安訊奔whitepaper-開發(fā)身份認證策略gartner

22的4新5對 案例研究:為東盟最強大、最 來自Gartner的文件HowtoChooseNewUserAuthentication 在上一篇通訊“為企業(yè)、云和移動設備提供簡捷的、性的和一次 登錄（SSO）的概覽，也了為什么企業(yè)應該對SSO解決方案進行業(yè)都至關重要。在的商業(yè)環(huán)境下，SSO能幫助企業(yè)提高生產(chǎn)力，說，使用SSO能為企業(yè)帶來的益

然而，似乎仍不能擺脫困擾。如果單一憑證損害，則者便能支配所有可的資源。需要問問自己，容易的通用而簡單的，是否在SSO世界提供了足夠多年以來，認證機制受到追捧的環(huán)2011年人類生18,000億GBIBM公司說，每天會產(chǎn)生2200000TB的數(shù)據(jù)?！邦A計在的將來，將會有萬億新設備連接到互聯(lián)網(wǎng)，這樣而來，到2020年，數(shù)字數(shù)據(jù)會是如今的44倍”2可能很輕易地憑證管理系統(tǒng)環(huán)境發(fā)展迅猛。在過去的一年可能很輕易地憑證管理系統(tǒng)機構到各大網(wǎng)絡公司和品牌都了經(jīng)驗數(shù)據(jù)和盜用的問題。作為鑒別碼的用戶名加組合不再起作用。過去一年里，數(shù)據(jù)庫使得數(shù)千萬的記錄損壞。盡管安全措施和防護技術不斷進步，仍然存在不少的安全。據(jù)網(wǎng)絡犯罪中心（IC3）提供的數(shù)據(jù)，由 導致的總損失多達525,441,110.003。得知這個

，Adobe發(fā)布了一 ：“290萬Adobe客戶的其他與客戶訂單相關的信息”4 和/或雇員的用戶ID和。憑借竊1公司（FuturesCompany），隱私，從數(shù)據(jù)到人，20122DMH斯托拉德（DMHStallard），保護好數(shù)據(jù)-保護好企業(yè)，2012年63IC3，《2012年網(wǎng)絡中心報告》，2013年54 /conversations/2013/10/mportant-customer-security-為SSO解決方案評估當前環(huán)境和影響因Verizon《2013年數(shù)據(jù)丟失報告》顯示，因招致?lián)p失的現(xiàn)象在全球各地的各個領域都有發(fā)生，但在金融機構和大型企業(yè)發(fā)生的概率更高。

也是從這一份報告中，看到，76％andrestaurants(-)transportation,andutilities(+)ofnetworkintrusionshitinformationandprofessionalservicesfirms(+)ofbreachesimpactedlargeranizations

ofnetworkintrusionsexploitedweakorstolencredentials(-)involvedphysicalattacksleveragedsocialtactics料來年據(jù)丟失告》，誰受害者？

資料來源：Verizon，《2013年數(shù)據(jù)丟失報告》，是10％新智能（增長12％）和平板電（18％）的全球銷量將繼續(xù)顯著增長，占整個IT市場增長的60％以上安全部和司法部的聯(lián)合非備忘錄中得知，高達79％機 近幾個月以來，安卓用戶 注Android主密鑰3。它使得始應用程序的簽名，即可在第市場重新發(fā)布。 中間人攻擊（MitMa）號稱為銀行移動應用程對雙因素認證系統(tǒng)的的，如中間人（MitMa），瀏覽器中間人（MitB），移動中間人（MitMO）等。因此，非常在這種之下傳統(tǒng)的哈希被用來保護的密碼。但隨著經(jīng)濟實惠的顯示卡的出現(xiàn)，一個500的GPU（圖形處理單元）就可以用來每秒鐘數(shù)千萬的哈希。這增加了那些可以數(shù)據(jù)庫的 或蠻力的

自帶設備越來越多的人通過智能、平板電腦和筆記本電腦來公司網(wǎng)絡和數(shù)據(jù)，這也給IT安全帶來了全新 。企業(yè)開始為BYOD實施安全策略。研究公司J.Gold 稱，目前約有25％到35％的企業(yè)采用了BYOD政策，而且他們預計，在未來兩年4，比例將超過50％?，F(xiàn)在，消費者和員工有著持續(xù)不斷的聯(lián)系。結果，大量公司敏感的數(shù)據(jù)，如企業(yè)郵箱、庫、企業(yè)介紹和商務計劃等，都隨著自帶設備并工作的員工越來云的IT服務的使用不斷擴展，應用程1 /sites/gilpress/2013/12/03/idc-top-10-technology-predictions-for- /DHS-FBI- /threat-of-the-month-android-master-key-vulnerabil4/tip/Moble-device-strategy-bypassed-as-enterprises-face-tablet-對認證的影因此，了解到，可以企業(yè)網(wǎng)用程序的日益普及，如網(wǎng)上銀行，迫份認證。其中，一個是安全的頻發(fā)，它了用戶、個人信阻礙基于傳統(tǒng)PKI令牌的配置。隨著智能的使用，越來越多的人偏向把移動作為認證設備，因為它能根據(jù)不同的風險級別，組織提供著不同類型的服務。接入信道可以是IVR、基于臺式機的接入、移動接入、ATM，Kiosk或Branch。配置的認證機制應該與服務的風險級別相稱。同時，不同類型的用戶應該有不同的使用模式（接入裝置、頻率、角

增強的方法已經(jīng)從傳統(tǒng)的令牌到USB設備到智能卡到識別器、令牌和掃描設備不斷演變?；谛袨槟Ｊ胶驮O備模式分析的上下文認證已經(jīng)越來越重要，而且越來越多的廠商都為此提供了用戶認證產(chǎn)品。此外，為確保提供更好的用戶體驗，越來越多的企業(yè)引進了生物識別技術，包括形態(tài)因素，如打字節(jié)奏、語音識說，總擁有成本（TCO）是一個更重鑒于上述趨勢和，IT架構師

當企業(yè)尋求新的、有適當風險的用戶認證方法時，有一點需要注意，即單認證方法并不太適合所有的用例。在重新制定時，大多數(shù)企業(yè)傾向于依靠單一的用例作出決策。Gartner的 不單方生下現(xiàn)在已經(jīng)了解了環(huán)境及其對多因素認證需要如下兩個或多個因ATMOTP你是什么：生物識別特征，如指 文認證，基于對可能只需1級認證（簡單口令），而2級認證（ 或智能卡）。生物識別技術。Gartner的，“雖然目前通過智能或平板電腦企業(yè)網(wǎng)絡或高價值的網(wǎng)絡應用程序使用生物識別認證的用戶還不到5％，但是到5年，這個比例將達到0。

或增加不必要的TOC，并使用戶安訊奔的AccessMatrix?通用認證服務器（UAS）使企業(yè)能夠通過建立UAS是一個通用的，且不會過時通過式認證模塊（PAMUAS支持多種認證方法，而且容易添加新的方法以滿足不同的認證機制。企業(yè)還可以通過認證工作流程，兩個或以上的認證方法，以滿足強認證和的要求AccessMatrix?通用AccessMatrix?通用認證減少成本，因為使用通用可擴展認證和令牌管理解簡化集成和部署工作，因為已有的PAM模塊，可輕松與現(xiàn)有的LDAP，AD和JDBC實施靈活和動態(tài)的認證工作流程，以處理復雜的認證需基于標準的通用認證解決方案的PAM框架，可以滿足未來認證選項的需要?？稍黾有碌恼J證方法到此解決方案，同時，也會把因此導致的對現(xiàn)有強認證部署的影響提供可高度擴展且公開可靠的平臺，以支持需求，如自動故障轉移、水平和垂直縮放、和全天候的運維要憑借的專利技術-基于分層模式的安全管理和框架，UAS允雙因素認證通常結合靜態(tài)和其他從輸入點（瀏覽器）到比較點（FIPS認證的HSM），UAS為端到端加密靜態(tài)提供了一個模塊，這可確保企業(yè)無人 法 法??

OTP

IBMCASiteMinderIDANAFOasisSAMLHPAccessMatrixUASUAS-端到端加密模用戶憑證（PinMailerATMPIN碼，基于ISO9564UAS-OTP令牌認證和生命周期管理模Vasco令牌SafeNet RSA令牌OATHUAS-YESsafe令YESsafe令牌為認證（同步和響應）、、簽名認證和主機UAS-生物識別認證與管理模UAS-適用于企業(yè)認證模塊的雙因素認使用GINA和CP、終端服務器和Citrix的Windows 和Unix登錄MSOutlook網(wǎng)絡UAS程序集成的UAS-適用于第網(wǎng)絡SSO產(chǎn)品的雙因素集UASHSM集成用于保護憑證的HSM密鑰管理HSM的OTP認新一代的通用認證服新一代的通用認證服務FIPS認證的WEB瀏覽 應用系AWEB服AWEB服務Radius協(xié)用 .NET用 策略外案例研究-為東盟最強大、最的銀行提供的端 金融管理局（MAS）及金融管理局（HKMA）所規(guī)定的安全準則的要對客戶PIN的端到端保護-必須件安全模塊）對加密的PIN進結合（OTP）VASCO令牌和OTP的強身-這也是基于企業(yè)的安全安訊奔的集中安全管理方法在整個項目中都得以應用，以協(xié)助銀行實施和配置AccessMatrix?通用認證服務器（UAS）的端到端加密認證（E2EEA）、VASCO令牌管理模塊和OTP模塊，從而為銀行實現(xiàn)認證和管理要求提供認證和管理平臺，以遵守針對網(wǎng)上銀行的銀行管理制度。AccessMatrix?通用認證服務器的端到端加密認證（AccessMatrix?UAS2EEAPpinn和pnlrprintng整套解決方案。通過UAS客戶端的加密庫，在端點（PC或移動設備）對Pin進行加密，并保持加密狀態(tài)，直到HSM的比較點。這可確保銀行無人有權。

AccessMatrix通用認證服VASCO（AccessMatrix?UASVASCOTokenManagementModule）還提供了與銀行現(xiàn)有的動態(tài)鎖OTP服務器的VASCO令牌管理模塊還利用由VASCO的DigiPass令牌提供 （出廠初始化或自動初始化為用戶提供可定制的自助服務界安訊奔的AccessMatrix?通用認證如今，世界各國之間的聯(lián)系日漸緊 信系統(tǒng)不斷推動著技術進 和文化變遷。這種互聯(lián)導致風險的多樣化。如果企業(yè)不認證評估自己的風險，并確定和實施合適的認證，那么，他們終將繼續(xù)處于劣

安訊奔的AccessMatrix?通用認證服務器（UAS）是一個具備高擴展性風險而言。AccessMatrix?UAS有ResearchfromHowtoChooseNewUserAuthenticationEnterprisesareseekingnew,risk-appropriateuserauthenticationmethods,butasinglemethodisrarelyappropriateforallusecases.AnIAMleaderorsecurityarchitectwilllikelyneedtochooseasetofvariousmethodstomeetalltheneedsoftheenterprise.KeyMostauthenticationbuyingdecisionsaretacticalandfocusonasingleusecase.IAMleadersandsecurityarchitectsareputtinggreaterweightontotalcostofownership(TCO)anduserexperience(UX).Eachusecasehasdierentneedsandconstraints.Thus,asingleauthenticationwithintheenterprise.Theadoptionofmobilecomputingismidtermtolongterm.

unnecessarycostandcomplexityReuseofanincumbentmethodinnewusecaseswhereitmaybealess-than-goodt,unacceptablyreducingsecurityorunnecessarilyincreasingTCOandoverburdeningusersHowcanenterprisesoptimizetheirchoiceofauthenticationmethodsandhowthey’reimplementedacrossmultipleusecases?Thisresearchoutlinesadecisionframeworkthatidentityandaccessmanagement(IAM)leaders,securityarchitectsandotherpractitionerscanuseacrossarangeofusecases,providingabasisforvendorandproductselection.Elementsoftheframework sobeToreviewincumbentForsingleusecasesinaswellasauthenticationstrength,whenevaluatingnewauthenticationineachusecase.Don’tneglectregulatorycomplianceconstraintsandadjacentsecurityDeneanoptimalsetofauthenticationinthesimplestway,butwithminimum

applicationstoidentifywhiethodintheoptimalsetismostappropriate(orwhetheranewmethodisneeded)otherIAMfunctions.Condenceortrustinaclaimeddigitalidentityiscrucialtoauthorization(forexample,segregationofduties)and ligence(forexample,Awidevarietyofauthenticationmethodsos.Identifyappropriatewaysofimplementingavailable(seeNote2and“ATaxonomyStrategicPlanningBy2015,30%ofusersaccessingcorporatesmartphonesortabletswillusebiometricandfocusonasingleusecase.Asusecaseshavedierentneedsandconstraints,asingleauthenticationmethodisrarelythebesttformultipleusecaseswithintheenterprise.Thiscanhavetwoconsequences:

AuthenticationMethods,GoodauthenticationchoicesarecharacterizedRisk-appropriateauthenticationLow(justiableandaordable)Good(acceptableminimum)OverviewofGartner’sFrameworkforChoosingNewAuthenticationlevelstructure:Identifyallcurrentandlikelyfutureusewilluse.DeterminehowyouwillimplementNotethatthisisnotasimplelinearprocess.Dependingontheusecasesconsideredandthechoicesthatemergefromthem,thetwo

depictedinFigure1(“Whatmethodswillyouuse?”and“Howwillyouimplementthem?”)maynotbeindependent,andeachcaninuenceorconstraintheother.SomeiterationwilllikelybeIdentifyUse,enumeratethedierentusecasesforauthentication.Note3outlinesasetofusecasesthatweuseinotherGartnerresearchthatmightbeabletoidentifyothersaswell.Moreimportantthanthislistaretheusecases(seeFigure2).FIGURE1Gartner’sFrameworkforChoosingNewAuthenticationwillyouuse?HowwillyouofFIGURE2IdentifyingUse Source:Gartner(MarchWhoAretheUsers?HowDoTheyInuenceandConstrainYourChoices?ConsidertheseRelationshiporconstituency,whichindicatesacceptableconstraintson(mis)behavior.Whileyourworkforceisboundtousetheauthenticationmethodyouimpose,yourcustomers(oranyuserswithanelectiverelationship)don’thaveto.PoorUXhasimpactoncustomerretention3Presence,whichimpactsregistration/enrolmentandcredentialing/provisioning.usersareaparticularconcern.TCO.Pricingfordierentmethodsscalesdierently.Otherrelationships, ightinusers’attitudestowarddierentInuenceandConstrainYourConsidertheseThevarietyofformfactorsandOSsthatwillbeused.Theremaybetechnicalrestrictionsonwhatmethodscaneasilybeusedwithdieracrossdierentendpoint6s.

Ownership.Methodsthatrequiresoftwareorconnectedhardwarecomponentsmightnotbeacceptabletouser/ownersorthirdparties(suchasbusinesspartners).Evenifdevicescanbeproblematic.WhereIsAccessFrom?HowDoesThisInuenceandConstrainYourChoices?ConsidertheseLocalorremoteaccess.Forlocalaccess,theremaybecontrolledphysicalaccesstothestrengt7remoteaccesscanbeproblematicforsomeauthenticationmethod8s.Mobility.Thatis,dousersgetaccessfromthesamelocation,ordotheymovebetweenlocalandremo ocationsoramongdierent ocations?Iftheansweristhelatter,locations.Thiscanbeaparticularchallengeforoutofband(OOB)authenticationmethods,dependingonvendorsupportandlocalmobilenetworkoperators.Signalstrength.Thisvariesaccordingtomobilenetworkcoverageandauser’slocationwithinAlloweddevices.Restrictionsontakingphonesintocertainlocations,forsecurityreasonsorbecauseofpotentialinterferencewithsensitiveequipment(forexample,hospitals),canprecludephone-as-a-tokenauthenticationmethods.WhatIsBeingAccessed?HowDoesThisConsidertheseThevalueorcriticalityofanassetisaleadingindicatorofrisk1.0Thesensitivityofanassetmaydemandhighaccountability(ratherthanjusthighTheplatformmayconstrainthechoiceofintegrationoptions.WhatOtherDemandsandNeedsMight

ConsidertheseLawsandregulations,whiayAuditorndings,whiaydemandtwo-laworregulationdoesn’1t1forencryption,digitalsignatureortransactionverication,whiightexploitthesameunderlyingmechanismasacandidateauthenticationmethod(ordesire)forcommonaccesscards.DetermineNeedsandIdentifyCandidateMethodsFigure3illustratesthescopeofthersttwostepsinthisleg.willyouuse?LevelofEndpointFIGURE4DeterminingLevelofrisk velofassuran UpperlimitUserwantsand LowerlimitVarietyofendpoin dpoiNeedforndencentindepeSource:Gartner(MarchDetermineFigure4illustratesthekeydrivers(thecharacteristicsofeachusecase)andhowtheyinuenceneeds.Thelevelofriskimposesalowerlimitonlevelsofassuranceandaccountability.Determiningthelevelofriskineachcaseisbeyondthescopeofthisresearch“WhyYouNeedaRiskonTCO.endpointindependence.Thelevelofriskanduserwantsandinuencestheavailablebudget(andthustheupperlimitonTCO).

UserwantsandneedsdependinpartonthelowerlimitonUX).andaccountability.Sinceuserbehaviorvulnerabilitiesthaterodeauthenticationstrength,aneedforstrongerauthenticationdrivesgoodUX.TheupperlimitonTCO.AsamethodwithapoorUXwilllikelyhavehighertrainingandIdentifyCandidateEvaluateauthenticationstrength.Itmaybeofdierentauthenticationmethods,suchasNISTSP800-63-1(“ElectronicAuthenticationGuideline”).However,theserankingsarenotexhaustiveintherangeofmethodstheycover,noristherationalefortherankingsalwaystransparent.A“rstprinciples”approachispresentedin“GartnerAuthenticationMethodEvaluationScorecards,2011:AssuranceandInbrief,thisTowhatdegreearetheauthenticationtotheuser?Howhardisitforanattackertoposeasalegitimateuser(amasqueradeattack)?HowhardisitfortheusertowillinglyHowdopeople,processesandcompensatingcontrolsfacilitateormitigateanattack?brief,thisconsiders:Authenticationinfrastructurecomponents:Hardware,softwareandIToperations:Implementation,support,identityadministrationandlogisticssystemcomponentsEnd-userandendpointEndusers:Trainingand

EvaluateUX.Oneapproachisexplainedin“GartnerAuthenticationMethodEvaluationScorecards,2011:UserExperience.”Inbrief,thisconsiders:arerelevanttobiometricandcontextualReviewendpointindependence.acrossmultiple(kindsof)endpoints?strengthamongdierent(kindsof)AretheredierencesinUXamongdierent(kindsof)endpoints?ChoosetheOptimalSetofAfteridentifyingasuitablemethod(orasetofsuitablealternatives)foreachofseveralofmethodsfromthislargersetofcandidatemethods,asillustratedinFigure5.FIGURE5ChoosingtheOptimalSetofWhatmethodswillyouuse?Amanageablesetofmethodswiththefewestandleasttrade-offsofThisisapotentiallycomplexexerciseincombinatorialoptimization(essentiallyacompromisesinauthenticationstrengthorNotethatTCOisalsodependentonhowyouwillimplementtheoptimalsetofmethods.Inparticular,havingasingleinfrastructurethatcansupportdierentmethodsacrossmultipleusecasesislikelylessexpensivethanhavingmultipleparallelinfrastructures.Thus,thereare“Howwillyouimplementthem?”leg,especiallyChooseAuthenticationInfrastructureOption(s).Thesizeoftheoptimalsetwilldependonthethreeisusuallyareasonableformanyanizations;morethanvewilllikely unmanageable.Acommoninfrastructureformultiplemethodsmakesthingsmorechoosemoremethods.

IdentifyIntegrationFigure6illustratestherstpartofthe“Howwillyouimplementthem?”leg.ConsiderwhichoptionsaretechnicallyfeasiblefortherangeofsystemsineachuseNativesupportinthesystem(platformorapplication).Forexample,Windowsnativelysupports“interactivesmartcardlogin”(thatis,X.509tokens).Nativesupportinadirectory(suchasActiveDirectory)oranaccessmanagementtooltool),whichcanbeintegratedwiththesysteminastandardway—forexample,usingLDAP/PADL,KerberosorSAML.Directintegrationintothesystemusingavendor’stoolkitorAPIs.Thisisafairlycommonapproachinbankingapplications.Adiscreteauthenticationinfrastructure.Thesetypicallysupportstandardprotocols(suchasRADIUS,LDAPandSAML)aswellasprovidingagents,toolkitsorAPIsforusewheresystemsdon’tthemselvessupportanyFIGURE6IdentifyingIntegration HowwillUse implementNativesupportin Nativesupportplatformor indirectoryoraccess managementIntegrationinto platformor usingvendor's Source:Gartner(MarchUse HowwillimplementPoint VersatileauthenticationserverorserviceChooseAuthenticationInfrastructureWhereadiscreteauthenticationinfrastructureisindicated,thechoiceisbetweenthetwooptionsillustratedinFigure7.infrastructurethatsupportsjusttheintegratedunderanOEMagreement.Aversatileauthenticationserverorservice(VAS)supportsnotjustthevendor’sownmethods,butalsostandards-basedmethods(forexample,InitiativeforOpenAuthentication[OATH]-compliantone-timepasswords[OTPs]andX.509),andveryoftenhasanextensiblearchitecturetoallowcustomerstoeasilyintegrate“any”third-partyproprietarymethods.Apointsolutionmightsupportaswidearangeofout-of-the-boxauthenticationandlocks-inthecustomer.Forexample,futuretranchesofOTPtokensmustbeboughtfromthesamevendor.

/r/