傳統上,電腦幾乎皆採用密碼作登入系統的授權憑證。隨著帳戶愈來愈多,過多密碼,反令用戶不勝其煩。用戶以不同方法簡化甚至統一密碼,以便於記憶,結果密碼不單無法保障,更易遭破解,喪失了保護作用。
Symantec資訊保安經理Nick Savvides預言,礙於密碼難於記憶,又不易管理,勢將被生物識別技術(biometrics)和其他認證方式所取代。
愈來愈多企業採用 SaaS、流動應用,甚至IoT等,用戶的資訊無處不在,從不同地點登入,又要管理更多帳戶,整合更多的認證方式。
理論上,部分認證方案支援統一登入(Single Sign On,SSO),一次過獲取所有的授權。但實行SSO的同時,又必須確保更強的認證方式,以確保用戶身份不被盗用。
多重認證保障用戶
不少機構已採用「多重認證」(Multi-factor Authentication),結合生物識別和行為特徵;再配合「一次性令牌/密碼」(One Time Token/password)多種憑證(Credential),以增加認證的強度。新一代智能手機已支援號以生物特徵登入,也可產生即棄的密碼,漸漸成為主流認證方式,礙於管理和設定眾多憑證不容易,現時仍未流行。
Symantec將推出升級Validation and ID Protection (VIP) 服務VIP Everywhere,支援雲端上儲存憑證(Credential),以SaaS服務整合內部的授權,易於統一登入之餘,又可加入比密碼更強的認證方式。
Savvides說,生物特徵可包括容貌、指紋、語音,更準確辨別用戶身份,配合用戶行為和存取地點,決定是否給予授權。
VIP Everywhere可支援登入SaaS或任何公共雲服務,因為VIP Access Manager支援以Security Assertion Markup Language (SAML)登入;幾乎所有SaaS甚至是雲端供應商皆支援SAML登入,VIP Access Manager本身又是各公共雲的Identity Provider (IdP),故可作為認證和授權的中間代理。
VIP Everywhere也可作為Active Directory(AD)認證,或者雲端應用SaaS認證的前端,供用戶作一次性登入,或完全分開認證和授權。
Savvides說,管理人員可按應用的重要優先,統一管理登入應用或者個別SaaS認證的強度,毋須逐一分開設定。例如可先從AD取得授權,同時取得其他SaaS的授權,統一管理身份使用不同服務的權限。
認證及授權分別處理
VIP可實時從AD取得授權的權限,以管理認證的用戶,而供認證的憑證(Credential),則全部或部分存於VIP的雲端系統,而存取權限則由AD或LDAP內部管理。一旦用戶權限,已從內部目錄系統被除名,即使通過了VIP授權,亦無法登入相關應用。
「雖然VIP認證皆存於雲端,管理人員仍可決定認證的強度,例如通過多少重認證,才能取得相關授權。」
他表示,VIP認證技術須採用SaaS,因須配套大量實時的地理空間(Geospatial)資訊,又須掃描行為模式,以確定用戶的身份;必須實時更新,驗證服務也要於雲端以SaaS方式提供。
流動設備有獨特指紋
VIP廣泛應用了流動設備的生物認證技術,一旦用戶遺失設備,Symantec也支援用戶自行重新註冊新設備,並報失遺失設備。
Savvides說,VIP為流動設備建立硬件掃描(Profile),蒐集流動設備各項特徵;包括Android設備的Secure Element(iOS上keychain服務);從記憶體、處理器、SIM卡等;計算出獨一無二硬件指紋,杜絕以「克隆」,以另一台流動設備來冒充。
VIP支援大部分流動設備;可支援至少三重認證(生物、一次密碼、設備本身),甚至透過聲音和行為來確定身份。
「例如用戶一向操作APP的行為模式,透過機器學習分析,從開啟應用的行為,可偵察設備是否已遭騎劫,或要求再次認證一次,以確定身份。」
未來,VIP Everywhere也會整合到Norton防毒軟件,具備Symantec身份用戶,符合認證才能登入個人電腦,以確保資料更難於被盗。
沒有留言:
發佈留言