为什么需要身份验证服务器?
PC Week/RE №5 (882) 2015 年 3 月 24 日
尼古拉·科拉别尔尼科夫| 2015 年 2 月 26 日
数据、信息、权威是任何现代公司最大的价值,当然仅次于人力资源。我们越来越多地听到有关未经授权访问某些资源的新闻。而且,攻击者的受害者既可以是商业组织或银行,也可以是国家政府。无担保资源的价格对于商业公司来说可能是灾难性的,对于政府来说则极高。从直接损失开始,到失去客户忠诚度和竞争优势结束。
、银行系统、邮箱和社交网络账户的访问权限?
用户(因此也是攻击者)在访问任何重要服务时遇到的第一件事就是身份验证。正是这一行动使我们能够确定请求信息或希望执行某些行动的用户就是他所声称的用户。如果没有用户认证,就不可能进行授权,即授予某些权利。如果攻击者可以代表目标系统上具有必要权限的用户进行身份验证,那么他就获得该权限,并且他的任务很可能就会完成。信息系统真实性的验证就像过境时在护照检查处检查外国护照一样。如果有人出示伪造的或他人的外国护照,则他或她不应通过护照检查。为了 沙特阿拉伯电报数据 确保这一点,我们进行了一系列检查,旨在识别伪造护照并核实外国护照所有者和持照人的身份。如果护照是一张没有手写数据水印的纸,那么伪造这样的文件并不困难。但实际上,外国护照具有多层保护,不可能被轻易伪造。信息系统中的身份验证也是如此。未使用 HTTPS 协议登录基于 Web 的电子邮件界面的用户的帐户很容易受到损害。如果使用存储在智能卡上的证书检查用户的真实性,任务就会变得更加复杂。
身份验证的目的是尽可能地使使用他人的(被盗的、选定的)凭证变得困难。对于合法用户来说,这个过程本身应该很简单。大家早就清楚,创建并记住长达 20 个字符的强密码只会让用户感到恼火。一个公司可能有几个不同的信息系统和资源源需要身份验证:
— 企业门户,
- 电子邮件,
— CRM 系统,
- 远程 VPN 访问,
- 无线上网。
一个普通用户被要求遵守密码复杂性和唯一性安全策略,这实在是令人羡慕不已。
当一家公司决定需要保护电子邮件等信息时,最糟糕的部分就开始了。除了设置 TLS 加密之外,他们当然还记得双因素身份验证,简称 2FA。如果邮件服务器开箱即用地支持 2FA,则使用此功能。如果不存在这样的功能,公司可能会决定自行“完成”。我甚至不会深入讨论自主开发的身份验证模块的具体细节。最重要的是,现在用户在登录邮箱时拥有某种强身份验证方法:硬件或软件令牌、智能卡或其他东西。
一段时间后,公司认为通过登录密码组合进行 VPN 访问并不安全,因此此任务也需要使用 2FA。但是,发给用户的第一个令牌除了访问邮件之外不能用于任何其他用途。这就是第二个令牌的出现方式,以及用于双因素身份验证的另一个模块。我们不要忘记管理员现在必须以双倍的速度管理所有这些身份验证工具。