我们真的可以使世界成为无密码的地方吗?
平均每个人会使用大约 100 个用户名和密码组合。尽管许多安全团队建议业务用户为其所有帐户创建单独的、复杂且安全的密码,但是大多数人都没有遵循此建议。结果,许多密码要么很弱,要么经常被重复使用。随之而来的是,大多数网络攻击都涉及凭据受损,弱密码可以直接导致数据泄漏、网络攻击和知识产权盗用。
试试这个密码—世界上最长的地名,在新西兰的一座小山上,有 85 个字母。
事实上,恶意攻击者可以访问公共网站上数百万个泄露的密码。密码泄露让人心烦,但更让人担心的是这种攻击的长期影响。大多数人都有重复使用密码的习惯,但如果您的电子邮件被盗用,并且您将该密码用于其他在线帐户,那所有这些帐户也可能被攻击。
一旦泄露或被盗,凭证可以在线出售,攻击者依靠的事实是,我们大多数人都重新使用我们的密码。为一个帐户购买的密码通常用于其他攻击,以访问其他站点上的有价值信息。
另一方面,网络钓鱼等策略暴露出明显的“人员”问题。根据 Verizon 2019 数据泄露调查报告,32%的泄露涉及网络钓鱼,33%的泄露包括欺骗人类用户的社会工程攻击。
通过身份验证提高安全性
为了克服这些与密码相关的安全限制,引入了双因素身份验证(2FA)和多因素身份验证(MFA)。这两种方法都可以确保使用他们知道的东西(密码)和他们拥有的东西(例如手机上的应用程序或指纹等生物特征验证形式)对个人身份进行身份验证。即使密码被泄露,攻击者仍然需要另一个因素来获取访问权限。
虽然这些方法增加了安全性,但仍有一些管理员和运营主管担心这些额外的步骤可能会妨碍生产效率。在当今依赖速度和敏捷性的开发人员和云架构师的世界中,这一点尤其如此。问题在于,这些开发人员和架构师具有的访问权限非常关键,不容易受到攻击。
由于开发人员和架构师能够访问有价值的机密并完全控制他们的环境,因此他们是组织中最有特权的用户之一。威胁开发人员是攻击者获得对组织拥有的最关键信息的即时提升访问权限的捷径,因此需要额外的身份验证。
虽然我们总是建议在访问关键系统时使用 MFA,但如果没有适当的管理和监视,密码或凭据仍然是一个薄弱环节。在数字密码保险库或凭据管理器中存储和轮换凭据是组织解决“人员”问题的另一个关键方法,因为它可以防止密码重复使用。
此外,组织还面临着来自非密码凭证的高风险和复杂挑战,这些非密码凭证包括 SSH 或 Cloud API 密钥以及可提供对不同系统和应用程序访问权限的 DevOps 机密。凭证保管库和轮换可防止重复使用,同时也消除了手动凭证管理的挑战。
安全地授予对本地不同服务器、不同云提供商的访问权限,最重要的是,要保持合规性并非易事。特别是当安全主管需要确保业务正常运行并且安全性不会干扰用户活动时。
然后问题就变成了:有没有一种不用记住密码就可以进行身份验证的简单方法?有没有一种方法可以在保持过程简单的同时确保身份验证的安全?
无密码身份验证
“无密码”并不意味着密码不复存在,它只是意味着最终用户和应用程序帐户不会直接暴露访问关键系统所需的凭据。无密码身份验证的目的是提高安全性,使用户访问资源更方便,更简单。
使用无密码身份验证,用户无需记住或输入密码即可登录应用程序。相反,访问权是根据用户权限或除正确用户之外的任何人都无法获得的东西(例如生物特征识别)来授予的。如果密码永远不会暴露给用户,那么该密码就永远不会被窃取,由于端点是最难完全安全的系统,因此这是一个合理的策略。
可以使用无密码方法保护个人用户密码,并且像 Windows Hello、FIDO 兼容的网站和设备等几种用户密码越来越流行了。
通过这种方法,IT 和安全团队可以放心,用户访问是安全的,没有重复使用或共享的密码,因此,攻击者不能仿冒用户的密码或访问。用户身份验证数据从未像密码那样存储在系统中,因此即使有权访问系统的人也无法检索身份验证数据,这为无密码解决方案提供了关键的安全优势。
这解决了保护资产免受复杂网络攻击(涉及凭据获取)的问题,这些攻击通常始于网络钓鱼攻击、使用弱密码或重复使用的密码。最终的结果是积极的用户体验和强大的安全性。
特权访问管理(PAM)
我们已经确定,无密码非常适合个人用户密码,但是,如何保护对极其敏感资产的访问呢?企业如何授予无密码访问新配置机器的根帐户或运行关键任务的服务帐户的权限呢?
这些特权访问形式给组织带来了极大的风险,需要比普通无密码工具提供更强大的安全控制。对第 1 层和第 0 层系统(其中包含组织中最具特权的资产)的访问应使用全面的特权访问管理(PAM)解决方案进行保护。这种解决方案可以保险存储和隔离凭据,这样用户就永远不会知道这些凭据使其无密码,而且还提供了额外的安全层,如会话监视、录音和基于分析的威胁检测。
组织如何在个人用户,1 级管理员用户和 0 级系统之间分层访问?
虽然可以使用标准的无密码方法来保护个人用户密码,但组织应该使用更强大的专用解决方案来保护其服务帐户、管理员和非人类身份。但是,无论是保护对关键信息的访问,还是对单个用户进行身份验证,基本规则都是相同的:
用户不应该知道密码。
用户应该有一个简化的体验。
机密应该得到保护并适当地轮换。
对这些机密的访问应受到保护和监控。
这种方法可以让我们更接近一个密码(或密钥)不再是最薄弱环节的世界——一个无密码的世界,一个更安全的世界。
文章来源:https://www.cyberark.com/resources/blog/can-we-really-make-the-world-a-passwordless-place
关于我们
「龙归科技」 是一个专注于低代码赋能企业级信息化服务提供商。核心创始人团队来自绿盟安全、红帽开源操作系统、知名游戏玩蟹科技、知名开源社区等专家共同创立。
「龙归科技」 致力于让中国每一个企业拥有专属的自动化办公操作系统,助力企业或政府拥抱 (Cloud Native First)云原生优先战略,帮助客户构筑以「身份与应用」为中心的现代化 IT 基础设施!从而实现 「数字化转型」 及 「软件行业工业化生产」 !
主打产品:ArkOS 方舟操作系统:一个企业级办公自动化操作系统 ,结合自研低代码应用开发平台,构建产业生态,专注为各类企业与组织机构打造一体化全栈云原生平台。系统自带应用包括:ArkID 统一身份认证,ArkIDE,ArkPlatform,App Store 等产品。截至目前,公司已经获得 15 个 软件著作权、2 个发明专利,并与 2020 年 11 月份,获得北京海淀区中关村国家高新技术企业认定。
相关链接:
官网:https://www.longguikeji.com/
文档:https://docs.arkid.longguikeji.com/
开源代码仓库地址:
https://github.com/longguikeji
历史文章
评论