受众

弱身份验证是聊聊信息系统的常见漏洞 ，一直是网络CISA在联邦高价值资产系统中发现的五大，最常见的安全发现之一 。此外，中的证2019年Verizon数据泄露调查报告指出，实现受损密码仍然是强身违规行为的“突出固定装置”。 在整个组织中实施强身份验证方法可以显著提高抵御常见网络安全威胁(如网络钓鱼攻击和凭据泄露)的份验弹性。

虽然本指南引用了联邦标准和出版物，亿华云聊聊但它没有映射到任何机构 ，网络也没有直接与任何机构相关联  。安全这些建议适用于任何寻求改进其身份验证过程的中的证组织。

目的实现

本指南的目的是阐明身份验证的概念，推荐相关的强身安全增强功能，并提供指导以帮助规划和实现强身份验证解决方案。份验强身份验证是聊聊纵深防御网络安全战略的香港云服务器众多支柱之一，但它并不是网络安全问题的唯一解决方案。

概念

身份验证是验证用户身份是否真实的过程。大多数系统要求用户在授予对系统的访问权限之前进行身份验证 。用户通过输入密码 ，插入智能卡并输入关联的个人标识号(PIN)
，提供生物识别(例如，指纹 ，语音模式样本，高防服务器视网膜扫描)或这些东西的组合来证明他们是他们声称的人来做到这一点
。将提供的凭据与以前与用户关联的凭据进行比较
。凭据匹配可以在正在访问的系统内执行，也可以通过受信任的外部源执行。如果凭据匹配 ，系统将验证身份并授予访问权限(请参阅图 1) 。

.图 1：身份、身份验证和访问之间的关系

身份验证方法

不同的云计算系统可以实现不同的身份验证方法来验证用户的身份。身份验证方法可以分为三个因素 ：

您知道的东西 (知识)

示例包括密码 、密码或 PIN

你拥有的东西 (占有)

示例包括智能卡 、令牌 、查找机密、一次性密码设备或加密 设备

你是某物(遗传/身体 特征)

示例包括指纹
、虹膜 、面部特征、语音模式或 步态

单因素身份验证是一种常见的低安全性身份验证方法。免费模板它只需要一个因素(例如用户名和密码)即可访问系统。(尽管它包含两条信息，但用户名和密码组合仍然是一个因素 ，因为它们都来自同一类别。

多重身份验证 (MFA) 是一种强身份验证方法。它需要两个或多个因素才能访问系统。每个因素必须来自上面的不同类别(例如 ，您知道的东西和你拥有的东西)。当使用两个因素时，MFA 可以称为双因素身份验证或 2FA 。

Google
、源码库纽约大学和加州大学圣地亚哥分校进行的一项研究表明
，实施 MFA 对组织抵御恶意攻击有了显著的改进。该研究发现
，使用MFA阻止了100%的自动化机器人
，99%的批量网络钓鱼攻击以及66%针对用户Google账户的针对性攻击 。

保证级别

不同的身份验证方法具有不同的保证级别，具体取决于进程的稳健性以及标识是它们所声称的身份的可信度。组织可能会确定，为不包含敏感信息且未连接到与包含敏感信息的系统连接到同一网络的系统实施更高保证级别的成本不值得。有关保证级别的详细信息，请参阅美国国家标准与技术研究院 (NIST) 特别出版物 (SP) 800-63-3 数字标识指南3 和相关标准，4 其中描述了身份验证保证级别，并提供了一种基于风险的方法来选择适用于给定系统的身份验证强度。

问题

单因素身份验证 - 每个人都使用密码。他们真的那么糟糕吗?

单因素身份验证(通常意味着用户名和密码)为攻击者提供了一种访问系统的简便方法
。

由于密码只是数据 ，攻击者可以使用许多不同的技术来窃取密码而无需实际存在，包括：

暴力 破解攻击明文密码 存储网络钓鱼凭据 转储键盘记录网络嗅探社会 工程学恶意软件

图 2 
：密码模式使用示例

弱密码(例如 ，制造商的默认密码或遵循某种模式的密码 [见图 2])使攻击者更容易破坏密码
。其他不安全的做法可能会加剧泄露的密码可能对组织产生的影响。

密码重用允许泄露密码的攻击者访问多个系统 、网络或数据集。组织可以阻止 密码重用
，但没有技术控制可以阻止用户跨多个系统重用密码 。无法防止密码重用会使攻击者可以使用已泄露的密码来访问其他系统 。管理员密码共享使 具有提升访问权限的特权(管理)账户更有可能受到损害;管理密码通常被写下来 ，位于多个人有权访问它的地方，简化以使其更易于记忆
，并且即使在人们离开组织后也不会频繁更改 。一旦受到威胁，管理密码就会向攻击者授予跨网络和/或跨多个系统的提升访问权限。

添加另一个身份验证因素(即 ，您拥有的东西或您拥有的东西)会大大增加破坏账户的难度
，因为妥协现在需要用户的物理存在或拥有物理对象(如智能卡)。

具有最弱身份验证方法的资产成为绕过其所连接的系统的更强身份验证的潜在路径。如果有大型打开的窗户，带有钢筋门和精密锁的混凝土和钢结构建筑仍然很容易被入侵者进入
。

若要获得 MFA

功能的全部好处 ，组织应确保跨所有系统 、应用程序和资源实现它 。要求多因素身份验证以获得对组织网络(通常是用户的工作站)的初始访问权限是很好的第一步;但是 ，这仅对组织内仅使用单因素身份验证保护的其他系统和数据提供有限的保护 。威胁参与者可能会寻求利用受保护程度较低的系统，然后移动到其他系统并继续其恶意操作 。

网络分段也可能降低攻击者在整个网络中移动的能力 ，但依赖单因素身份验证的账户仍然容易受到损害，并且是最薄弱的环节 。

能做些什么?

规划阶段

战略规划

在所有系统、应用程序和资源上实施 MFA 可能具有挑战性且成本高昂。当单独访问时 ，每个都需要自己特定的方法来验证用户的身份(例如 ，必须颁发，管理和撤销多个凭据)。因此 ，通过采用组织范围的方法并将解决方案作为企业服务实现，而不是尝试为每个应用程序实现冗余、隔离的身份验证解决方案 ，组织在实现身份验证方面将最有效 。

组织范围的策略允许身份验证策略和做法的标准化
，包括颁发和管理必要的凭据，并降低每个应用程序获取或构建自己的身份验证解决方案的成本 。组织应检查其现有功能，以确定他们是否已经具有在整个组织中提供 MFA 的可行解决方案。例如
，联邦机构为用户提供了基于个人身份验证(PIV) 的身份验证 。其用户账户通过大型商业提供商进行管理的组织可能能够利用其服务提供商已提供的 MFA 功能 。当前没有可用 MFA 功能的组织应采购或设计 MFA 解决方案。

在决定 MFA 解决方案时，组织应考虑以下事项。

用户对网络或系统的初始身份验证在用户访问其他系统、应用程序或新的基础架构段时进行其他身份验证对外部托管资源的身份验证外部实体对内部资源的身份验证

组织决定使用企业 MFA 解决方案后 ，可以通过单点登录 (SSO) 和联合身份验证服务扩展身份验证功能
。SSO和联合身份验证可在组织、系统
、应用程序和资源之间安全地共享身份验证和身份信息  ，而无需在每个系统上单独实现 MFA 功能。许多系统都配备了用于 SSO的连接器。SSO和联合身份验证通过将对资源的访问控制权交到中央身份管理管理员手中来增强组织的安全性 ，这允许组织在用户离开或账户受到威胁时快速、全面地撤销对其所有资源的访问权限。这些步骤简化了标识生命周期的管理(包括颁发给用户的各种凭据)
，并帮助确保在用户离开时立即撤销整个组织的访问权限。

另一个好处是简化了用户体验 - 用户不再需要跟踪数十个凭据 - 同时将组织漏洞减少到用户管理多个凭据的方式的弱点。

单点登录

SSO 是一种身份验证方法，其中用户向集中式 SSO 解决方案进行身份验证一次(通常使用组织选择的强 MFA 身份验证解决方案)。其他系统和应用程序配置为信任 集中式 SSO 解决方案对用户进行身份验证，而无需进一步交互(请参见图 3)。这减少了对多个系统和服务重复进行身份验证的需要。最重要的是，当用户通过 SSO 从其初始身份验证移动到其他系统时，该用户对初始系统的凭据不会与其他系统共享 。用户进行身份验证后，SSO 解决方案将透明且安全地完成所有相关系统的过程，而无需进一步公开初始系统凭据。此外，每个应用程序都不需要管理自己的身份凭据存储，而是利用整个组织中的集中式存储
。

 。

图 3：通过 SSO 解决方案预配了具有访问权限的中央组织范围标识可跨内部和外部资源保护 MFA 网络登录的安全性 。

注意：某些 SSO 提供商可能仍会使用其他系统的用户名/密码向该系统进行身份验证;组织应确保在连接到资源的每个步骤中都使用强大的、非基于密码的协议设置其 SSO 解决方案。存在将 SSO 功能合并到组织的基础结构中的多个技术选项 。选择 SSO 解决方案时，组织应考虑单一注销功能(在用户注销时终止所有打开的和活动的会话)，以最大程度地降低会话劫持的风险
。

联合身份验证

尽管联合身份验证本身并不是弱身份验证的解决方案。它可以为改进身份验证提供实质性的间接支持 。联合身份验证是指在管理自己的用户、身份和身份验证的多个组织之间建立受信任关系，以便接受彼此的用户 。组织应仅与它们信任其身份审查和身份验证过程的其他组织联合。例如，两个组织管理自己的用户、标识和身份验证，然后在其系统之间建立连接，以减少外部用户使组织容易受到攻击的弱身份验证点
。例如，假设Acme Anvil Co.和Coyote Missile Co.有一个重叠的任务，要求Acme Anvil与Coyote Missile共享信息，但每个组织已经在自己的身份商店中管理其员工的身份。Acme Anvil 可以选择与 Coyote Missiles 身份存储建立信任关系，以授权访问 Acme Anvil 系统，而不是使用资源对需要访问信息的 Coyote Missile 员工执行新的背景调查，而是选择与 Coyote Missiles 身份存储建立信任关系 ，因为 Coyote Missile 已经对个人进行了背景调查并确定了他们的身份(见图 4)
。

图 4
：Acme Anvil 的用户可以使用 MFA 安全地登录到其公司工作站 ，并通过安全的联合身份验证访问由其供应商 Coyote Missile 托管的应用程序 ，而无需登录名或密码。

因此，联合身份验证可以将组织的强身份验证和 SSO 功能进一步扩展到其用户访问的受信任组织拥有的系统，反之亦然。需要与其他组织的用户共享资源的组织可以使用受信任的联合身份用户标识
，而无需复制这些用户的身份证明或身份管理。如果没有联合身份验证 ，则与其他组织共享的任何资源的身份验证和身份存储必须与其主身份存储分开配置和管理，这会增加复杂性。

知道何时继续前进

组织可以识别包含强身份验证的资源，这些资源将被证明过于昂贵或技术复杂。如果发生这种情况，组织必须在以下两者之间做出决定 ：

1)保持当前系统并实施补偿控制以解决组织面临的风险;或

2) 迁移到新的现代化系统 ，允许与强身份验证解决方案集成 。组织应权衡每个选项的成本和风险 。

注意：尽管超出了本文档的范围 ，但除了迁移到更新技术在做出决策时将提供的强身份验证之外 ，组织还应考虑性能和安全优势 。

其他战略考虑因素

特别是对于大型组织，有关约束性策略、职责和预算的非技术注意事项可能是相关的。如果信息系统不是由中央办公室或首席信息官(CIO)管理和控制的，就有必要与拥有这些系统的不同办公室进行更多的接触和协调
，以符合本组织的总体战略。同样，如果组织的信息技术 (IT) 预算未集中管理，则组织可能需要考虑如何从组织的每个元素中恢复实现和操作强身份验证、SSO 或联合身份验证组件的成本  。

虽然自动系统到系统连接并不严格在本指南的范围内(并且 MFA 不是服务器凭据的选项) ，但它们仍然通过提供“非个人账户”来访问系统来打开攻击途径。如前所述，当任何形式的弱身份验证与缺乏有效的网络分段相结合时，可以进一步利用此弱点在网络中移动 ，从而破坏在其他地方实现的强身份验证的好处。组织可以通过使用强凭据(安全套接字层 [SSL] 证书)、加密通信以及特定于应用程序或 IP 地址允许列表来保护这些连接，从而删除此路径，以便攻击者绕过对系统的强用户身份验证。

战术规划

战术规划涉及发现当前状态环境 ，确定待定状态，并制定过渡计划以执行经济高效的方法迁移到目标状态。

要解决弱身份验证问题，必须 1) 了解“原样”状态  ，2) 可用功能，以及 3) 了解 实现 所需状态 所需的内容。 在规划和进行这些企业改进工作时 ，必须避免分析瘫痪 。寻求100%的知识或保证(完美)，无论是针对当前还是未来状态，都会抑制基于可用(足够好)信息的渐进式改进 。

了解“按原样”状态

1.对当前应用程序和系统进行编目 。

2.确定有权访问系统或应用程序的用户和用户组
，包括与您共享数据的合作伙伴和外部利益干系人  。

3.对与合作伙伴共享的数据的性质进行编目，因为保护敏感数据的需求可能会影响协议和体系结构方面的考虑
。在交换敏感数据的情况下
，可能需要有关用户的更详细信息才能强制实施最小特权访问。对于敏感数据只是系统中数据的子集的系统尤其如此(并且组织不希望在非敏感数据上产生额外安全性的财务或效率成本)。

4.确定每个用户对每个应用程序或系统的身份验证方法 。

5.标识每个系统或应用程序支持的身份验证协议 。

6.确定体系结构的支持元素(例如也需要保护的自动系统到系统连接)，以确保辅助元素的配置不会引入漏洞 。

确定当前功能

1.确定组织内现有的 MFA 功能，例如 PIV 卡身份验证。

2.评估用于执行加强身份验证的计划的购置或预算选项，并结合与广泛采用强身份验证的策略相一致的成本回收策略 。

3.确定可提供 MFA 功能的应用程序的现有资产或许可证
。

4.评估要与强身份验证解决方案集成的系统或应用程序的许可协议。支持强身份验证方法或强

SSO/联合协议可能需要额外的许可证或来自应用程序的不同类型的许可证才能得到保护;这些许可证与强身份验证解决方案或SSO/联合解决方案本身的成本是分开的。了解端到端的实施成本将为总体拥有成本提供信息 ，并支持有关经济高效的风险管理的决策。

5.确定具有实施 MFA 功能经验的当前人员。

了解“未来”状态

1.选择最适合您的环境和法规要求的强身份验证解决方案(例如 ，某些身份验证解决方案可能适用于本地体系结构 ，但可能不适用于云体系结构) 。

2.定义用户将如何对网络 、每个后续系统和应用程序以及外部托管资源进行身份验证;定义外部用户如何向内部资源进行身份验证 。

3.确定哪些系统和应用程序将集成到 SSO 解决方案中。

4.确定要与哪些组织建立受信任的联合身份验证。

5.为具有不同身份验证强度的系统设置边界，并确保来自较弱身份验证系统或用户的连接不允许对受较强身份验证保护的系统进行弱身份验证访问。注意从安全性较低的环境到更安全环境中的系统跨越边界的系统到系统之间的连接
。

6.在完全部署计划的强身份验证解决方案时设计目标体系结构。包括 身份验证解决方案将支持其他组织安全做法(如网络分段)的位置。

过渡计划

1.制定过渡计划和计划 ，从“原样”状态到定义的“准” 状态。

a.使用风险管理策略确定用户和应用程序的优先级，以便将其载入解决方案。

b.在系统或应用程序中具有提升权限的用户对于载入最为关键
，那些对交付业务任务、核心组织功能或包含敏感数据至关重要的系统或应用程序也是如此。

c.确定组织最关键的系统和资产的优先级
，这些系统和资产具有最弱的身份验证。

2.如果要使用与其他组织的受信任联合身份验证
，请确定如何在不对其当前访问产生负面影响的情况下转换这些用户  。

3.针对代表性系统测试迁移计划 。

执行阶段

在此阶段，您的组织使用在规划阶段获得的项目执行强身份验证。在执行过程中
，时间表和其他工件可能需要根据“地面条件”和经验教训进行调整 。因此 ，正在考虑的调整应经历与规划阶段对工件相同的严格程度 。下面的名义时间表可以根据工作的规模和范围进行调整。

短期行动

1.根据组织的体系结构分析和风险管理确定来采购或设计强身份验证解决方案。

2.获取实施规划阶段定义的过渡计划所需的硬件、软件和许可证(包括 SSO 解决方案)。

3.从集中式身份治理管理点识别和编目用于管理用户的业务流程 。

4.开始为 组织的特权用户 及其转换计划中定义的最高价值系统和资产实施强身份验证
。

5.将 评估 系统身份验证与组织解决方案兼容性的标准 纳入组织对拟议收购或新系统的审查中 。

中期行动

1.继续将系统迁移到强身份验证系统。

2.利用强身份验证解决方案的初始实现连接到 SSO 解决方案。

3.将身份验证从现有系统和应用程序转换到 SSO 解决方案
。

4.在采购新购置或建议的系统之前 ，评估这些系统 ，以确定与组织的强身份验证解决方案的兼容性
。

长期行动

1.继续将系统迁移到强身份验证系统
 。

2.与其他组织建立联合身份验证的信任关系。

3.载入非个人实体，如服务账户。

4. 通过定期审查和更新 需求、策略和参考体系结构 ，实现持续改进 。

总结

通过 MFA 进行强身份验证是一项关键且有时成本高昂的投资，但应跨所有网络、系统、应用程序和资源实施，以充分保护组织。因此，建议采用组织范围的方法 。在整个组织中扩展 MFA 功能的一种方法是通过 SSO 解决方案。除了为组织的资源提供更好的安全性之外，SSO 解决方案还改善了用户体验，因为它消除了记住密码或管理每个系统和应用程序的多个凭据(如 RSA 令牌)的需要  。在企业级别实现的 SSO 解决方案还可以消除系统所有者花费资源来管理自己的身份验证解决方案的需要 。SSO 解决方案就位后 ，组织可以通过与其他组织联合身份验证来进一步扩展强大的身份验证功能 。通过将这些概念和其他战略考虑因素纳入对其“原样”状态的评估中，组织可以定义他们想要的“未来”状态，并制定实现目标的计划。