FIDO已來 你準備好了嗎?
責編:gltian |2019-09-09 14:31:15計劃和準備是成功采用FIDO標準以實現“更簡單、更強身份驗證”的關鍵。
在被泄露的證書數量已經達到數十億的時候,有一天不再需要依賴用戶名和密碼進行訪問無疑是吸引人的。現在我們比以往任何時候都更接近這一天。微軟上個月宣布,其Windows操作系統的下一次重大更新將實現無密碼登錄。
今年早些時候,萬維網聯盟(World Wide Web Consortium, W3C)正式批準了WebAuthn API作為官方標準,該API允許在不使用密碼的情況下登錄網站。谷歌認證的Android設備也可以免密碼登錄。這些只是最近有關被熱議的無密碼認證的幾個事例,而且他們都有一個共同之處:FIDO聯盟(Fast Identity Online Alliance, 線上快速身份驗證聯盟),一個開放的行業協會,其為自己設立的使命是提供“更簡單、更強大的身份驗證”,通過認證標準幫助減少對密碼的依賴。
越來越多的組織機構開始歡迎基于FIDO標準的無密碼未來,但是他們無法完全確定下一步該做些什么。雖然組織機構可能急于拋棄過去的身份認證解決方案,但是仔細的規劃和準備是成功實現無密碼認證的關鍵。當CTO、CISO、CSO和安全專業人員開始重新考慮他們的身份和訪問管理時,對FIDO身份驗證采取謹慎、深思熟慮的態度是最佳行動方案。
首先:為何選擇FIDO,為什么是現在?
一家全球娛樂企業的首席信息安全官最近告訴我,一個他稱之為員工之間的“用戶革命”。員工呼吁轉變該公司長期以來以密碼為中心的做法,采用一種更簡單的認證方式。在數字化轉型的時代,員工群體們正在變得更加活躍、多樣化和移動化——同時也要求以簡單、順暢的方式獲取資源。與此同時,隨著身份分布比以往任何時候都更加廣泛,他們也看到了前所未有身份和數字風險,帶來了組織機構必須確保安全的多個訪問點。難怪如此多的組織機構希望通過FIDO身份驗證,實現簡單而強大的身份驗證,從而減輕終端用戶的安全負擔。然而,要采用FIDO身份驗證,組織機構需要支持FIDO標準的基礎設施、設備和應用程序。如果你的組織正在考慮向FIDO身份驗證的方向發展,為了確保平穩、成功的過渡,有三個重要注意事項需要牢記在心。
1.時間就是一切:對開放標準的技術支持
FIDO聯盟是一個開放標準組織,技術供應商也正在開始迅速采用它的開放認證標準。但需要注意的是,組織機構采用的技術支持的是不同發展時期的FIDO。例如,去年5月Windows Hello獲得了FIDO2認證,這意味著其身份驗證機制支持最新的FIDO規范。到去年年底,所有主流的web瀏覽器都以某種形式提供了對FIDO2的支持。但是支持FIDO的操作系統和瀏覽器更新,甚至硬件更新(臺式/筆記本電腦),在推廣到終端用戶之前不能給組織機構帶來任何好處。這就是為什么根據組織機構的技術發展規劃考慮FIDO身份驗證非常重要。
任何考慮FIDO標準的組織機構都必須根據其支持的的技術和標準哪些真正不需要密碼做出決定。這個問題還涉及到后端應用程序的“最后一英里”。如果用戶所依賴的應用程序不支持FIDO,那么基礎設施是否支持也無關緊要了。假設你有一個支持FIDO身份驗證的瀏覽器更新,這很好,但是如果它只能將用戶帶到應用程序標準的用戶名/密碼界面,那么它就違背了這個目的。當然,可以通過一些技術處理FIDO服務器的問題。因此請考慮如何通過這些技術來幫助你跨越這最后一英里,并為你的組織機構提供統一的FIDO服務器方法。
2.一個支持多個身份驗證的聯盟(還會有更多)
我經常聽到人們將各種類型的身份驗證器稱為“FIDO設備”,但是區分FIDO標準和它們實際所支持的設備非常重要。FIDO聯盟支持數百種經過FIDO認證的設備,隨著越來越多的公司引入符合FIDO認證標準的認證,該聯盟還在不斷壯大。認證設備多種多樣,從移動認證設備到可穿戴設備,再到硬件設備(以及介于兩者之間的一切其他設備)。
因此,采用FIDO方法需要戰略性地考慮認證選項。這意味著看看你的目標用戶、他們需要訪問的方式和地方,以及哪種認證方式對他們最有意義。例如,在不允許員工使用移動設備,需要臺式電腦辦公的呼叫中心,經過FIDO認證的USB安全密鑰可能非常適合用戶。但是,如果用戶處于依賴移動電話和沒有USB端口的平板電腦的移動環境時,特定于移動設備的FIDO身份驗證可能更合適。(下個月,我將探索如何從越來越多的可用選項中為你的組織機構選擇正確的身份驗證方法和設備)。
3.關鍵是:做好準備
FIDO聯盟為走向一個沒有密碼的世界奠定了堅實的基礎,這很令人興奮。但是,組織機構在思考的時候必須摒棄“FIDO就是答案”才能充分利用它的好處。隨著越來越多的技術供應商開始支持FIDO標準,以及符合FIDO的身份驗證器可用,為了能夠策略性的采用FIDO身份驗證,你的組織機構需要考慮更多的因素。因此,無論你多么渴望實現飛躍,都要花一些時間來計劃和準備,從基于密碼的身份驗證過渡到不需要密碼的身份驗證。
如果你想通過FIDO取得成功,你必須做好準備。現在是時候評估你所在組織機構的身份驗證需求、它們是如何發展的以及目標用戶的動態。逐步推出FIDO認證的身份驗證和支持FIDO的應用程序,并對用戶和咨詢臺的人員進行培訓,可以給組織機構帶來積極的體驗和過渡。隨著認證領域這種快速的轉變,如果你想充分利用它,就必須注意、耐心并進行戰略性思考。