聊一聊企业内身份验证的安全问题 | FreeBuf甲方群讨论

2021-12-08 17:51:33 浏览数 (1)

自2020年新冠疫情爆发以来,国内外混合办公模式逐步成为主流,针对远程办公的数据保护问题已成为企业面临的主要问题。这其中,强化身份权限的数字验证、数字认证就成为了降低企业风险的最佳手段。Gartner所发布的2021安全行业八大安全和风险趋势,有两项专门对“身份优先安全”进行了解读。

本期话题围绕“身份验证安全”从以下两个问题角度展开讨论。

1.关于企业内统一身份验证的安全风险,目前最大的隐患在哪个环节? 2.多重身份验证会是解决一切的良药吗?

(本文所有ID已做匿名处理)

1.关于企业内统一身份验证的安全风险,目前最大的隐患在哪个环节?

@无人应答:

为什么执行统一身份验证会出现安全风险?虽然严格意义上来说是存在的,但统一身份验证的目的不是为了规避风险吗?

@萌萌的小叶子

统一身份利大于弊,安全上当然有风险,被打穿就是一把穿的事,Oa系统上用用也就罢了,做安全的巴不得每套有自己独立的认证和账号,既是出了问题也不会波及全部。

@扣脚香菜

平台自身的风险、账号管理风险这些都有可能吧。

@无人应答

统一存在一定的安全隐患,集权系统需要多因素认证。但是统一身份认证可以避免维护多套口令,也避免一定的弱口令风险。

@小强123

认证、授权、审计,三权分立。我觉得统一认证,有的风险就是把认证和授权统一在一个账号上了,如果认证和授权分开,那其实认证即使有再大的风险,没权限也百搭。加点难度来个多因子认证,也就增加认证的难度,唯一的风险在于授权是否包含在统一认证内,最好规避统一认证的风险就是认证和授权分离 、授权再分离,总之进大门是一把钥匙,进其他卧室的门还需要钥匙, 至于钥匙是啥, 可以密码 动态口令、手机验证码、USBkey之类, 牛逼点可以再加点什么终端认证接入安全扫描之类的。

@扣脚香菜

所以如果公司做到统一认证 多重认证,公司安全风险会被降低咯。

@无人应答

不是,会将多系统的风险收敛到统一认证系统自己身上。

@扣脚香菜

那这样如果被攻击的话,会出现攻击一个账号导致全部数据被窃取的可能吗。毕竟都在一个平台认证平台上。小风险聚集,感觉收到攻击的可能性更大了,虽然难度上升了很多。

@无人应答

看统一身份认证是如何设计的了,我们当时有做证书管理,所有的数据都是双向加密的,证书绑定到个人设备,要想访问系统,首先得有合法证书过第一道验证,单人单证书。

@小强123

所有安全手段措施 都是为了降低风险,而不是消除风险。风险是无处不在的,所以是没有任何办法彻底消灭风险。

@AK小学生

关于企业内统一身份验证最大的隐患,我认为是用户安全意识太过薄弱,系统之间验证时处理不得当,比如明文传密或者存密等。

@Sam姆大叔

统一身份验证好处是一次登录,可以拿到所有系统权限,但是前提建立在认证机制本身的风险上。 增强SSO的认证机制,可以增强公司所有体系在认证这一环的安全性,我觉得是瑕不掩瑜,不然每个系统一套认证体系,安全性参差不齐,用户本身意识上的不足更致命。

@老姜

统一内部的身份验证配合多因素登入,我个人认为是没有问题的,但是在实际操作中会碰到各种问题,最大的问题是人为因素,例如权限最小化,敏感操作授权怎么在实际落地,尤其是在一些比较传统的企业,这种问题尤其是在一些高层领导上尤为严重,还有就是统一认证不是孤立的,同时建设还需要配合SDP、环境感知、终端管理等才能发挥最大效果,单一的认证只会因为人为因素放大权限,导致一旦出现攻破的情况问题最大化。

2.多重身份验证会是解决一切的良药吗?

@小电车

多重身份会让用户体验变得很差,登录很麻烦。

@扣脚香菜

现在能期待的就是技术的进步,以及用户的安全意识,比方说现在的人脸识别,不知道算不算的上是一种多重身份的验证加强。

@两块腹肌

生物识别信息很危险,密码你可以定期更换,手机丢了可以再买,人脸信息泄漏了,你不可能整容吧。 虽然生物识别是经过算法处理的,但很难保证企业保留算法逆运算找出人脸原图的情况,为了防止人脸识别,你带个头盔,但是还有形体识别,你穿宽大的衣服遮掩形体,但还有步态模拟识别。

@小刘

单点登录最大的风险就是风险集中,不管是可用性问题还是被攻陷被提权绕过.... 多因子认证确实是个好方法,具体落地时技术管理水平高的,尽量减少对用户的干扰,多使用一些不需要用户主动参与的因子或者根据风险临时加入额外认证。

@巴黎欧莱雅

多重身份验证会不会是一劳永逸的方法。安全老话,归根到底都是管理的问题。即便确认是本人登录,扫脸,依然可以把设备给别人使用。多重认证,另外的作用是加强账号安全防止被黑。感觉以上两个话题很多很大,无法三言两语说清楚,因为情况多且复杂,不能一概而论,另外展开说要有细节才能很好去谈论实践。

@老姜

其实说到底,基础的防护做全了,99%的问题都是人的问题。设备是不会骗人的,但是人会。在大多数传统企业内部,很多人还是用123456密码,多重认证实可以减低,但是一旦突破就是大问题。

0 人点赞