人们需要了解选择多重身份验证解决方案时的关键考虑因素以及采用它们的原因。今天的基于凭证的网络攻击要复杂得多。无论是网络钓鱼技术、凭据填充,还是通过社会工程或第三方服务妥协泄露凭据,凭据很容易成为企业安全系统中最薄弱的环节。这些网络攻击都是关于传统凭证、用户名和密码的,这些作为合法的安全措施已经过时。增强访问安全性的一种有效方法是多因素身份验证。安全专业人员需要安全控制。在物理安全方面,这通常是通过限制访问、安全人员检查凭证或使用金属探测器检测进入者来实现的。在Internet和基于Web的应用程序爆炸式增长之前,数字入口的单一点是企业目录。员工使用一组凭据对企业资源进行身份验证,然后获得对业务应用程序的访问权限。如果没有专门的工具来维护安全状态,现代基础设施和基于Web的业务应用程序使得维护这个单一入口点变得更加困难。多因素身份验证显着增强了身份验证过程,首先是附加因素本身:智能手机、硬件多因素身份验证令牌,或者短信或基于电子邮件的身份验证代码。身份验证过程不再依赖基于安全知识的元素,例如用户名和密码,这些元素可能会被网络钓鱼或其他恶意技术破坏。使用其他多因素身份验证的身份验证尝试需要用户与已注册的设备或硬件设备进行交互,从而最大限度地减少用户名和密码泄露的影响。选择多重身份验证解决方案任何安全措施的棘手部分之一是使最终用户方便或高效。企业可以做的最糟糕的事情是增加安全要求,使用户不能(或不会)访问公司资源,或者他们想方设法绕过和破坏企业已经实施的安全措施。在选择身份验证提供程序时,多因素身份验证是一项关键功能。安全管理系统(SMS)和基于电子邮件的安全代码是低级别的安全措施,但总比没有好,需要考虑提供所需的安全级别。电子邮件和安全管理系统(SMS)都可能容易受到攻击。基于时间的一次性密码(TOTP)等多因素身份验证标准通常由GoogleAuthenticator等身份验证应用程序支持,但最终取决于身份验证服务和用户身份验证设备都知道的单一身份验证令牌。许多多重身份验证提供商依赖专有协议,这些协议使用推送通知来注册移动设备,以提供强大的安全性和简单的身份验证过程。多重身份验证提供程序提供了增强身份验证安全性的附加工具和功能。如果实施得当,多因素身份验证服务可以帮助企业实现跨各种应用程序和企业资源的单一身份验证。有了这个身份验证流量的中心点,企业就可以实施其他功能,例如改进的日志记录和分析、身份验证策略,甚至人工智能和基于风险的条件访问。选择多因素身份验证解决方案时要考虑的另一个方面涉及企业希望保护的资源类型。Office365、GoogleWorkspaces或Salesforce等云计算应用程序显然是多因素身份验证的目标,而且很容易取胜。多因素身份验证的另一个常见用例是企业VPN,它本质上是企业网络的网关,应该至少与对企业设施的物理访问一样受到保护。对内部或自定义业务应用程序使用多因素身份验证是一场艰难的胜利,这在很大程度上取决于企业希望保护的应用程序的成熟度。最后,有充分的理由实施多因素身份验证来验证企业桌面和服务器,尤其是在越来越多的用户在家远程工作的时代。与企业使用多因素身份验证保护的资源相结合的是将这些资源与企业现有身份存储库联系起来所需的基础设施。无论您的用例如何,您很有可能希望将多重身份验证提供程序与您组织的身份存储库连接起来。这通常涉及与本地轻量级目录访问协议(LDAP)目录的集成。许多多重身份验证提供商使用安装在本地网络上的软件代理或通过LDAPS(LDAPoverSSL)来执行此操作。当谈到特定于用例的基础设施时,云应用程序通常会轻而易举地获胜,因为许多应用程序使用安全断言标记语言(SAML)等标准进行无缝集成。大多数VPN解决方案都支持与远程身份验证拨入用户服务(RADIUS)集成,可用于将身份验证传递给现有的RADIUS服务器,然后再传递给多因素身份验证提供商,或者在某些情况下可以直接与企业的通信使用标准RADIUS协议的多因素身份验证提供程序。自定义或内部托管的业务应用程序可能需要通过API与多重身份验证提供程序进行交互,或者可能使用SAML。台式机和服务器的多因素身份验证需要在每个端点上安装软件以将其自身插入身份验证工作流程。八款优秀的多重身份验证产品多重身份验证细分市场是买方市场。那里有一些非常可靠的产品,每个产品都具有全面的功能集和相当大的灵活性。这里有八种优秀的多因素身份验证产品。(1)CiscoDuoDuo是多因素身份验证的主要品牌之一。它在DuoPush中具有更流行的基于推送的多因素身份验证选项。Duo还与公司设备上的生物识别因素紧密集成,通过确认注册用户拥有该设备来提供额外的安全性。(2)ESETSecureAuthenticationESET是一家以其反恶意软件和端点保护产品而闻名的公司,它是一个功能齐全的多因素身份验证解决方案,其功能集可与其他解决方案相媲美。该方案支持VPN和RADIUS;基于浏览器的管理控制台;与现有的LDAP目录或基于云的身份存储集成;以及灵活的多因素身份验证因素,例如推送通知或硬件令牌。ESET甚至为希望将其应用程序与服务更紧密集成的企业提供API和SDK。(3)HIDApproveHIDGlobal和RSA是大公司和政府中较为成熟的实体。事实上,由于其物理安全解决方案(感应/刷卡和读卡器),HID甚至在多因素身份验证成为主流之前就已经占据了重要的立足点。随着企业对计算机系统身份验证要求的成熟,HID已做好充分准备来满足其企业客户的需求。除了硬件和智能卡解决方案外,HID在HIDApprove中还有一个基于软件的强大多因素身份验证解决方案,无需硬件投资即可快速部署。HIDApprove支持推送身份验证和安全策略,该服务具有运行时应用程序自我保护(RASP)功能,可监控身份验证尝试并帮助防止动态攻击。(4)LastPassMFALLastPass以其密码管理器而闻名,但由于多因素身份验证是身份验证安全领域的近亲,因此LastPass也参与该领域是有道理的。LastPass为其密码管理器和LastPassMFA使用相同的LastPassAuthenticator移动应用程序这一事实是一件好事。LastPassMFA服务支持上述所有用例:VPN、Web应用程序、桌面、本地应用程序,并与AzureAD和Okta等常见身份管理平台紧密集成。(5)OktaAdaptiveMFAOkta一直是身份验证领域最热门的解决方案之一,原因有很多,主要是它在其工具集中的强大功能。OktaAdaptiveMFA从一个安全平台开始,该平台使用从以前的攻击中收集的数据(针对Okta服务的攻击和第三方威胁数据)自动防止身份攻击。Okta还可以利用威胁数据对合法身份验证尝试中涉及的风险进行评分,以动态管理对更强身份验证因素的需求。除了基于主动分析的防御之外,Okta还使用户能够简化威胁报告,然后可以触发对管理员的通知或自动缓解措施。使用Okta作为多因素身份验证服务还提供了广泛的选项和灵活性来满足身份验证需求。(6)RSASecurIDRSA是多因素认证领域的又一行业先驱。带有旋转数字密钥的RSA硬件令牌是用于保护企业VPN和远程访问的原始多因素身份验证解决方案之一。其悠久的历史,加上可与Okta媲美的安全产品组合,使RSA成为帮助企业安全验证关键业务资源的理想选择。RSASecurID不仅支持移动和基于硬件的身份验证因素,它们还支持无缝身份验证路径,即使用户没有互联网服务(例如在飞机上)。RSA还支持基于风险的动态身份验证策略,以平衡对额外安全性的需求与对最终用户的有效身份验证过程的需求。(7)SilverfortSilverfort这个名字大家可能没有听过,但是他们的多因素认证产品也是必备的。异常行为检测、基于模式的威胁检测和基于风险评分的身份验证因素升级只是Silverfort提供的部分功能。Silverfort提供了对远程PowerShell会话、远程桌面和SSH等常见管理工具实施多重身份验证的能力。(8)TwilioAuthyTwilioAuthy是一项已经存在了一段时间的服务,尽管并不总是在Twilio的保护伞下。正如Twilio提供的身份验证服务所期望的那样,TwilioAuthy的主要卖点是通过由广泛文档和社区支持支持的强大API实现的灵活性。Authy不同于此列表中的其他一些即插即用解决方案,但如果您需要高度灵活和可扩展的自定义业务应用程序解决方案,它可能正是您需要的服务。
