计划和准备是成功采用FIDO标准以实现“更简单、更强身份验证”的关键。
在被泄露的证书数量已经达到数十亿的时候,有一天不再需要依赖用户名和密码进行访问无疑是吸引人的。现在我们比以往任何时候都更接近这一天。微软上个月宣布,其Windows操作系统的下一次重大更新将实现无密码登录。
今年早些时候,万维网联盟(World Wide Web Consortium, W3C)正式批准了WebAuthn API作为官方标准,该API允许在不使用密码的情况下登录网站。谷歌认证的Android设备也可以免密码登录。这些只是最近有关被热议的无密码认证的几个事例,而且他们都有一个共同之处:FIDO联盟(Fast Identity Online Alliance, 线上快速身份验证联盟),一个开放的行业协会,其为自己设立的使命是提供“更简单、更强大的身份验证”,通过认证标准帮助减少对密码的依赖。
越来越多的组织机构开始欢迎基于FIDO标准的无密码未来,但是他们无法完全确定下一步该做些什么。虽然组织机构可能急于抛弃过去的身份认证解决方案,但是仔细的规划和准备是成功实现无密码认证的关键。当CTO、CISO、CSO和安全专业人员开始重新考虑他们的身份和访问管理时,对FIDO身份验证采取谨慎、深思熟虑的态度是最佳行动方案。
首先:为何选择FIDO,为什么是现在?
一家全球娱乐企业的首席信息安全官最近告诉我,一个他称之为员工之间的“用户革命”。员工呼吁转变该公司长期以来以密码为中心的做法,采用一种更简单的认证方式。在数字化转型的时代,员工群体们正在变得更加活跃、多样化和移动化——同时也要求以简单、顺畅的方式获取资源。与此同时,随着身份分布比以往任何时候都更加广泛,他们也看到了前所未有身份和数字风险,带来了组织机构必须确保安全的多个访问点。难怪如此多的组织机构希望通过FIDO身份验证,实现简单而强大的身份验证,从而减轻终端用户的安全负担。然而,要采用FIDO身份验证,组织机构需要支持FIDO标准的基础设施、设备和应用程序。如果你的组织正在考虑向FIDO身份验证的方向发展,为了确保平稳、成功的过渡,有三个重要注意事项需要牢记在心。
1.时间就是一切:对开放标准的技术支持
FIDO联盟是一个开放标准组织,技术供应商也正在开始迅速采用它的开放认证标准。但需要注意的是,组织机构采用的技术支持的是不同发展时期的FIDO。例如,去年5月Windows Hello获得了FIDO2认证,这意味着其身份验证机制支持最新的FIDO规范。到去年年底,所有主流的web浏览器都以某种形式提供了对FIDO2的支持。但是支持FIDO的操作系统和浏览器更新,甚至硬件更新(台式/笔记本电脑),在推广到终端用户之前不能给组织机构带来任何好处。这就是为什么根据组织机构的技术发展规划考虑FIDO身份验证非常重要。
任何考虑FIDO标准的组织机构都必须根据其支持的的技术和标准哪些真正不需要密码做出决定。这个问题还涉及到后端应用程序的“最后一英里”。如果用户所依赖的应用程序不支持FIDO,那么基础设施是否支持也无关紧要了。假设你有一个支持FIDO身份验证的浏览器更新,这很好,但是如果它只能将用户带到应用程序标准的用户名/密码界面,那么它就违背了这个目的。当然,可以通过一些技术处理FIDO服务器的问题。因此请考虑如何通过这些技术来帮助你跨越这最后一英里,并为你的组织机构提供统一的FIDO服务器方法。
2.一个支持多个身份验证的联盟(还会有更多)
我经常听到人们将各种类型的身份验证器称为“FIDO设备”,但是区分FIDO标准和它们实际所支持的设备非常重要。FIDO联盟支持数百种经过FIDO认证的设备,随着越来越多的公司引入符合FIDO认证标准的认证,该联盟还在不断壮大。认证设备多种多样,从移动认证设备到可穿戴设备,再到硬件设备(以及介于两者之间的一切其他设备)。
因此,采用FIDO方法需要战略性地考虑认证选项。这意味着看看你的目标用户、他们需要访问的方式和地方,以及哪种认证方式对他们最有意义。例如,在不允许员工使用移动设备,需要台式电脑办公的呼叫中心,经过FIDO认证的USB安全密钥可能非常适合用户。但是,如果用户处于依赖移动电话和没有USB端口的平板电脑的移动环境时,特定于移动设备的FIDO身份验证可能更合适。(下个月,我将探索如何从越来越多的可用选项中为你的组织机构选择正确的身份验证方法和设备)。
3.关键是:做好准备
FIDO联盟为走向一个没有密码的世界奠定了坚实的基础,这很令人兴奋。但是,组织机构在思考的时候必须摒弃“FIDO就是答案”才能充分利用它的好处。随着越来越多的技术供应商开始支持FIDO标准,以及符合FIDO的身份验证器可用,为了能够策略性的采用FIDO身份验证,你的组织机构需要考虑更多的因素。因此,无论你多么渴望实现飞跃,都要花一些时间来计划和准备,从基于密码的身份验证过渡到不需要密码的身份验证。
如果你想通过FIDO取得成功,你必须做好准备。现在是时候评估你所在组织机构的身份验证需求、它们是如何发展的以及目标用户的动态。逐步推出FIDO认证的身份验证和支持FIDO的应用程序,并对用户和咨询台的人员进行培训,可以给组织机构带来积极的体验和过渡。随着认证领域这种快速的转变,如果你想充分利用它,就必须注意、耐心并进行战略性思考。
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。