聊一聊企业内身份验证的安全问题 | FreeBuf甲方群讨论

FB客服

发布于 2021-12-08 17:51:33

1.5K0

发布于 2021-12-08 17:51:33

文章被收录于专栏：FreeBufFreeBuf

自2020年新冠疫情爆发以来，国内外混合办公模式逐步成为主流，针对远程办公的数据保护问题已成为企业面临的主要问题。这其中，强化身份权限的数字验证、数字认证就成为了降低企业风险的最佳手段。Gartner所发布的2021安全行业八大安全和风险趋势，有两项专门对“身份优先安全”进行了解读。

本期话题围绕“身份验证安全”从以下两个问题角度展开讨论。

1.关于企业内统一身份验证的安全风险，目前最大的隐患在哪个环节？ 2.多重身份验证会是解决一切的良药吗？

（本文所有ID已做匿名处理）

1.关于企业内统一身份验证的安全风险，目前最大的隐患在哪个环节？

@无人应答：

为什么执行统一身份验证会出现安全风险？虽然严格意义上来说是存在的，但统一身份验证的目的不是为了规避风险吗？

@萌萌的小叶子

统一身份利大于弊，安全上当然有风险，被打穿就是一把穿的事，Oa系统上用用也就罢了，做安全的巴不得每套有自己独立的认证和账号，既是出了问题也不会波及全部。

@扣脚香菜

平台自身的风险、账号管理风险这些都有可能吧。

@无人应答

统一存在一定的安全隐患，集权系统需要多因素认证。但是统一身份认证可以避免维护多套口令，也避免一定的弱口令风险。

@小强123

认证、授权、审计，三权分立。我觉得统一认证，有的风险就是把认证和授权统一在一个账号上了，如果认证和授权分开，那其实认证即使有再大的风险，没权限也百搭。加点难度来个多因子认证，也就增加认证的难度，唯一的风险在于授权是否包含在统一认证内，最好规避统一认证的风险就是认证和授权分离、授权再分离，总之进大门是一把钥匙，进其他卧室的门还需要钥匙，至于钥匙是啥，可以密码+动态口令、手机验证码、USBkey之类，牛逼点可以再加点什么终端认证接入安全扫描之类的。

@扣脚香菜

所以如果公司做到统一认证+多重认证，公司安全风险会被降低咯。

@无人应答

不是，会将多系统的风险收敛到统一认证系统自己身上。

@扣脚香菜

那这样如果被攻击的话，会出现攻击一个账号导致全部数据被窃取的可能吗。毕竟都在一个平台认证平台上。小风险聚集，感觉收到攻击的可能性更大了，虽然难度上升了很多。

@无人应答

看统一身份认证是如何设计的了，我们当时有做证书管理，所有的数据都是双向加密的，证书绑定到个人设备，要想访问系统，首先得有合法证书过第一道验证，单人单证书。

@小强123

所有安全手段措施都是为了降低风险，而不是消除风险。风险是无处不在的，所以是没有任何办法彻底消灭风险。

@AK小学生

关于企业内统一身份验证最大的隐患，我认为是用户安全意识太过薄弱，系统之间验证时处理不得当，比如明文传密或者存密等。

@Sam姆大叔

统一身份验证好处是一次登录，可以拿到所有系统权限，但是前提建立在认证机制本身的风险上。增强SSO的认证机制，可以增强公司所有体系在认证这一环的安全性，我觉得是瑕不掩瑜，不然每个系统一套认证体系，安全性参差不齐，用户本身意识上的不足更致命。

@老姜

统一内部的身份验证配合多因素登入，我个人认为是没有问题的，但是在实际操作中会碰到各种问题，最大的问题是人为因素，例如权限最小化，敏感操作授权怎么在实际落地，尤其是在一些比较传统的企业，这种问题尤其是在一些高层领导上尤为严重，还有就是统一认证不是孤立的，同时建设还需要配合SDP、环境感知、终端管理等才能发挥最大效果，单一的认证只会因为人为因素放大权限，导致一旦出现攻破的情况问题最大化。