iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 18
1

在資訊的世界裡帳號等於個人身分證,許多公司內部的資訊系統越建越多,起初可能每個持有4~5組帳號密碼,後期亦有可能為了整體的營運方便使用SSO來簡化,通通用AD管理就好了嘛、公司的帳號都交給IT管理放心啦。這樣真的安全嗎?

方便與危機僅有一線之隔,你的方便駭客也跟著開心

一、常見的破口:身分盜用
如前天Email破口提到,現在外部網站被攻破後帳號外流的事件屢見不顯,倘若用公司的email去註冊,且帳號密碼都用同一組,在收集夠多的社交資訊後(如真實姓名、生日、手機、住址、任職地點、學校,或稱肉搜),像拼圖般拼出一個人的全貌簡直易如反掌,用此攻進公司系統、開大門走大路進出一點都沒問題。

personal
(圖片引用自T客邦)

阿...這一題太沉重嗎?來看個電影吧
【竊資達人Identity Thief 】
Yes

二、普遍防禦方式:多因子認證
除了持續內部宣導個資保護和公務帳號不外流外,目前業界普遍推行的技術作法即採用多因子驗證(MFA/2FA)來強化帳號保護,所謂雙因素認證,即用戶持有的認證裝置或設備(手機),和其已知的資訊(密碼)同時使用,缺一不可。
這樣的做法兼顧了便利性和保密性,透過OTP動態密碼不斷更換的特性,或是推播確認到裝置上,保障帳戶的存取安全,有效解決帳號密碼被盜用的風險。
https://ithelp.ithome.com.tw/upload/images/20200930/20129755EO6BjrlrbH.jpg

其優異的泛用性(例如支援SAML(Security Assertion Markup Language)),可搭配AD、VPN、雲端服務、RADIUS、SAP、ERP等各種驗證;而第二因素的驗證方式或可使用手機的生物辨識(指紋/人臉)來強化。
MFA/2FA有下列常見的驗證模式:

    1. TOTP( ime-based One-time Password):時間同步,每間隔30~60秒間變換一次,最廣為使用。
    1. HOTP(HMAC-based One-time Password):事件同步,用某一特定的事件次序及相同的種子值作為運算,通過HASH算法運算出一致的密碼。
    1. Push Notification:推播驗證,每次使用時會於手機或裝置上彈出確認訊息,需要在一定的時間內回應。此法使用者接收度較高,與現行使用習慣差異較小。
      https://ithelp.ithome.com.tw/upload/images/20200930/20129755e9kMcfX4sN.png

MFA/2FA這麼好用,那...要錢嗎?
USER關心好用/方便與否、長官主管考量投資預算問題,適用的工具產品也非常非常多元,要費用的和不用費用的都有,舉例來說:

  • 1.國內做MFA/2FA最廣為人知的莫過於全景軟體的MOTP/ID Expert,凡舉銀行、科技業、軍方、政府皆有成功案例;國外則是以RSA最老牌;另外若環境中有Fortinet設備,FortiToken也是可以參考的選項。
    FortiToken
    (圖片引用自全景軟體)

  • 2.省錢的便宜選項:透過酒肉朋友介紹,筆者最近發現NOD32防毒軟體的廠商ESET ,2014年開始推出ESET Secure Authentication (ESA) 這套雙因驗證產品,授權成本於國外網站上查的到,不失為一個彈性的選擇。(但是在台的維護能量和成功案例數可能比開源更...,不過改天應PO寫些安裝設定文上來)。

若從未使用過,可先啟用G-mail或FB的帳號登入二階段保護,了解體驗一下運作原理囉!

延伸閱讀與參考資料:
一次性密碼演算法:簡介HOTP、TOTP和Google Authenticator
雙因子認證/多因子認證機制 - 加強身分驗證之安全性
何謂雙因素認證技術?
世界頂尖資安專家傳授:3招拒絕成為駭客的待宰羔羊


上一篇
基礎資安常見破口:高風險Website內容過濾
下一篇
基礎資安常見破口:帳號權限管控
系列文
推動資安從0起步邁向70分,不用花大錢也能有聲有色保平安。30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 則留言

1
CyberSerge
iT邦好手 1 級 ‧ 2020-10-03 04:05:17

如果已經使用Azure AD或Office 365,也可使用Azure的MFA。詳細授權如下:
https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-mfa-licensing

推推!!Azure的MFA很好用

我要留言

立即登入留言