了解最新等保资讯及等保政策
双因子(或称双因素)认证一直是安全圈比较关注的一个话题,从等保1.0时期的关键评价指标项,到现在网络安全等级保护、关键信息基础设施、高风险判定指引,要求在各个层面的身份鉴别上均实现双因子身份鉴别,可见对双因子认证在日常应用的重视程度。
01什么是双因子认证?
现代双因子认证的起源,可追溯到一战时期的英国情报局军情6处M16,用于针对处理安全、防务、外事、经济方面的事物情报、密码情报。
所谓的双因子认证是指结合密码、实物(信用卡、SMS手机、令牌)或指纹等生物标志中的两种条件对用户进行认证的方法。
02双因子的3种认证方式
一、知识
最常见的就是口令等知识, 其优势在于认证过程简单快捷, 不会出错。
二、实物
比如说是IC卡、令牌, USB Key等实物(古代的虎符也是这类),其优势在于认证过程也简单快捷, 不会出错。
三、人的生物特征
比如指纹, 虹膜, 视网膜, 掌纹, 面貌等, 这些识别元素是每个人都是唯一的,用来作为认证是最强的, 但认证过程比较慢, 而且会出错。
结论
双因子认证的认证方法,就是必须使用上述三种认证因子的任意两者的组合才能通过认证。
03标准涉及双因子认证
《网络安全等级保护基本要求》
在三级安全计算环境中针对身份鉴别部分,要求“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。”
《关键信息基础设施网络安全保护基本要求》
在报批稿第7章安全防护中针对鉴别与授权要求“对设备、用户、服务或应用、数据进行安全管控,对于重要业务操作或异常用户操作行为,建立动态的身份鉴别方式,或者采用多因子身份鉴别方式等。”
《网络安全等级保护高风险判定指引》
在第7章针对双因素认证部分,判定内容为:“重要核心设备、操作系统等未采用两种或两种以上鉴别技术对用户身份进行鉴别。例如仅使用用户名/口令方式进行身份验证,削弱了管理员账户的安全性,无法避免账号的未授权窃取或违规使用,可判定为高风险。”
结论
通过以上标准和指引可以看出,对双因子认证的要求举足轻重,用户登录资源需要具备唯一身份标识,对唯一身份标识的鉴别需要实现多因素强身份认证,且其中一种鉴别技术至少应使用密码技术来实现,并且多方解读高风险即为一票否决项。
04工作中暴露出的问题
网络安全对抗活动
从历年网络安全对抗活动行动了解到的情况来看,暴露出来的最大问题就是认证的安全问题。仅校验“账号+密码”的认证方式,很容易被口令猜测破解。
日常工作
日常工作中,缺少统一管理,资源各自认证,不便统一认证方式;账号各自维护,不便设置口令策略;日志各自保存,不便查询分析。
上一篇:安徽等级保护费用