对访问公司资源的用户统一执行多重身份验证

业务问题

密码遭破解是数据泄露的主要原因。密码一旦被破解,黑客就会具备与员工同样的公司数据访问权限。

多重身份验证 (MFA) 是保护公司资源的重要工具。多重身份验证也称作两步验证 (2SV),这种验证方法要求用户通过他们知道的东西(例如密码)以及他们拥有的东西(例如实体密钥或访问代码)来验证其身份。

为了保护用户账号和数据,您的公司已决定,要访问公司资源,所有用户都必须使用两步验证方法来进行身份验证。

解决方案

如果 Cloud Identity 是您的身份提供商 (IdP),那么您可以通过多种方式来实施两步验证。如果您在使用第三方身份提供商,请向他们咨询有关两步验证服务的具体情况。

您可以选择不同的两步验证强制执行级别:

  • 可选 - 由员工自己决定是否使用两步验证。
  • 强制 - 由员工自己选择两步验证方法。
  • 强制性安全密钥 - 员工必须使用安全密钥。

安全密钥

安全密钥是最可靠的两步验证方法。

在各种两步验证方法中,使用安全密钥的方法具有最可靠的安全性。用户通常需要将这种实体密钥插入计算机的 USB 端口。当出现提示时,用户可以轻触密钥,随即便会生成加密签名。

有些诈骗者会创建冒充 Google 的网上诱骗网站,并要求提供两步验证码。由于 Google 安全密钥使用了加密技术并可验证用户所访问网站的合法性,因此安全密钥不易遭受网上诱骗攻击。

要将安全密钥用于 Android 移动设备,用户可以在其近距离无线通信 (NFC) 设备上触碰安全密钥。用户还可以找到适合 Android 设备的 USB 方案和低功耗蓝牙 (BLE) 方案。Apple 移动设备需要支持蓝牙的安全密钥。

Google 提示

Google 提示是一种可选的两步验证方法。

用户可以将其 Android 或 Apple 移动设备设置为接收登录提示,而不是生成并输入两步验证码。当他们在计算机上登录 Google 账号时,会在移动设备上收到“您是否正尝试在其他计算机上登录?”这条提示。他们只需点按移动设备进行确认即可。

Google 身份验证器应用

Google 身份验证器是一种可选的两步验证方法。

Google 身份验证器会在 Android 或 Apple 移动设备上生成一次性的两步验证码。用户在移动设备上生成验证码,并在计算机出现提示时输入该验证码。他们可以输入该验证码来登录台式机、笔记本电脑甚至移动设备本身。

备用验证码

备用验证码是一种可选的两步验证方法。

如果用户没有自己的移动设备,或是在不能携带移动设备的高度安全区域工作,则可以使用备用验证码进行两步验证。用户可以提前生成备用验证码并将其打印出来。

短信或电话

短信或电话是可选的两步验证方法。

Google 通过短信或语音电话向移动设备发送两步验证码。

建议

在确定哪种两步验证方案最适合您的公司时,您需要在安全性、成本和便利性之间进行权衡。无论您选择哪种方案,我们都建议您启用两步验证强制执行功能,以便强制执行两步验证。

使用安全密钥

对于创建和访问需要最高安全级别的数据的员工,我们建议您要求其使用安全密钥。对于其他所有员工,您应要求他们进行两步验证,并鼓励其使用安全密钥。

安全密钥是最安全的两步验证方法。这些安全密钥以线上快速身份验证 (FIDO) 联盟成员之一 Google 所开发的开放式标准为基础构建而成。安全密钥要求用户设备上必须装有兼容的浏览器。

其他方案

如果成本和分发问题是您作决定时的考虑因素,那么 Google 提示或 Google 身份验证器应用会是不错的选择。Google 提示可提供更好的用户体验,因为用户只需在提示时点按设备即可,而无需输入验证码。

如果您的用户无法携带移动设备,则他们可以提前生成可打印的备用验证码,以便在高度安全区域工作时使用。

我们不建议使用短信验证方式。由于存在来自国家赞助实体的黑客攻击风险,因此美国国家标准与技术研究院 (NIST) 不再推荐使用基于短信的两步验证方法。

示例

A 公司是一家知名大型企业,该公司在使用本地应用以及身份验证功能。为了增强安全性、降低支持成本并提高可扩展性,他们希望将 Cloud Identity 作为其主要身份提供商。

该公司强制要求利用 IDaaS 服务来管理云业务,还要求在特定日期之前实施两步验证并完成合规事宜。信息安全团队要求所有用户都使用两步验证方法。

A 公司决定使用 Cloud Identity 来实施两步验证。他们计划强制要求那些参与最为敏感的业务关键型公司计划的用户以及访问员工信息的用户使用安全密钥。这类用户包括各个组织的管理人员以及工程、财务和人力资源组织的员工。另外还要求其他所有员工都必须采用两步验证方式,他们可以选择最适合自己的两步验证方法,同时公司也在鼓励他们使用安全密钥。

是否强制执行安全密钥因组织而异。

为了仅要求某些群组使用安全密钥,IT 部门需要在较大的组织中创建名为例外群组的用户子集。例如,整个营销组织都需要使用两步验证方法,但只有管理人员必须使用安全密钥。IT 部门可以在各个组织(例如营销、销售、客服组织)内部创建一个管理人员群组,并强制要求这些管理人员群组使用安全密钥。