想象一个场景:
IT 运维小叉为公司新人小A开通了 10 多个应用系统账户,企业微信、绩效系统、CRM 系统、公司内网云盘等等,“健忘症患者“小A为了方便记忆,将各个系统密码全部设置为 “123456!”,并保存在浏览器中设置自动填充。十天后小A误点了钓鱼网站,公司系统的账户被盗,内部资料被窃取——小叉同学表示非常心累&崩溃。
不只是安全问题,更是效率“杀手”
现代企业的应用系统越来越多,如果员工在每个应用上设置不同的高强度密码,在不允许浏览器自动填充的情况下,员工可能每天都奔波在“找回密码”的路上,IT 运维同学也要花费大量时间处理密码重置请求,假设 1人*1 个应用重置一次花费 2 分钟,1000 个员工* 10 个应用,IT 部门工作效率将指数级下降。
如果员工由于记忆难而像小A一样重复使用简单的密码,导致企业系统产生安全漏洞,又将是另一个死循环。在很多传统的密码管理策略中,一处密码发生泄漏,企业很难确定与其关联的员工/部门/子母公司是否有同样的隐患,最终往往是进行大范围的密码重置操作,这样就不可避免地打击其他员工的工作积极性,影响整体工作效率。
“无密码办公”成为大势
为了提升效率,近两年来很多企业开始寻求基于身份认证技术打造“无密码办公”环境。相比于传统的“以密码为中心”的解决方案,无密码身份认证将安全技术与大数据、AI等新技术的相结合,根据员工登录上下文(设备、时间等)判断当前用户是否可信,使员工可以无需输入密码,通过生物验证或无需进行验证即可登录应用门户,在确保系统安全的基础上,提升用户访问体验和工作效率,为员工创造“无密码”的办公体验。
无密码办公解决方案第一步是实现单点登录,将企业所有应用——云端的、本地部署的,标准的、企业自研的系统——集成在统一的单点登录访问门户中,这样员工记住一套门户密码便可免密快捷登入所有下游应用系统,对员工来说这是最明显的效率收益。
如果员工觉得一套门户密码也容易忘,那么企业可以进一步考虑提供多种登录方式,比如流行的企业微信/钉钉扫码登录等,这需要企业根据自身需求集成其他“认证源”,将原有的钉钉/企业微信/微软AD等认证源进行集中管理,在登录页面提供“其他登录方式”选项。如下图所示,员工登录时可以灵活切换登录方式:
此外,实现个人密码自助服务也十分必要,允许员工对密码和密保问题进行自助修改,减少频繁的密码重置请求,将大大提升IT运维同学的工作效率。
到此为止,企业实现“无密码办公” 看起来并不复杂,但在落地过程中有很多细节问题会消耗大量精力,尤其是在“判断当前用户身份是否可信”上——在异常设备、异常地点、异常网络环境的访问请求,显然不能用平常的验证方式,输入一次密码就直接放行,企业必须构建一套更灵活、安全的身份认证策略。
“无论是谁,拿钥匙就能开门”显然不够安全,换“智能门锁”是一个办法——除了钥匙,还需验证指纹、人脸识别后才能开门。智能多因素认证(MFA)就是“智能门锁”,它可以提供多种二次验证方式,包括问题校验,生物校验,以及扫码、OTP (一次性密码认证)、推送通知等物理校验方式。
这些校验方式在不同场景下如何组合呢?
一方面企业可以手动设定一些规则,不同场景分别对应几种二次验证方式,比如访问地点异常(异国访问、异地登录、异常位移)、访问设备变化(异常设备登陆、基于设备的权限控制)、网络环境变化(未知IP访问、指定IP白名单范围),针对公司敏感业务系统单独设定二次认证唤起规则保证访问安全。
另一方面,智能识别员工每一次登录的安全级别,自动设置不同的策略,比如判定为高安全性场景,则允许只使用密码进行快速登录;中低安全性场景要求密码登录 智能二次验证,这种细化到员工个人的安全识别与监测也可以避免“一人泄露,全员重置”的情况,精准定位危险源,减少低效的大范围密码重置。
小结
无密码办公解决方案的优越性显而易见,但落地过程中,复杂的应用系统和认证源集成、非标准协议的对接会导致企业的开发压力骤增,IT部门往常可能会寻求传统 IAM 厂商的支持,然而部署不够灵活,无法适应快速迭代的应用系统更新,或者定制化周期比较长。实际上新兴的 IDaaS(Identity as a service)平台能够提供更灵活、快捷的部署能力。
玉符IDaaS作为企业级身份认证云平台开创者,可以在短时间内帮助企业快速集成统一单点登录访问门户、集成多种认证源,并提供标准化的配置页面实现高效的界面化管理,支持企业自定义认证策略组合。在密码安全策略上也是如此——密码强度、密码轮转、生效范围、登录安全(验证方式、用户锁定规则和解锁方式)、防暴力破解等策略性设置都可以在界面上轻松管理——可谓 IT 运维同学的提效神器。