微软决定自 2022 年 10 月 1 日起,在全球范围内对使用 Exchange Online 的用户逐步关闭基本身份验证,将关闭以下协议的基本身份验证:Exchange ActiveSync (EAS), POP, IMAP, Remote PowerShell, Exchange Web Services (EWS), Offline Address Book (OAB), Outlook for Windows/Mac。(对尚未使用 SMTP AUTH 的租户,SMTP AUTH 也将被关闭)。
此外,使用由世纪互联运营的 Office 365 服务的租户将于 2023 年 3 月 31 日起全面关闭基本身份验证,在此之后,用户无法以任何形式访问账户,除非特殊申请。
01
基本身份验证的弊端
微软将任何不支持 MFA 的 Microsoft 365 进行身份验证的方式称为“基本身份验证”, 启用旧式身份验证的账户更容易受到安全因素影响,因为账号安全性依赖于用户定义的密码强度。
基本身份验证是一种基于 HTTP 的身份验证方案,由应用程序向服务器、服务或 API 节点发起每个连接请求时,都会同时发送用户名和密码,并将这些凭据保存在设备上,这种身份验证很容易让不法分子窃取用户凭据,并且还易受到密码喷涂攻击。在 2021 年 7月,微软威胁情报中心和数字安全部门的研究员发现了一个恶意活动集群,DEV-0343,正在对美国和以色列国防技术公司的 Office 365 用户发起大范围的密码喷涂攻击。微软解释说:“他们不是针对一个用户尝试多个密码,而是通过尝试多个用户针对一个密码尝试破解锁定和检测。”
更糟糕的是,在使用基本身份验证时,启用多重身份验证(MFA)非常复杂,而且通常根本不适用。
微软表示,关闭基本身份验证应该通过防止攻击者破坏用户帐户来帮助提高其 Exchange Online 服务的安全性。“提醒一下,Basic Auth 仍然是我们的客户受到损害的最常见方式之一,这些类型的攻击正在增加。我们已经在数百万个未使用它的租户中禁用了基本身份验证,目前正在仍然使用它的租户中禁用未使用的协议,但是每天你的租户都启用了基本身份验证,你都有受到攻击的风险” Exchange 团队解释说。
2021年,在全球范围内,每天有30,000 个网站被黑客入侵;全球 64% 的公司至少经历过一种形式的网络攻击;每 39 秒,某个程序就会发生一次新的攻击。
根据《信息安全与通信保密杂志社》报道,传统身份认证存由于技术缺乏在用户客户端平台硬件启动阶段对客户端进行身份认证,存在非授权客户端平台接入网络的现象,为用户网络带来潜在威胁传统的身份认证技术依赖于操作系统,采用数字证书的软件认证方式,容易受到病毒、木马、身份仿冒等恶意攻击,且存在被旁路绕过的风险。
由此可见,传统身份认证已经无法应对日益严峻的旁路攻击、木马/病毒攻击、无权限的客户端非法接入等问题,“新式身份验证”方兴未艾,可提供更安全的用户身份验证和授权。
02
新式身份验证的兴起
新式身份验证是客户端(例如,您的便携式计算机或手机)与服务器之间的身份验证和授权方法的组合,以及依赖于您可能已经熟悉的访问策略的一些安全措施,旨在摆脱传统的用户名\密码方法,而是依赖于基于令牌的声明,包括:
身份验证方法:自适应多因素认证(MFA);智能卡认证;基于客户端证书的身份验证
授权方式:微软的开放式授权(OAuth)的实现
条件访问策略:移动应用程序管理(MAM)和 Azure Active Directory(Azure AD)条件访问
虽然用户仍需要提供用户名和密码,但它仅仅用于向身份提供程序进行身份验证,生成用于访问的令牌。此令牌以更具体的信息(声明的形式),指定请求者执行的操作和无权访问的内容,过期可吊销,基于“从不信任,始终验证”原则管理用户访问权限。
例如,如果一个非财务部的员工访问公司财务帐户,系统会启用验证应用程序或短信检索代码,这位员工需要将该代码输入到界面中,才能访问帐户。看似简单的一步附件因素,却可以有效降低账户信息泄露威胁。在大多数情况下,这个简单的附加“因素”可以防止您的帐户凭据已泄露的尝试安全威胁。
MFA 也可以更复杂,结合指纹,掌纹或语音识别等生物识别技术。无论采用哪种类型的 MFA,它都是向用户帐户添加重要保护层的有效方法。
更为值得一提的是,据报道,**使用现代身份验证可降低企业安全威胁的比率在金融、科技、零售、制造业等 16 个领域均超过 95%**,排名前五位的分别是科技领域(99.6%)、政府领域(99%)、教育(98.5%)、批发贸易(98.3%)、房地产、出租与租赁(98.2%)。
思科顾问首席信息安全官、俄亥俄州立大学前首席信息安全官海伦·巴顿(Helen Patton)表示,“商品化的网络威胁,特别是勒索软件集团,加上远程工作的急剧增加,使 MFA 需求增大。不断变化的技术,我们必须应对的威胁行为者的变化,我们管理支付方式的变化 - 所有这些都导致我们需要更好,更普遍地使用 MFA。使用 MFA 后,消费者和员工经常将接收带有一次性密码(OTP)的短信或电子邮件的额外步骤视为登录过程的繁琐且不必要的步骤。”
03
Authing 多因素认证的优势
通过对数据安全监管等技术的研究,Authing 提升了针对违法数据流动等安全隐患的监测发现与处理能力,采用全局 MFA 提升整体的安全性。Authing 多因素认证 赋能 Authing 应用,即刻提升应用认证与访问安全等级。Authing 可提供包括手机令牌、短信/邮箱验证码、兼容第三方身份验证器、生物识别、图形锁、小程序认证等多种认证方式,提高企业身份安全性。
Authing 国内首款以开发者为中心的全场景身份云产品,集成了所有主流身份认证协议,致力于帮助企业和开发者提供完善安全的用户认证和访问管理服务。凭借安全、完善、易用的用户认证和管理平台,Authing 已帮助全球 20000+ 企业和开发者构建标准化的用户身份体系,每月支持近亿用户安全登录数万系统,成为新一代身份基础设施。
2022 年 4 月 28 日,Authing 顺利通过 ISO/IEC 20000-1 服务管理体系(ITSMS)和信息安全管理体系认证,从专业和权威层面验证和肯定了 Authing 的安全管理等级已达到国际领先水平。
Authing 以共同的安全责任模型为客户统一提供具有保密性、完整性和可用性的服务,采用自适应多因素认证技术,在用户进行认证流程时,「自适应」多因素认证对当前登录的用户生成的多种 「关键要素」。可集中配置多种密码以外的认证因子,包括动态令牌、证书、人脸、指纹等生物特征;也可集成多种常见第三方认证源。同时,提供开发者 API,支持其他应用使用 IDaaS 的身份认证能力。
应用场景
随着移动办公、远程办公的普及,如何在有限资源的条件下,确保产业链各类角色成员都能高效的访问各类应用系统及办公资源,是 IT 管理部门的重要任务。
在整个过程中,经常面临如下挑战:
1.更多变的工作场所。销售、商务人员经常要全国各地拜访客户,进行异地登录、切换设备,在这个过程中,一旦设备丢失、维修,对系统安全性造成了极大挑战。
2.更强的安全性需求。根据美国最大通信运营商威瑞森最近发布的《2021 年数据泄露调查报告》:85% 的数据泄露涉及人的因素;61% 的数据泄露牵涉登录凭证。降低风险对企业至关重要,一旦客户和用户数据信息泄露,将会失去客户信任,对企业品牌和声誉造成不可估量的损失。
3.更便捷的登录需求。安全性的增加,也造成了一定程度上身份验证的繁琐,系统多的公司,员工甚至要记录数十个不同账号和密码,如果忘记了密码,还得找 IT 部门重设,极大地影响了工作效率。
在多因素身份验证提供多层保护的情况下,Authing 自适应多因素身份认证会评估企业用户在请求访问时呈现的风险,查看用户设备和位置等详细信息以了解上下文,保障身份互联、数据互通等能力,让业务流转加速,提升企业整体效率,实现数据、身份、业务的闭环,以「身份中台」为底座,通过「零信任」安全架构,加速企业数字化转型进程。
MFA 提高了安全性,即使一个凭据遭到入侵,未经授权的用户也无法满足第二个身份验证要求,并且也无法访问目标用户的身份空间、计算设备、网络或数据库。
已在企业中实施自适应多因素认证的用户还可以通过单点登录(SSO)继续加强身份验证和授权,单点登录(SSO)允许用户对多个服务使用一组凭据,用户只需输入一套账号密码,即可登录所有业务系统,无需在多应用之间频繁切换,以此保证企业员工在任何地方、任何地点、任何计算机上无缝访问多个应用程序,提高了员工和 IT 的生产力,优化了用户体验。
单点登录(SSO)可以帮助降低员工因需要输入多个账号和密码带来的沮丧情绪,而自适应多因素认证 MFA 允许他们在登录严格权限的程序或网络之前验证用户身份,二者结合使用,保证了企业和员工信息的安全性,提高了客户信任度,降低了运营成本。
MFA 验证至少混合了两个单独的因素。一方面,是你的用户名和密码,即你的信息。另一方面,是你的物理信息,即你的指纹、人脸等人体特征,即你是谁。Authing 自适应多因素身份认证主要包括以下几种认证方式:
1. 手机令牌
通过安全性强的动态 OTP 口令验证,帮助保护账户安全,避免恶意攻击。
2. 短信/邮箱验证码
操作简单
方便快捷
提高登录安全性
3. 兼容第三方身份验证器
兼容第三方身份验证器,包括但不限于:
Google Authenticator
Microsoft Authenticator
Authy
4. 生物识别
指纹/人脸作为人体特征的关键因素,在安全认证领域被广泛应用。
5. 小程序认证
将 Authing 移动令牌验证器集成至微信小程序,免去安装 APP 的流程,快捷使用移动端验证器。
客户案例
某国高科技企业内部使用了多套系统,且各个账号体系对于密码的安全等级需求也不一致,导致员工在不同系统切换时,需要多次进行身份验证,如果验证不成功,还得找 IT 部门更换密码,造成体验不佳,极大地影响了工作效率。
Authing 为其提供了两种解决方案。
一方面,Authing 提供了统一权限管理、员工全生命周期管理等能力,提高了企业管理团队工作效率。另一方面,Authing 提供了自定义密码强度及轮换、自定义加密等级等基于低代码和 Serverless 能力,符合了安全性与合规性要求。
04
未来规划
Authing 安全产品负责人汪智勇表示,在未来,Authing 会提供更加灵活、智能的 MFA 服务产品,可以独立嵌入到应用之中,并且会不断扩展 MFA 的支持场景,例如 ADFS、RSA 等等。同时在现有的自适应 MFA 基础上,能够提供更加灵活、细腻度的验证策略配置,可以基于用户的设备、网络环境、时间、行为特征、历史习惯等等因素设置多因素认证策略,充分适配不同企业对于用户体验与访问安全的平衡偏好。