(jī)現(xiàn)在也具有指紋和面部識別等生物識別身份驗(yàn)證功能，可以提供方便和安全的密碼替代方法。生物識別技術(shù)在其產(chǎn)生的誤報(bào)率和否定率以及檢測欺騙性生物識別技術(shù)的能力方面可能會(huì)有所不同。

　　用戶到服務(wù)/設(shè)備到服務(wù)

　　在用戶到服務(wù)認(rèn)證和設(shè)備到服務(wù)認(rèn)證的情況下，常見的認(rèn)證方法包括

　　身份驗(yàn)證方法考慮

　　密碼由于密碼相對容易實(shí)現(xiàn)，這仍然是目前用于用戶身份驗(yàn)證的最常用方法。不過，密碼確實(shí)存在一些主要弱點(diǎn)。要求用戶記住和管理大量密碼通常會(huì)導(dǎo)致密碼重復(fù)使用，以及使用常見密碼 ，會(huì)使服務(wù)容易受到密碼噴射攻擊或暴力破解。還容易受到網(wǎng)絡(luò)釣魚、魚叉式網(wǎng)絡(luò)釣魚和服務(wù)器端憑據(jù)盜竊的攻擊，最近的許多數(shù)據(jù)泄露事件都證明了這一點(diǎn) 。有關(guān)于密碼的廣泛建議，包括密碼拒絕列表、設(shè)置密碼策略對于組織，以及如何選擇適當(dāng)安全的密碼，用戶應(yīng)該會(huì)發(fā)現(xiàn)更容易實(shí)施。

　　證書

　　是包含私鑰和簽名公鑰的長期憑證。需要訪問私鑰才能對其他服務(wù)進(jìn)行身份驗(yàn)證，并可用于對設(shè)備或服務(wù)的用戶進(jìn)行身份驗(yàn)證。

　　應(yīng)保護(hù)私鑰免受惡意軟件的訪問（通過沙盒或其他訪問控制機(jī)制，包括將其標(biāo)記為不可導(dǎo)出）。私鑰也應(yīng)該通過設(shè)備的靜態(tài)數(shù)據(jù)加密來防止硬件提取，或者如果不能以其他方式保護(hù)，則使用強(qiáng)加密密碼。

　　FIDO 2 驗(yàn)證器

　　FIDO2 是一套標(biāo)準(zhǔn)，使用公鑰憑據(jù)和協(xié)議提供加密身份驗(yàn)證，以提供更安全的密碼替代方法來訪問在線服務(wù)。它還降低了許多與密碼相關(guān)的安全風(fēng)險(xiǎn)，包括網(wǎng)絡(luò)釣魚、憑據(jù)盜竊和重放攻擊。

　　FIDO2 身份驗(yàn)證器可以是智能手機(jī)、硬件安全密鑰或 PC 或筆記本電腦上的可信平臺(tái)模塊 （TPM）。身份驗(yàn)證器可以使用本地 PIN 或生物識別技術(shù)支持用戶到設(shè)備的驗(yàn)證。這意味著只有在用戶驗(yàn)證首先成功的情況下才能訪問存儲(chǔ)的密鑰以對在線服務(wù)進(jìn)行身份驗(yàn)證。一些身份驗(yàn)證器使用硬件保護(hù)的加密存儲(chǔ)和反錘子進(jìn)一步保護(hù)存儲(chǔ)的密鑰，以防止對本地用戶驗(yàn)證的暴力攻擊。

　　Windows Hello 和運(yùn)行Android 7+ 的設(shè)備  是 FIDO2 認(rèn)證平臺(tái)身份驗(yàn)證器的示例。還有越來越多的支持 FIDO2 的硬件安全密鑰生態(tài)系統(tǒng)，例如 Yubikeys 或 Google Titan 密鑰。

　　例如，在企業(yè)場景中，  Windows Hello 企業(yè)版 已經(jīng)使用了 FIDO2。需要使用 PIN 或生物識別（您知道/是的東西）進(jìn)行用戶到設(shè)備的身份驗(yàn)證，這允許訪問基于公鑰的憑據(jù)，綁定到設(shè)備的TPM（您擁有的東西）。允許用戶對 Windows Active Directory 或 Azure Active Directory 進(jìn)行身份驗(yàn)證，并獲得對企業(yè)服務(wù)的訪問權(quán)限。 Google 賬戶現(xiàn)在還支持外部安全密鑰和 Android 設(shè)備上的內(nèi)置身份驗(yàn)證器，作為對 Google 賬戶進(jìn)行身份驗(yàn)證時(shí)的第二個(gè)因素。

　　服務(wù)的單因素與多因素身份驗(yàn)證

　　任何身份驗(yàn)證機(jī)制的安全性都取決于所選的具體實(shí)施和因素組合。

　　在某些情況下，使用單個(gè)因素可能是合適的。例如，在用戶到設(shè)備身份驗(yàn)證的情況下，在考慮到諸如暴力保護(hù)或硬件保護(hù)存儲(chǔ)等緩解措施時(shí)，使用單一因素對設(shè)備進(jìn)行身份驗(yàn)證可能就足夠了，這些措施可在當(dāng)今許多設(shè)備上使用。

　　但是，對于服務(wù)級別身份驗(yàn)證，在單個(gè)身份驗(yàn)證因素?zé)o法提供適當(dāng)安全級別的情況下， 多因素身份驗(yàn)證 （MFA） 可以顯著增強(qiáng)安全性。

　　內(nèi)置設(shè)備身份驗(yàn)證機(jī)制可以擴(kuò)展為直接與選擇的身份提供商集成，以使用綁定到設(shè)備的基于公鑰的憑據(jù)提供無密碼和多因素身份驗(yàn)證，通常可以提供可用性和安全性的最佳平衡。Windows Hello 企業(yè)版就是一個(gè)很好的例子 。在用戶擁有不止一臺(tái)設(shè)備的情況下，使用 FIDO2 安全密鑰可能會(huì)提供類似的好處。但是，需要在設(shè)備上并與身份提供者一起調(diào)查對此的支持。

　　某些企業(yè)身份驗(yàn)證服務(wù)還可以與移動(dòng)設(shè)備管理 （MDM）集成 ，以在授予對企業(yè)服務(wù)的訪問權(quán)限之前考慮環(huán)境因素，例如網(wǎng)絡(luò)位置、設(shè)備合規(guī)性和設(shè)備健康證明。這種類型的條件訪問在零信任網(wǎng)絡(luò)架構(gòu)或自帶設(shè)備 （BYOD） 場景中非常有用 。

　　單點(diǎn)登錄服務(wù)

　　企業(yè)單點(diǎn)登錄可用于使用通過選擇的身份提供商管理的單一身份源登錄在線服務(wù)。這可以通過減少需要進(jìn)行身份驗(yàn)證的次數(shù)和減少對密碼的依賴來顯著改善用戶體驗(yàn)。它還使管理加入者、移動(dòng)者和離開者變得更加簡單且不易出錯(cuò)。

　　記錄和監(jiān)控

　　除了身份驗(yàn)證機(jī)制外， 還應(yīng)設(shè)置適當(dāng)?shù)娜罩居涗?，以監(jiān)控身份驗(yàn)證以及對設(shè)備和服務(wù)的訪問。對身份驗(yàn)證系統(tǒng)的攻擊是用戶將面臨的最普遍的攻擊之一，因此將這些事件捕獲到審計(jì)日志中是一種檢測潛在問題的高效方法。

　　如何有效地進(jìn)行身份驗(yàn)證

　　在設(shè)計(jì)和實(shí)施企業(yè)身份驗(yàn)證時(shí)，應(yīng)該：

　　選擇支持對用戶和組織使用的設(shè)備進(jìn)行多重身份驗(yàn)證的企業(yè)身份提供商。使用身份提供者配置在線服務(wù)以使用單點(diǎn)登錄身份驗(yàn)證。

　　根據(jù)上述注意事項(xiàng)選擇可最大限度提高可用性并提供適當(dāng)安全性的身份驗(yàn)證因素，并確保在選擇在組織中使用的設(shè)備時(shí)所使用的設(shè)備支持這些因素。

　　為用戶提供明確的認(rèn)證政策和指導(dǎo)。

　　實(shí)施實(shí)用的用戶到設(shè)備身份驗(yàn)證策略，包括使用生物識別和可用密碼策略。

　　在可能的情況下，減少對密碼的依賴并實(shí)施無密碼身份驗(yàn)證，例如Windows Hello。

　　在訪問服務(wù)需要密碼的情況下，鼓勵(lì)使用密碼管理器。

　　對于機(jī)器身份驗(yàn)證，部署使用基于硬件保護(hù)的公鑰的唯一綁定到設(shè)備的憑據(jù)的機(jī)制。在可能的情況下，考慮將其與其他上下文相結(jié)合（例如，在 Windows 上，可以使用網(wǎng)絡(luò)位置、設(shè)備合規(guī)性和設(shè)備健康證明）。

　　部署企業(yè)單點(diǎn)登錄以訪問服務(wù)。將此與強(qiáng)大的用戶和設(shè)備身份驗(yàn)證相結(jié)合，使用多因素身份驗(yàn)證或條件訪問。

　　對身份驗(yàn)證成功和失敗實(shí)施適當(dāng)?shù)娜罩居涗浐捅O(jiān)控。