https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

管理手冊:身分識別與存取控制-雙因素認證

2009 / 09 / 03
TOM BOWERS 翻譯 夏客
管理手冊:身分識別與存取控制-雙因素認證

從Token到生物辨識技術這些都是強化用戶驗證機制的解決方案之一而企業主們應該仔細慎選替代品以保障安全不致失衡。

  
Token通常都會拿來與登錄帳號和密碼結合並用,是一種目前相當炙手可熱的雙重鑑別機制。(即用戶腦袋當中的密碼,是第一道驗證,而第二道驗證則是用戶本身持有的東西,如Token。)

  幾乎所有採用一次性密碼(one-time password)的系統,只要驗證程序上出了一點小錯,便極有可能造成系統停擺─不是完全略過驗證程序,不然就是只能在電腦的安全模式下運作。

  在網路威脅節節高漲的世代,要能真正確定就是用戶本人這檔事,變得異常重要!光是利用網路釣魚詐騙的案件,就不斷地以令人擔憂的比率急速攀升。一項由RSA Security研究人員於今年所作的調查證實,2005年掉入網路釣魚陷阱的平均案例數,從原本每月的2,500件升高到目前每月有3,500件案例。另外,依照RSA的說法,同期間也有愈來愈多的知識工作者─全球約莫有4億人口,投身到網際網路上。

  當情況愈見惡化時,以前利用帳號和密碼來辨認用戶身分的鑑別方式,現階段已經稱不上是好法子了。另一方面,因為企業要慎防資料從內部被取得和破壞,再加上憂心顧客在虛擬交易當中丟失機密資料等緣故,企業主們也極力找尋替代方案。

  例如新的美國金管會(FFIEC, Federal Financial Institutions Examination Council)管理條例,就強迫企業組織要達到相關驗證項目。根據一份今年4月份所作成的調查報告指出,Information Security雜誌和SearchSecurity.com的讀者,將強化鑑別機制當成是身分與存取管理的首項要務。

  諸如Token、智慧卡,以及生物辨識技術和數位憑證,目前均為識別用戶端、顧客群與合作夥伴身分,都可提供強而有力的驗證。不過,要導入這些技術之前,企業們必須先衡量本身的成本與其獲利關係。因為這些解決方案,都有其優缺點存在,而且就算採用也不擔保就可以高枕無憂!

  不過,幾乎所有企業謹慎遵守的法規條例,都對穩固強健的認證鑑別機制作出一番規定。

  例如,HIPPA法案第164.3x節,就要求應該要防護共用資料的安全,並且條文中也談到,要驗證遠端登錄的用戶身分,最佳的實行辦法就是採取雙重鑑別機制;另外,每個用戶端也都要配有一組唯一識別碼。而SOX法案的第404節也提及,在行政管理面上,要建立對於企業資料應有的內部管控,並且針對這些內部管控存取權的有效性,也需加以評估了解,尤其是,這些事情主要都與用戶身分以及資料整合有著密切關係!而GLBA法案則是專門設計作為提振顧客信心之用,所以會比較傾於顧客紀錄所擁有的機密性和整合性上面的保護。事實上,最佳政策即是,企業們可以將用戶鑑別機制輔以自動化與可信賴管理。

  不過,最詳盡的相關法規,還是要屬新的FFIEC規定。文中不但闡釋單一驗證機制的不足外,同時也要求金融單位必須針對線上交易,採取多重防護的身分鑑別機制才行。此外,美國聯邦政府機關也要遵守國土安全總統命令(HSPD-12, Homeland Security Presidential Directive 12),命令當中更規定,到了2006年11月27日之前,這些機關人員都必須要配有一張單一身分確認卡,以作為實體以及資訊安全存取之用。

  總體而言,企業組織應該要考量到這些法規項目對其所造成的影響,並且就自身系統層面,也要進行相關的風險分析作業。所以,從本文中,企業應可選擇最適合方案來強化鑑別機制,以防護這些極機密資料的系統能達到眾多法規的要求,又不至於過了頭。

Token 運作模式

  Token通常拿來與登錄帳號和密碼結合並用,是一種目前相當炙手可熱的雙重鑑別機制。(即用戶腦袋當中的密碼是第一道驗證,而第二道驗證則是用戶本身持有的東西,如Token。) 其實,現在Token已有較多型態的選擇,包括USB Token、一次性密碼(one-time password)產生器,以及可在電腦系統上模擬硬體Token功能的軟體式Token。

優劣之處

  在所有的Token之中,就屬USB式的Token最具經濟效益,也最饒富多樣性。對一個中大型企業而言,一個Token附加應用軟體的套餐,成本範圍大約是從20~40美元左右。而且,由於USB讀取裝置,現今已成為一般個人電腦的標準配備,所以在這種情況底下,就用不著跟其他雙重鑑別機制一樣─如智慧卡,需要提供額外的讀取裝置。此外,也不似RSA SecurID這種類型的拋棄式密碼產生裝置,USB Token更提供不同憑證和登錄驗證的儲存功能,使得企業在佈署時,會更顯得靈活有彈性。諸如RSA,Aladdin Knowledge Systems、Actividentity( 前身為A c t i v C a r d ) , 以及Authenex和SafeNet這些公司,與其他少部份廠商,也都有提供USB T o k e n 的選擇。

  然而,要實作Token佈署計畫可沒那麼簡單!因為一般的Token廠商,都會將其所需佈署的用戶端軟體切割成幾個明確的部份:一種是作為存放網路憑證用的,另一種可能是用於Web網站資訊,第三種也許是當成VPN的通行憑證。如此一來,也就產生了另一種困擾:必須針對不同的軟體元件作單獨的分析處理,並且還得實行軟體版本控制,以確保能與企業內電腦系統相容。再者,用戶們也極有可能不太願意為了要通過企業的存取驗證服務,而將硬體裝置塞在自己的包包裡,更何況,也有可能會將Token搞丟的狀況發生!至於軟體形態的Token雖然可以免除這項缺點,但是它們也只能被用在裝有此類軟體的主機上。軟體式Token所引發的另一個問題則是,可能會在其所安裝的硬體設備上,洩露用戶的帳號和密碼,除此之外,因多工作業所造成的系統程序過載情形,或者是像使用CAD這種需要大量CPU資源和記憶體的工作,以致於毀損用戶端應用軟體(特別是以Java寫成之應用程式)的狀況,這種發生的機率顯得特別高!

注意事項

  請依照貴企業的安全需求和管理要點採行此一方案!或許是可以為整體企業網域的登錄驗證進行USB Token佈署,要不然的話,單單只與VPN或Citrix系統結合應用也行。

智慧卡 運作模式

  事實上,智慧卡的外觀就如同一張信用卡一般,不同的是,裡頭的EEPROM晶片上,附有一個小型的微處理器。不過,若要與智慧卡晶片作資料鏈結,那就得透過與智慧卡讀卡機作實體連接,通常這個讀取裝置是可以接在個人電腦上使用的。另外,新一代的智慧卡也會擁有一個與內建微處理器整合的協同運算處理器,專門負責進行複雜的加密演算公式的處理。

優劣之處

  要廣泛佈署智慧卡,價格的確是一大阻礙!尤其是在第一次導入之際,光再加上讀卡機和軟體的費用,就要高達100美元。不過,目前智慧卡價格已經下滑,並使用與USB Token同樣的晶片,因此功能可說是幾乎完全一樣。然而,就USB Token來說,它遠比智慧卡容易攜帶,同時如果放在褲子的口袋裡,也較不易損壞,更何況,USB Token讀取裝置還是內建在所有的個人電腦當中呢!

注意事項

  企業主若想採行多功能身分識別裝置,一次通用於實體存取和系統驗證兩大部份的話,不妨考慮一下智慧卡。因為部份廠商所提供智慧卡,不但是一張進出大樓的門禁卡,同時也能作為系統身分驗證之用。所以,如果聯邦機關要符合HSPD-12規定的話,智慧卡應該會廣泛被採用!要是企業非常渴望擁有可作為實體通行和系統驗證之用的生物辨識技術的驗證卡,那麼,HIS公司就有這樣的產品,但是除非是特別以安全為考量的環境,不然光讀卡機和軟體的建置費用,可是會高的嚇人!

生物辨識技術運作模式

  生物辨識技術要識別一個人,乃是基於實體或行為特徵而定,像臉部、指紋,以及掌紋與視網膜,或者是個人筆跡,亦或是聲音均為辨識依據。所以,有許多電腦製造商便在電腦外殼上或是鍵盤上,加入識別指紋的讀取裝置。在此同時,TCG (Trusted Computing Group) 組織也推動將TPM(Trusted Platform Module)晶片納入到頂級桌上型電腦的主機板當中,或內建於筆記型電腦,甚至是平板電腦上面;所以,像是Dell、Fujitsu、HP和Intel,再加上Lenovo和Toshiba等大廠,都已經加入TCG並支持要採用TPM模組。事實上,TPM晶片就是一個微處理器,裡頭存放著加密演算金鑰,以及用戶端密碼和數位憑證,而我們只需透過用戶端軟體程式,便可建立起一個加密通道進行存取!如果再與內建辨識生物特徵的讀取裝置結合在一起,TPM更可提供牢固的識別機制和憑證儲存功能。

優劣之處

  主要PC大廠對TPM的接納,再搭配上免費的生物辨識軟體,可促使建置成本費用陡降,還有利於企業進行佈署作業。其實,就單一生物辨識讀取裝置為例,無論是指紋讀取式、視網膜,還是掌形掃描裝置,若再加上應用軟體,然後拿去與過去價格相比的話,落差將近100美元。不過,截至目前為止,就有指紋讀取裝置,被納入個人電腦的設計上。

  不管內建或是分離式的生物辨識裝置,都會允許複合指紋登錄,以防止主要指頭受傷無法識別的狀況發生。基本上,生物辨識軟體就是將指紋轉換成一連串的資料點,接著這些點就會以數學表示式儲存起來,用以代表某個指紋特徵,但是這些資料卻無法被拿來重新塑造出指紋;甚至有時候,這個指紋特徵的資料還會在某些情況下被故意弄亂,為的只是防止這個指紋特徵遭到更進一步地解讀!而製造廠商也會多方改變量測指紋程序的方法,像交叉比對所產生的誤差值,就是一個非常不錯的量測方式,因為它融合了讀取裝置和辨識軟體所要兼顧的精確度和信賴度二者。另外一點就是,讀取裝置本身就有可能發生錯誤,尤其是當電腦系統會因為人體組織,或電腦電路的緣故,有熱脹冷縮的問題而導致無法正確判讀身分。在採取此種型態的解決方案之前,有部份議題要納入考慮的就是,如何有效佈署並集中控管這些用戶端軟體?若是發現未經授權的存取行為,是否有法子可向伺服主機回報這些安全事件?不過,這個問題的答案顯然會依廠商作法而有不同,舉例來說,並非所有的PC製造商都會訂定中央管理政策,或甚至是用戶佈署機制;所以,這也意謂著我們必須自己複製用戶到每一台電腦上,並分別至每台主機上設定組態。

注意事項

  像是企業合併、收購案子等重要資料,或技術文件,以及行銷企畫之類的高價值資訊,要是為了要讓使用者存取使用這些資料,進而需指紋辨識裝置,或採行TPM的解決方案之前,那可都得先想清楚再做!接下來的重點,就是得把大至企業小至使用者的事,通盤考慮,將其納入佈署計畫。另外,切記一點:將用戶端程式傳播至數以千計的用戶電腦上,以及再加上蒐集所有使用者指紋的這些時間,也應列入考量之內。

數位憑證運作模式

  數位憑證一般都是與USB Token或者智慧卡結合並用,不過,它也是能夠獨自應用於鑑別機制當中。當數位憑證指派給用戶端、Token,以及某特定機器之後,只有在存取授權階段期間,憑證才會被讀取。另外,因為目前的加密演算法比以前複雜,而且保全機制也較完善,所以,採用數位憑證的認證方式,是比前幾年要安全的多!

優劣之處

  數位憑證是一種更為強化的驗證方式,但是佈署的費用會較高。通常來講,如果一般企業的相關基礎建設(包括伺服主機、階層式驗證伺服器網域,再加上內部員工)都要佈署的情況下,在設定和維護上是得付出相當代價的!不過,雖然有其他廠商幫忙管理驗證服務,但這種鑑別機制仍舊是較前述幾項方法貴上許多。

注意事項

  如果企業組織有著極高的安全需求,比方說,像是政府機關要管理各種等級的資料的話,那倒是可以考慮一下數位憑證。到了今天,雖然數位憑證的費用已經降低不少,但是由於USB Token和TPM晶片佈署率逐漸升高的緣故,所以,也只能冀望往後數位憑證這個部份能夠廣為普及。

安全?危險? 一線之間

  幾乎所有只用密碼作為驗證手段的系統,只要驗證程序上出了一點小錯,便極有可能造成系統停擺─不是完全略過驗證程序,不然就是只能在電腦的安全模式下運作。這點可是相當地重要!事實上,如果攻擊者能夠取得權力進到系統的話,只消使用能編輯任何格式的編輯器,他便能在微軟Windows系統上的分頁檔或暫存檔案,找尋到認證軟體所遺留下來的帳號及密碼。所以,一旦攻擊者取得用戶名稱和密碼,儘管有多重鑑別機制,他也能登錄成該使用者!然而不幸的是,用戶們又常常在其電腦上存放Token或者是安裝其他驗證裝置,這也使得入侵者能輕易地侵入系統。

  此外,廠商所提供鑑別之用的軟體程式,也必須要能與企業網路的用戶端軟體運作順暢,關於這一點,Microsoft表現的很好,但它卻有個最大的問題─分頁檔漏洞。不過,其餘像是Novell,Sun Microsystems或其他廠商,雖然沒有獲得安全供應商良好的支援,但相對地,也因為他們使用不同的網路驗證機制,所以理論上是比較安全點!

正是時候

  無庸置疑地,企業所選擇的驗證技術會決定費用的高低!但是請想想看,假若企業有20%甚至更多的利潤損失,是因為行政電腦遭竊,導致數千筆私密資料外洩,而讓用戶信心大失所造成的話,那麼,這個損害顯然是較前者為大。驗證技術在過去二年,已有長足的進步,並且相信還會繼續下去,而雖然相關軟體也一直在改進當中,但是,此項依然是導致全盤皆輸的根源。再者,眾多解決方案之中所仰仗的政策伺服器也需要不斷地改進,並更加貼近使用者的需求才行!也由於管理費用仍舊過高,使得總體成本增加,不過,此點尚在改善當中。目前時機已到,而各項法規也都紛紛到位!所以,若要透過更好的驗證機制,以提供企業和用戶們有一個更穩固的安全環境,那麼,現在正是時候。結論是,要是今日不採取行動的話,他日必定會面臨到費用與漏洞都升高的窘境。

除了HIPAA與GLBA之外                                  ─Kelley Damore

  多數的企業組織對於HIPAA,GLBA和SOX這些法案都不陌生,但是目前卻有二種更新的法案,促使特定業界標準採取較牢固的鑑別機制。

  就像美國金管會(FFICE)就是由5位聯邦金融管理委員所組成的,並且於去年11月訂定指引守則,內容提及金融機構在線上銀行用戶方面的身分鑑別機制,所要進行佈署強化的安全措施。再者,除了那些遭受到颶風Katrina與Rita侵襲的地區外,其餘銀行在1月之前,就必須遵守這項規定。

  依照FFICE指稱,面對不斷增加的惡意程式和身分竊賊的狀況之下,他們考慮到單一鑑別機制早已不合時宜。所以,相關機構必須針對線上金融,實行更為複雜嚴謹的風險評估,並且也要強化一些驗證方式以降低風險。事實上,許多大型銀行已經為其線上用戶佈署某些形式的身分鑑別機制,另外,規模較小的機構則是交由ASP服務托管。

  在此同時,聯邦機關也務求達到2004年8月頒布的HSPD-12法案所提出的標準,並且機關人員都必須要配有一張單一身分確認卡,以作為實體以及資訊安全存取之用;到時,這張卡必須要能兼具反詐騙和竄改,以及能快速辨認出身分等功能。

  依據安全專家的說法,聯邦機關正努力在11月27日期限前,能達到HSPD-12法案的要求!而美國NIST也在2005年年初,制定出一套管理準則,但後續仍在評估當中。

  技術服務商EDS的身分查核部主管David Troy說,履行HSPD-12法規可是要花上一些時間,但是部份機構,特別是美國國防部,把智慧卡用在識別身分方面,已有相當多的經驗。要是這套管理準則實施順利的話,他期盼未來智慧卡在商業範疇上的應用,將會引起更多人加入。

設備身分認證是建立安全可靠連網的關鍵

  觀察市場上資訊安全解決方案,多為網路資安解決方案。在筆記型電腦尚未普及前尚能有效的防護企業最重要的資訊資產,保護資訊化的投資不被病毒或是外來的惡意入侵;當筆記型電腦成長率在兩年前超越桌上型電腦後,隨著移動知識工作者增加,終端防護(Endpoint Security)成為資安焦點。

  為了確保系統安全,Phoenix台灣、香港暨東南亞區經銷事業處總經理譚展鴻認為必須透過驗證雙方設備的方式,以達到“Trusted Connection”(安全可靠的網路連線)的目的。用戶身分必須是符合規定並得到授權,而以BIOS為基礎的終端設備認證(Device Authentication),可賦予每部機器一個獨一無二且無法竄改的『身分證』,未經企業認證的設備即遭受『斷線』的待遇,可將危機徹底阻擋在外。

  第一階段阻擋掉非認證設備後,譚展鴻認為,IT管理者必須嚴加控管以USB、FireWire等介面與終端連接的所有裝置,以防止企業內部重要的數位資產遭員工洩露。最後,IT管理者必須依照企業內部規範,按不同的安全等級,分別將其安全規則套用至不同的網域、群組、電腦或組織內的使用者,對企業終端嚴格地執行縝密的安全規則,以達到滴水不漏的資安防護。

譚展鴻,Phoenix Technologies台灣香港暨東南亞區經銷事業處總經理


TOM BOWERS擁有CISSP、PMP以及CEH證照;目前擔任Information Security雜誌的技術編輯,同時也是Fortune前一百大藥廠的資安部門主