多因子身份驗證的五個趨勢
責編:gltian |2019-10-12 13:28:55多因子身份驗證 (MFA) 的廣泛采納受到技術限制和用戶抗拒的阻礙,但其使用一直在增長。為什么呢?
分析機構預測,得益于對安全電子支付的需求和威脅、網絡釣魚攻擊及重大數據泄露的增多,多因子身份驗證 (MFA) 市場將繼續增長。Adroit Market Research 預測,2025 年整個 MFA 市場可達 200 億美元;另一分析機構則表示,從現在起到 2024 年,年收益增長率可達 18%。喜人的增長激勵 MFA 供應商持續添加新因子方法,并使自己的產品更容易集成進定制的企業應用和公共 SaaS 應用。
這是好消息。
壞消息則有兩個方面。首先,Facebook 等平臺對個人數據的濫用,造成用戶信任的持續崩塌。Facebook 毒害了公眾對任何 IT 供應商的信任,推升了用戶在自身在線安全與隱私問題上的無端恐懼與疑慮。你或許會認為這將鼓勵更多的 MFA 采納,確實有些人采用了 MFA,但這種信任缺失也提升了 MFA 工具的可用性標準,造成 MFA 采納依然遠未到普遍的程度。
第二點:大多數情況下,MFA 對普通大眾而言還是太難了。這有部分原因在于添加額外驗證因子所涉及到的繁瑣步驟令人沮喪,不僅文檔語言不詳,工作流也復雜到能讓最有耐心的用戶崩潰。另一個原因可能是甚少有應用支持 MFA 方法,甚至短信。
但是,采納 MFA 的壓力持續增加。有幾個顯著的趨勢在推動 MFA 采納的上升。
1. 智能手機身份驗證應用流行度持續增加
三年前,最熱門的新方法是通過軟令牌將智能手機用作身份驗證方法,軟令牌可以是智能手機應用、短信或電話。智能手機應用持續增長,主要因為這些應用仍是在用戶基礎設施上部署 MFA 最安全快捷的方式。
用戶可以從谷歌、Duo、OneSpan、HID Approve、微軟、SafeNetMobilePass 和 Sophos 等處找到此類應用,密碼管理器和單點登錄 (SSO) 供應商本身也會提供這些應用。其中,開源供應商 Authy.com 提供的一款應用尤其受歡迎。該應用已成很多開發者的首選應用,現在還提供 40 多種分步指南,教用戶如何將其身份驗證工具添加到此類 SaaS 應用中,比如 LinkedIn、Uber、Evernote 和 GitHub。
Authy 流行的一個原因是能跨平板電腦、筆記本電腦和手機使用:很多 MFA 工具欠缺這一特性,僅支持筆記本電腦或手機,而不是二者兼有。
2016 年,供應商發布了 “智能” 硬件令牌,內置加密密鑰或加密引擎,而不是僅僅顯示不停改變的隨機數字序列,讓用戶來回往身份驗證對話框中輸入。此后,這些出自 OneSpan 和 Trusona 的 MFA 方法尚未獲得供應商期望的那么大牽引力。
推送驗證方法取代更智能的令牌開始崛起。該方法不用用戶鍵入令牌(硬件或軟件)顯示的一次性密碼,MFA 通知通過短信(或智能手機 MFA 應用本身)發送,用戶僅需確認收到即可。MFA 從此不再繁瑣。推送方法獲得了很多身份驗證供應商的青睞,谷歌、雅虎和微軟也提供了更好的支持。很多 MFA 供應商和單點登錄 (SSO) 供應商將推送做成了附加身份驗證因子。安全經理應在 MFA 部署中考慮推送和智能手機應用二者。
2. 更好的身份驗證集成
MFA 過程中引入更多硬件的另一面,是更多應用在自身代碼中直接融入安全與身份驗證方法,這是身份驗證的第二個趨勢。OneSpan、Thales 等供應商有非常復雜的 API 將 MFA 流程構筑成應用本身的一部分,無論是基于 SaaS 的 Web 應用,還是手機應用。
更好的身份驗證集成也是 SSO 供應商更好地支持 MFA 的結果。這可能是企業終端用戶采納 MFA 最可能的路徑,因為 IT 部門可以向整個用戶群推送 MFA 支持,保護公司所有應用的登錄過程。
輔助集成的還有更全面的文檔,企業開發人員可以借助越來越多的文檔了解 MFA 方法為各種應用所用的途徑。MFA 供應商,比如 RSA、PortalGuard 和 Gemalto/Thales,都在自身網站上添加或改進了集成指南。對需要在自家企業應用中內置身份驗證的安全經理來說,這是個好消息。
MFA 集成更好的另一個原因是供應商自助服務 Web 門戶的改善。用戶需要重置密碼或報告手機丟失時,并不想撥打 IT 支持電話。過去幾年中,大多數 SSO 和身份管理供應商都已經做出很大改進,在自家 Web 門戶上添加了大量功能。
3. 生物特征識別繼續進化
當前大多數安卓和 iOS 手機上都內置了指紋及人臉讀取器,第三個趨勢就是使用這些自帶的功能保護各種應用的訪問安全。PayPal 幾年前即已提供其指紋應用,其他應用也在慢慢融入指紋和人臉識別,作為可選或唯一的身份驗證因子,比如美國銀行手機應用。未來幾年預期還會有更多此類應用出現。一個明顯的跡象就是 Authy、Lastpass 和 Dropbox 都用自己的應用實現對蘋果 Touch ID 身份驗證的支持。
另一個亮點是基于區塊鏈分發生物識別特征數據的方法,可增強生物特征識別方法的安全性,降低數據泄漏概率。比如說,Kiva 就運用區塊鏈實現其生物特征識別協議,驗證位于塞拉利昂的銀行客戶;很多政府的土地登記機構也在實現區塊鏈以驗證房地產交易。
不過,盡管生物特征識別持續改善,有個限制因素卻仍存在,那就是蘋果和安卓分別是兩套不同 API 和代碼流。生物特征識別雖然可見于大多數現代手機,臺式機和筆記本電腦卻不然——附帶此類傳感器的設備仍遠未到普遍部署的程度。出于這些原因,生物特征識別未到能便捷集成之前,企業安全開發人員不太會考慮采用。
4. FIDO 支持慢慢變得越來越好
六年前,線上快速身份驗證 (FIDO) 聯盟似乎是身份驗證領域的新星。FIDO 提供了不用攜帶多種身份驗證令牌就能連接各種資源的方法。這些 FIDO 支持的應用已出現很長時間了。是的,FIDO 聯盟持續成長,成員越來越多——盡管蘋果依然沒入群。
雖然谷歌的 Titan 令牌因為藍牙支持缺陷而不得不重新發行,但 Yubico 和谷歌都有硬件令牌支持 FIDO。很多 MFA 供應商已集成 Nok Nok 的工具套裝支持 FIDO。或許現在就是企業 IT 經理考慮入會 FIDO 并進一步探索其功能的好時機。
5. 基于風險的身份驗證
最后,供應商(特別是提供完整身份管理套裝的那些)正納入遞升式認證和基于風險的身份驗證,在特定情況使用不止第二因子進行驗證。這意味著,相比余額查詢之類相對不那么敏感的操作,用戶想要訪問銀行轉賬等敏感操作就需要通過更多安全障礙。這種發展的背景是網絡釣魚攻擊的不斷成功。然而,基于風險的身份驗證仍遠未成熟,尤其是 SSO 供應商這方面。比如說,MFA 供應商 RSA、Thales 和 OneSpan 現在的產品是將身份和 MFA 工具集與基于風險的方法相結合。目前,要想恰當實現基于風險的方法,價格仍然偏高。