如今,基于凭证的网络攻击要比以往复杂得多,这些攻击往往通过各种方式获取和填充凭证、用户名和密码,实施攻击。相较于单因素身份验证(SFA)仅针对用户密码进行验证的方式,多因素身份验证(MFA)通过结合两个或三个独立的凭证,来验证一项交易的合理性,其目的是建立一个多层次的防御,使未经授权的人访问计算机系统或网络更加困难。
MFA显著增强了身份验证过程,其中较为重要的一点是:智能手机、硬件多因素身份验证令牌或基于SMS(安全管理系统)\电子邮件的身份验证代码。该身份验证过程不再依赖于用户名和密码等基于安全知识的元素,因为这些元素可能会被网络钓鱼或其他恶意技术破坏。MFA利用其他因素的身份验证尝试,可以最大限度地减少用户名和密码泄露的影响。
本期我们从功能的全面性和应用的灵活性等维度,盘点梳理了目前8款热门MFA产品:
CiscoDuo
今年3月,思科推出安全平台Duo无密码认证,作为其零信任平台的一部分,该产品能够使用户在密码之外,通过利用安全密钥和生物识别技术(如苹果FaceID和TouchID,以及WindowsHello),简化和加强访问受Duo单点登录(SSO)和第三方SSO及身份提供商保护的云应用认证。思科将无密码认证与Duo单点登录相配合,使企业能够将数百个密码和认证整合为一个用户对云应用的简单登录,有效降低密码相关威胁和漏洞的风险,如网络钓鱼、被盗或弱密码、密码重用、暴力、中间人攻击和密码数据库泄露。
ESETSecureAuthentication
电脑安全软件公司ESET一直从事反恶意软件和端点保护产品研发,其推出的ESETSecureAuthentication是一个功能齐全的MFA解决方案:支持VPN和RADIUS;拥有基于浏览器的管理控制台;与现有LDAP目录或基于云的身份存储集成;灵活的多因素身份验证,例如推送通知或硬件令牌。ESET甚至为希望将其应用程序与服务更紧密地集成的企业提供API和SDK。
HIDApprove
安全身份验证企业HIDGlobal与RSA是大型企业和政府中较为成熟的实体之一。事实上,在多因素身份验证成为主流之前,HIDGlobal就因其物理安全解决方案(感应卡/刷卡和读卡器)在市场上站稳了脚跟。除了硬件和智能卡解决方案外,HID还提供基于软件的可靠多因素身份验证解决方案——HIDApprove,可以在不需要硬件投资的情况下快速部署。HIDApprove支持推送身份验证和安全策略,该服务具有运行时应用程序自我保护(RASP)机制,可以监控身份验证尝试,并帮助企业组织防止动态攻击。
LastPassMFA
LastPass侧重于网络密码账号管理工具的研发,LastPass为其密码管理器和LastPassMFA使用相同的身份验证器移动应用程序,这是一件好事。LastPassMFA服务支持VPN、Web应用程序、桌面、本地应用程序等,并与AzureAD和Okta等常见身份管理平台紧密集成。
OktaAdaptiveMFA
OktaAdaptiveMFA以一个安全平台开始,该平台使用从先前攻击中(针对Okta服务和第三方威胁数据的攻击)收集的数据自动防止身份攻击。Okta还可以利用该威胁数据对所涉及的风险进行评分,以动态管理应对更强大身份验证因素的需求。除了基于主动分析的防御外,Okta还支持用户简化威胁报告,并向管理员发送通知或自动缓解措施。此外,OktaAdaptiveMFA还提供广泛的选择和灵活性,以满足用户不同的身份验证需求。
RSASecurID
美国信息安全公司RSA带有旋转数字键的RSA硬件令牌,是用于保护企业VPN和远程访问的原始多因素身份验证解决方案之一。该公司提供的RSASecurID不仅支持基于移动和硬件的身份验证因素,还支持无缝身份验证路径。同时支持基于风险的动态身份验证策略,以平衡对额外安全性的需求等。
Silverfort
Silverfort可能是企业组织之前并没有听说过的名字,但它们的MFA产品也在必备清单上。Silverfort不仅提供异常行为检测、基于模式的威胁检测以及基于风险评分的升级身份验证等功能,还能够对常见管理工具(如远程PowerShell会话、远程桌面和SSH)实施多因素身份验证。
TwilioAuthy
TwilioAuthy的主要卖点是通过由大量文档和社区支持的强大API实现的灵活性。Authy不同于其他一些“即插即用”解决方案,但如果企业组织需要一个高度灵活和可扩展的自定义业务应用程序解决方案,它可能正是企业组织需要的服务。