8種頂級多因素身份驗證產品以及如何選擇解決方案
人們需要了解選擇多因素身份驗證解決方案時的關鍵考慮因素以及采用這些解決方案的原因。
如今的基于憑證的網絡攻擊要復雜得多。無論是網絡釣魚技術、憑證填充,甚至是通過社交工程或第三方服務破壞而泄露的憑證,憑證很容易成為企業安全系統最薄弱的一點。這些網絡攻擊都是針對傳統憑證、用戶名和密碼的,而作為一種合法的安全措施,這些憑證、用戶名和密碼已經過時。增強訪問安全性的一個有效方法是多因素身份驗證。
安全專業人員需要進行安全控制。在物理安全方面,通常是通過限制入口來實現的,安全人員檢查身份憑證或采用金屬探測器對進入者進行探測。在互聯網和基于網絡的應用程序爆發式增長之前,單一的數字入口點是企業目錄。員工使用一組憑據對企業資源進行身份驗證,然后可以訪問業務應用程序。
如果沒有專門的工具來維護安全狀態,現代基礎設施和基于Web的業務應用程序使維護這個單一入口點變得更加困難。多因素身份驗證顯著增強了身份驗證過程,其中第一個是附加因素本身:智能手機、硬件多因素身份驗證令牌或基于SMS或電子郵件的身份驗證代碼。身份驗證過程不再依賴于用戶名和密碼等基于安全知識的元素,這些元素可能會被網絡釣魚或其他惡意技術破壞。利用其他多因素身份驗證的身份驗證嘗試需要用戶與注冊設備或硬件設備進行交互,從而最大限度地減少用戶名和密碼泄露的影響。
選擇多因素身份驗證解決方案
任何安全措施都有一個棘手的部分,那就是讓最終用戶感到便捷或者高效。企業能做的最糟糕的事情就是提高安全要求,以至于用戶不能(或不會)訪問企業資源,或者他們想辦法繞過并破壞企業已經實施的安全措施。
多因素身份驗證是選擇身份驗證提供程序時的一個關鍵特性。安全管理系統(SMS)和基于電子郵件的安全代碼是比較低級的安全措施,但總比沒有好,需要考慮這些因素是否提供需要的安全級別。電子郵件和安全管理系統(SMS)都可能容易受到攻擊。諸如基于時間的一次性密碼(TOTP)之類的多因素身份驗證標準通常得到Google Authenticator等身份驗證應用程序的支持,但最終取決于身份驗證服務和用戶身份驗證設備都知道的單個身份驗證令牌。許多多因素身份驗證提供商依賴專有協議,這些協議使用推送通知到注冊的移動設備來提供強大的安全性和便捷的身份驗證流程。
多因素身份驗證提供商提供了增強身份驗證安全性的附加工具和功能。如果實施得當,多因素身份驗證服務可以幫助企業實現跨各種應用程序和企業資源的單一身份驗證焦點。擁有這一身份驗證流量中心點讓企業可以實現其他功能,如改進的日志記錄和分析、身份驗證策略,甚至人工智能和基于風險的條件訪問。
選擇多因素身份驗證解決方案時要考慮的另一個方面涉及企業希望保護的資源類型。Office365、Google Workspaces或Salesforce等云計算應用程序顯然是多因素身份驗證的目標,而且很容易獲勝。企業VPN是多因素身份驗證的另一個常見用例,VPN本質上是企業網絡的網關,至少應該像對企業設施的物理訪問一樣受到保護。將多因素身份驗證與內部或自定義業務應用程序結合使用是一個艱難的勝利,并且在很大程度上取決于企業希望保護的應用程序的成熟度。最后,有充分的理由實施多因素身份驗證以對企業桌面和服務器進行身份驗證,尤其是在越來越多的用戶在家遠程工作的時代。
與企業使用多因素身份驗證保護的資源結合在一起的是將這些資源與企業現有的身份存儲庫聯系在一起所需的基礎設施。無論企業的用例如何,很有可能希望將其多因素身份驗證提供商與企業的身份存儲庫聯系起來。這通常涉及與本地輕量級目錄訪問協議(LDAP)目錄的集成。許多多因素身份驗證提供商使用安裝在本地網絡上的軟件代理或通過LDAPS(LDAPoverSSL)來執行此操作。
在特定于用例的基礎設施方面,云應用程序通常會輕松獲勝,因為許多應用程序使用安全斷言標記語言(SAML)等標準無縫集成。大多數VPN解決方案支持與遠程身份驗證撥入用戶服務(RADIUS)的集成,該服務可用于將身份驗證傳送到現有的RAD IUS服務器,然后傳送到多因素身份驗證提供商,或者在某些情況下可以使用標準直接與企業的多因素身份驗證提供商通信RADIUS協議。自定義或內部托管的業務應用程序可能需要通過API與多因素身份驗證提供商進行交互,或者可能會利用SAML。臺式機和服務器的多因素身份驗證需要在每個端點上安裝軟件才能將自身插入到身份驗證工作流程中。
8種頂級的多因素認證產品
多因素身份驗證細分市場是買方市場。有一些非常可靠的產品,每種產品都具有全面的功能集和相當多的靈活性。以下是8種頂級的多因素認證產品。
(1)Cisco Duo
Duo是多因素身份驗證中的主要品牌之一。它具有Duo Push中更流行的基于推送的多因素身份驗證選項。Duo還與企業設備上的生物識別因素緊密集成,通過確認注冊用戶擁有設備來提供額外的安全性。
(2)ESET Secure Authentication
ESET公司以其反惡意軟件和端點保護產品而聞名,ESET Secure Authentication是一個功能齊全的多因素身份驗證解決方案,其功能集可與其他的解決方案相媲美。該解決方案支持VPN和RADIUS;基于瀏覽器的管理控制臺;與現有LDAP目錄或基于云的身份存儲集成;靈活的多因素身份驗證因素,例如推送通知或硬件令牌。ESET甚至為希望將其應用程序與服務更緊密地集成的企業提供API和SDK。
(3)HID Approve
HID Global與RSA是大型企業和政府中較為成熟的實體之一。事實上,由于其物理安全解決方案(感應卡/刷卡和讀卡器),HID甚至在多因素身份驗證成為主流之前就已經有了重要的立足點。由于計算機系統的企業身份驗證要求已經成熟,HID已做好充分準備以滿足其企業客戶的需求。
除了硬件和智能卡解決方案之外,HID在HI DApprove中還有一個基于軟件的可靠多因素身份驗證解決方案,可以在不需要硬件投資的情況下進行快速部署。HID Approve支持推送身份驗證和安全策略,該服務具有運行時應用程序自我保護(RASP),可以監控身份驗證嘗試,并幫助防止動態攻擊。
(4)LastPass MFA
LastPass以其密碼管理器而聞名,但由于多因素身份驗證是身份驗證安全領域的近親,LastPass也將參與該領域是有道理的。事實上,LastPass為其密碼管理器和LastPass MFA使用相同的LastPass身份驗證器移動應用程序,這是一件好事。LastPass MFA服務支持上述所有用例:VPN、Web應用程序、桌面、本地應用程序,并與AzureAD和Okta等常見身份管理平臺緊密集成。
(5)Okta Adaptive MFA
出于多種原因,Okta一直是身份驗證領域最熱門的解決方案之一,這主要是它在其工具組合中的強大功能。Okta Adaptive MFA從一個安全平臺開始,該平臺使用從先前攻擊中收集的數據(針對Okta服務和第三方威脅數據的攻擊)自動防止身份攻擊。Okta還可以利用威脅數據對合法身份驗證嘗試所涉及的風險進行評分,以動態管理對更強大身份驗證因素的需求。
除了基于主動分析的防御之外,Okta還支持用戶簡化威脅報告,然后可以觸發向管理員發送通知或自動緩解措施。使用Okta作為多因素身份驗證服務還提供了廣泛的選擇和靈活性,以滿足身份驗證需求。
(6)RSA SecurID
RSA是多因素身份驗證領域的另一個行業先驅。帶有旋轉數字鍵的RSA硬件令牌是用于保護企業VPN和遠程訪問的原始多因素身份驗證解決方案之一。其悠久的歷史加上與Okta相媲美的安全產品組合,使RSA成為幫助企業對關鍵業務資源進行安全身份驗證的一個理想選擇。RSA SecurID不僅支持基于移動和硬件的身份驗證因素,它們還支持無縫身份驗證路徑,即使用戶沒有互聯網服務(例如在飛機上)。RSA還支持基于風險的動態身份驗證策略,以平衡對額外安全性的需求和對最終用戶有效身份驗證過程的需求。
(7)Silverfort
Silverfort是一個人們之前可能沒有聽說過的名字,但他們的多因素身份驗證產品也是在必備清單上的。異常行為檢測、基于模式的威脅檢測和基于風險評分的升級身份驗證因素只是Silverfort提供的一些功能。Silverfort提供能夠對常見的管理工具(如遠程PowerShell會話、遠程桌面和SSH)實施多因素身份驗證的功能。
(8)Twilio Authy
Twilio Authy是一項已經存在了一段時間的服務,盡管并不總是在Twilio的保護傘下。正如對Twilio提供的身份驗證服務所期望的那樣,Twilio Authy的主要賣點是通過由大量文檔和社區支持的強大API實現的靈活性。Authy不同于這一列表中的其他一些即插即用解決方案,但如果企業需要一個高度靈活和可擴展的自定義業務應用程序解決方案的話,它可能正是企業需要的服務。
