多因子身份验证的五个趋势
星期六, 十月 12, 2019
多因子身份验证 (MFA) 的广泛采纳受到技术限制和用户抗拒的阻碍,但其使用一直在增长。为什么呢?
分析机构预测,得益于对安全电子支付的需求和威胁、网络钓鱼攻击及重大数据泄露的增多,多因子身份验证 (MFA) 市场将继续增长。Adroit Market Research 预测,2025 年整个 MFA 市场可达 200 亿美元;另一分析机构则表示,从现在起到 2024 年,年收益增长率可达 18%。喜人的增长激励 MFA 供应商持续添加新因子方法,并使自己的产品更容易集成进定制的企业应用和公共 SaaS 应用。
这是好消息。
坏消息则有两个方面。首先,Facebook 等平台对个人数据的滥用,造成用户信任的持续崩塌。Facebook 毒害了公众对任何 IT 供应商的信任,推升了用户在自身在线安全与隐私问题上的无端恐惧与疑虑。你或许会认为这将鼓励更多的 MFA 采纳,确实有些人采用了 MFA,但这种信任缺失也提升了 MFA 工具的可用性标准,造成 MFA 采纳依然远未到普遍的程度。
第二点:大多数情况下,MFA 对普通大众而言还是太难了。这有部分原因在于添加额外验证因子所涉及到的繁琐步骤令人沮丧,不仅文档语言不详,工作流也复杂到能让最有耐心的用户崩溃。另一个原因可能是甚少有应用支持 MFA 方法,甚至短信。
但是,采纳 MFA 的压力持续增加。有几个显著的趋势在推动 MFA 采纳的上升。
三年前,最热门的新方法是通过软令牌将智能手机用作身份验证方法,软令牌可以是智能手机应用、短信或电话。智能手机应用持续增长,主要因为这些应用仍是在用户基础设施上部署 MFA 最安全快捷的方式。
用户可以从谷歌、Duo、OneSpan、HID Approve、微软、SafeNetMobilePass 和 Sophos 等处找到此类应用,密码管理器和单点登录 (SSO) 供应商本身也会提供这些应用。其中,开源供应商 Authy.com 提供的一款应用尤其受欢迎。该应用已成很多开发者的首选应用,现在还提供 40 多种分步指南,教用户如何将其身份验证工具添加到此类 SaaS 应用中,比如 LinkedIn、Uber、Evernote 和 GitHub。
Authy 流行的一个原因是能跨平板电脑、笔记本电脑和手机使用:很多 MFA 工具欠缺这一特性,仅支持笔记本电脑或手机,而不是二者兼有。
2016 年,供应商发布了 “智能” 硬件令牌,内置加密密钥或加密引擎,而不是仅仅显示不停改变的随机数字序列,让用户来回往身份验证对话框中输入。此后,这些出自 OneSpan 和 Trusona 的 MFA 方法尚未获得供应商期望的那么大牵引力。
推送验证方法取代更智能的令牌开始崛起。该方法不用用户键入令牌(硬件或软件)显示的一次性密码,MFA 通知通过短信(或智能手机 MFA 应用本身)发送,用户仅需确认收到即可。MFA 从此不再繁琐。推送方法获得了很多身份验证供应商的青睐,谷歌、雅虎和微软也提供了更好的支持。很多 MFA 供应商和单点登录 (SSO) 供应商将推送做成了附加身份验证因子。安全经理应在 MFA 部署中考虑推送和智能手机应用二者。
MFA 过程中引入更多硬件的另一面,是更多应用在自身代码中直接融入安全与身份验证方法,这是身份验证的第二个趋势。OneSpan、Thales 等供应商有非常复杂的 API 将 MFA 流程构筑成应用本身的一部分,无论是基于 SaaS 的 Web 应用,还是手机应用。
更好的身份验证集成也是 SSO 供应商更好地支持 MFA 的结果。这可能是企业终端用户采纳 MFA 最可能的路径,因为 IT 部门可以向整个用户群推送 MFA 支持,保护公司所有应用的登录过程。
辅助集成的还有更全面的文档,企业开发人员可以借助越来越多的文档了解 MFA 方法为各种应用所用的途径。MFA 供应商,比如 RSA、PortalGuard 和 Gemalto/Thales,都在自身网站上添加或改进了集成指南。对需要在自家企业应用中内置身份验证的安全经理来说,这是个好消息。
MFA 集成更好的另一个原因是供应商自助服务 Web 门户的改善。用户需要重置密码或报告手机丢失时,并不想拨打 IT 支持电话。过去几年中,大多数 SSO 和身份管理供应商都已经做出很大改进,在自家 Web 门户上添加了大量功能。
当前大多数安卓和 iOS 手机上都内置了指纹及人脸读取器,第三个趋势就是使用这些自带的功能保护各种应用的访问安全。PayPal 几年前即已提供其指纹应用,其他应用也在慢慢融入指纹和人脸识别,作为可选或唯一的身份验证因子,比如美国银行手机应用。未来几年预期还会有更多此类应用出现。一个明显的迹象就是 Authy、Lastpass 和 Dropbox 都用自己的应用实现对苹果 Touch ID 身份验证的支持。
另一个亮点是基于区块链分发生物识别特征数据的方法,可增强生物特征识别方法的安全性,降低数据泄漏概率。比如说,Kiva 就运用区块链实现其生物特征识别协议,验证位于塞拉利昂的银行客户;很多政府的土地登记机构也在实现区块链以验证房地产交易。
不过,尽管生物特征识别持续改善,有个限制因素却仍存在,那就是苹果和安卓分别是两套不同 API 和代码流。生物特征识别虽然可见于大多数现代手机,台式机和笔记本电脑却不然——附带此类传感器的设备仍远未到普遍部署的程度。出于这些原因,生物特征识别未到能便捷集成之前,企业安全开发人员不太会考虑采用。
六年前,线上快速身份验证 (FIDO) 联盟似乎是身份验证领域的新星。FIDO 提供了不用携带多种身份验证令牌就能连接各种资源的方法。这些 FIDO 支持的应用已出现很长时间了。是的,FIDO 联盟持续成长,成员越来越多——尽管苹果依然没入群。
虽然谷歌的 Titan 令牌因为蓝牙支持缺陷而不得不重新发行,但 Yubico 和谷歌都有硬件令牌支持 FIDO。很多 MFA 供应商已集成 Nok Nok 的工具套装支持 FIDO。或许现在就是企业 IT 经理考虑入会 FIDO 并进一步探索其功能的好时机。
最后,供应商(特别是提供完整身份管理套装的那些)正纳入递升式认证和基于风险的身份验证,在特定情况使用不止第二因子进行验证。这意味着,相比余额查询之类相对不那么敏感的操作,用户想要访问银行转账等敏感操作就需要通过更多安全障碍。这种发展的背景是网络钓鱼攻击的不断成功。然而,基于风险的身份验证仍远未成熟,尤其是 SSO 供应商这方面。比如说,MFA 供应商 RSA、Thales 和 OneSpan 现在的产品是将身份和 MFA 工具集与基于风险的方法相结合。目前,要想恰当实现基于风险的方法,价格仍然偏高。
相关阅读