在一些資安標準的要求上,對於高強度身分鑑別的要求以越來越明確,以筆者熟悉的VDA TISAX ISA 6.0.3為例:
2.1.4 To what extent is mobile work regulated?
-
[Must]: The organization’s network is accessed via a secured connection (e.g. VPN) and strong authentication.
4.1.2 To what extent is the user access to IT services and IT systems secured?
-
[Should]: Superior procedures are used for the authentication of privileged user accounts (e.g. Privileged Access Management, two-factor authentication).
-
[High protection]: Depending on the risk assessment, authentication procedure and access control have been enhanced by supplementary measures (e.g. continuous access monitoring with respect to irregularities or use of strong authentication, automatic logout, disabling in case of inactivity, or brute force prevention). (C, I, A)
-
[very high protection]: Before gaining access to data of very high protection needs, users are authenticated by means of strong authentication (e.g. two-factor authentication) according to the state of the art. (C, I)
4.1.3 To what extent are user accounts and login information securely managed and applied?
-
[Should]: Where strong authentication is applied, the use of the medium (e.g. ownership factor) is secure.
高強度身份鑑別(High-Assurance Authentication)是確保用戶身份驗證的可靠性和安全性,特別是在處理敏感數據或進行高風險操作時。以下是一些高強度身份鑑別的方法和技術:
多因子認證(MFA)
多因子認證是一種增強安全性的有效方法,通過結合兩個或更多不同的驗證因素來驗證用戶身份。常見的MFA因素包括:
-
知識因子(Something You Know)
-
擁有物因子(Something You Have)
- 硬體Token(如RSA SecurID)、軟體Token(如Google Authenticator、Authy)、智能卡、簡訊、電子郵件驗證碼等。
-
生物特徵因子(Something You Are)
-
位置因子(Somewhere You Are)
- 基於IP地址的位置驗證(特定IP位址)、特定設備(Mac)、GPS定位等。
-
行為因子(Something You Do)
特別說明:筆者在一場TISAX AL3的驗證稽核活動中,稽核員強調所謂雙因子,必須是上述5種同時實施其中2種的認證組合才是雙因子的安全認證。
生物特徵識別技術
生物特徵識別技術利用個體的生物特徵進行身份驗證,具有高安全性和難以偽造的優點。常見的生物特徵識別技術包括:
-
指紋識別
-
臉部識別
-
虹膜識別
-
聲紋識別
-
掌紋識別
高安全性軟硬體令牌(Token)
使用硬體令牌(Token)或安全軟體生成一次性密碼(OTP)進行身份驗證,如:
-
硬體令牌(Token)
-
軟體令牌(Token)
- Google Authenticator、Authy、Microsoft Authenticator等。
-
USB安全密鑰
- 用於密碼存儲和雙因子驗證的安全硬體,如YubiKey、FIDO U2F等。
公鑰基礎設施(PKI)
PKI通過數字證書和公私鑰對進行身份驗證,是一種高安全性的驗證方法。應用場景包括:
-
數字證書
- 利用CA(證書頒發機構)簽發的數字證書進行身份驗證和加密通信。
-
電子簽名
- 利用數字證書進行文件和電子郵件的簽名,確保內容未被篡改且驗證簽名者的身份。
風險基於驗證(Risk-Based Authentication, RBA)
RBA根據用戶行為和環境因素動態調整身份驗證策略,提高安全性。例如:
-
異常行為檢測
-
動態調整驗證級別
- 根據風險評估結果,自動調整所需的驗證步驟,如要求額外的MFA驗證。
零信任安全模型(Zero Trust Security Model)
零信任模型假設所有網絡內外的流量都是不可信的,通過嚴格的身份驗證和授權策略來保護資源。實施零信任的關鍵方法包括:
-
持續驗證
-
動態訪問控制
-
微隔離
- 將網路劃分更小的區域,每個區域都需要單獨的驗證和授權
應用場景
-
金融行業
• 高安全性身份驗證技術可以防止欺詐和未經授權的交易。
-
企業環境
• 保護敏感數據和內部系統免受未經授權訪問。
-
醫療行業
• 保護患者數據和醫療記錄的機密性。
-
政府機構
• 保護國家安全相關的信息和系統。
綜上所述,導入高強度身份鑑別的方法需要根據具體應用場景和需求選擇合適的技術和解決方案,確保身份驗證過程的安全性和可靠性。
本文作者:AllanLo,資安顧問,ISO27001、TISAX認證輔導顧問。
企業資安議題歡迎交流。
http://www.123hi.org