安讯奔whitepaper-开发身份认证策略gartner

22的4新5对 案例研究:为东盟最强大、最 来自Gartner的文件HowtoChooseNewUserAuthentication 在上一篇通讯“为企业、云和移动设备提供简捷的、性的和一次 登录（SSO）的概览，也了为什么企业应该对SSO解决方案进行业都至关重要。在的商业环境下，SSO能帮助企业提高生产力，说，使用SSO能为企业带来的益

然而，似乎仍不能摆脱困扰。如果单一凭证损害，则者便能支配所有可的资源。需要问问自己，容易的通用而简单的，是否在SSO世界提供了足够多年以来，认证机制受到追捧的环2011年人类生18,000亿GBIBM公司说，每天会产生2200000TB的数据。“预计在的将来，将会有万亿新设备连接到互联网，这样而来，到2020年，数字数据会是如今的44倍”2可能很轻易地凭证管理系统环境发展迅猛。在过去的一年可能很轻易地凭证管理系统机构到各大网络公司和品牌都了经验数据和盗用的问题。作为鉴别码的用户名加组合不再起作用。过去一年里，数据库使得数千万的记录损坏。尽管安全措施和防护技术不断进步，仍然存在不少的安全。据网络犯罪中心（IC3）提供的数据，由 导致的总损失多达525,441,110.003。得知这个

，Adobe发布了一 ：“290万Adobe客户的其他与客户订单相关的信息”4 和/或雇员的用户ID和。凭借窃1公司（FuturesCompany），隐私，从数据到人，20122DMH斯托拉德（DMHStallard），保护好数据-保护好企业，2012年63IC3，《2012年网络中心报告》，2013年54 /conversations/2013/10/mportant-customer-security-为SSO解决方案评估当前环境和影响因Verizon《2013年数据丢失报告》显示，因招致损失的现象在全球各地的各个领域都有发生，但在金融机构和大型企业发生的概率更高。

也是从这一份报告中，看到，76％andrestaurants(-)transportation,andutilities(+)ofnetworkintrusionshitinformationandprofessionalservicesfirms(+)ofbreachesimpactedlargeranizations

ofnetworkintrusionsexploitedweakorstolencredentials(-)involvedphysicalattacksleveragedsocialtactics料来年据丢失告》，谁受害者？

资料来源：Verizon，《2013年数据丢失报告》，是10％新智能（增长12％）和平板电（18％）的全球销量将继续显著增长，占整个IT市场增长的60％以上安全部和司法部的联合非备忘录中得知，高达79％机 近几个月以来，安卓用户 注Android主密钥3。它使得始应用程序的签名，即可在第市场重新发布。 中间人攻击（MitMa）号称为银行移动应用程对双因素认证系统的的，如中间人（MitMa），浏览器中间人（MitB），移动中间人（MitMO）等。因此，非常在这种之下传统的哈希被用来保护的密码。但随着经济实惠的显示卡的出现，一个500的GPU（图形处理单元）就可以用来每秒钟数千万的哈希。这增加了那些可以数据库的 或蛮力的

自带设备越来越多的人通过智能、平板电脑和笔记本电脑来公司网络和数据，这也给IT安全带来了全新 。企业开始为BYOD实施安全策略。研究公司J.Gold 称，目前约有25％到35％的企业采用了BYOD政策，而且他们预计，在未来两年4，比例将超过50％。现在，消费者和员工有着持续不断的联系。结果，大量公司敏感的数据，如企业邮箱、库、企业介绍和商务计划等，都随着自带设备并工作的员工越来云的IT服务的使用不断扩展，应用程1 /sites/gilpress/2013/12/03/idc-top-10-technology-predictions-for- /DHS-FBI- /threat-of-the-month-android-master-key-vulnerabil4/tip/Moble-device-strategy-bypassed-as-enterprises-face-tablet-对认证的影因此，了解到，可以企业网用程序的日益普及，如网上银行，迫份认证。其中，一个是安全的频发，它了用户、个人信阻碍基于传统PKI令牌的配置。随着智能的使用，越来越多的人偏向把移动作为认证设备，因为它能根据不同的风险级别，组织提供着不同类型的服务。接入信道可以是IVR、基于台式机的接入、移动接入、ATM，Kiosk或Branch。配置的认证机制应该与服务的风险级别相称。同时，不同类型的用户应该有不同的使用模式（接入装置、频率、角

增强的方法已经从传统的令牌到USB设备到智能卡到识别器、令牌和扫描设备不断演变。基于行为模式和设备模式分析的上下文认证已经越来越重要，而且越来越多的厂商都为此提供了用户认证产品。此外，为确保提供更好的用户体验，越来越多的企业引进了生物识别技术，包括形态因素，如打字节奏、语音识说，总拥有成本（TCO）是一个更重鉴于上述趋势和，IT架构师

当企业寻求新的、有适当风险的用户认证方法时，有一点需要注意，即单认证方法并不太适合所有的用例。在重新制定时，大多数企业倾向于依靠单一的用例作出决策。Gartner的 不单方生下现在已经了解了环境及其对多因素认证需要如下两个或多个因ATMOTP你是什么：生物识别特征，如指 文认证，基于对可能只需1级认证（简单口令），而2级认证（ 或智能卡）。生物识别技术。Gartner的，“虽然目前通过智能或平板电脑企业网络或高价值的网络应用程序使用生物识别认证的用户还不到5％，但是到5年，这个比例将达到0。

或增加不必要的TOC，并使用户安讯奔的AccessMatrix™通用认证服务器（UAS）使企业能够通过建立UAS是一个通用的，且不会过时通过式认证模块（PAMUAS支持多种认证方法，而且容易添加新的方法以满足不同的认证机制。企业还可以通过认证工作流程，两个或以上的认证方法，以满足强认证和的要求AccessMatrix™通用AccessMatrix™通用认证减少成本，因为使用通用可扩展认证和令牌管理解简化集成和部署工作，因为已有的PAM模块，可轻松与现有的LDAP，AD和JDBC实施灵活和动态的认证工作流程，以处理复杂的认证需基于标准的通用认证解决方案的PAM框架，可以满足未来认证选项的需要。可增加新的认证方法到此解决方案，同时，也会把因此导致的对现有强认证部署的影响提供可高度扩展且公开可靠的平台，以支持需求，如自动故障转移、水平和垂直缩放、和全天候的运维要凭借的专利技术-基于分层模式的安全管理和框架，UAS允双因素认证通常结合静态和其他从输入点（浏览器）到比较点（FIPS认证的HSM），UAS为端到端加密静态提供了一个模块，这可确保企业无人 法 法??

OTP

IBMCASiteMinderIDANAFOasisSAMLHPAccessMatrixUASUAS-端到端加密模用户凭证（PinMailerATMPIN码，基于ISO9564UAS-OTP令牌认证和生命周期管理模Vasco令牌SafeNet RSA令牌OATHUAS-YESsafe令YESsafe令牌为认证（同步和响应）、、签名认证和主机UAS-生物识别认证与管理模UAS-适用于企业认证模块的双因素认使用GINA和CP、终端服务器和Citrix的Windows 和Unix登录MSOutlook网络UAS程序集成的UAS-适用于第网络SSO产品的双因素集UASHSM集成用于保护凭证的HSM密钥管理HSM的OTP认新一代的通用认证服新一代的通用认证服务FIPS认证的WEB浏览 应用系AWEB服AWEB服务Radius协用 .NET用 策略外案例研究-为东盟最强大、最的银行提供的端 金融管理局（MAS）及金融管理局（HKMA）所规定的安全准则的要对客户PIN的端到端保护-必须件安全模块）对加密的PIN进结合（OTP）VASCO令牌和OTP的强身-这也是基于企业的安全安讯奔的集中安全管理方法在整个项目中都得以应用，以协助银行实施和配置AccessMatrix™通用认证服务器（UAS）的端到端加密认证（E2EEA）、VASCO令牌管理模块和OTP模块，从而为银行实现认证和管理要求提供认证和管理平台，以遵守针对网上银行的银行管理制度。AccessMatrix™通用认证服务器的端到端加密认证（AccessMatrix™UAS2EEAPpinn和pnlrprintng整套解决方案。通过UAS客户端的加密库，在端点（PC或移动设备）对Pin进行加密，并保持加密状态，直到HSM的比较点。这可确保银行无人有权。

AccessMatrix通用认证服VASCO（AccessMatrix™UASVASCOTokenManagementModule）还提供了与银行现有的动态锁OTP服务器的VASCO令牌管理模块还利用由VASCO的DigiPass令牌提供 （出厂初始化或自动初始化为用户提供可定制的自助服务界安讯奔的AccessMatrix™通用认证如今，世界各国之间的联系日渐紧 信系统不断推动着技术进 和文化变迁。这种互联导致风险的多样化。如果企业不认证评估自己的风险，并确定和实施合适的认证，那么，他们终将继续处于劣

安讯奔的AccessMatrix™通用认证服务器（UAS）是一个具备高扩展性风险而言。AccessMatrix™UAS有ResearchfromHowtoChooseNewUserAuthenticationEnterprisesareseekingnew,risk-appropriateuserauthenticationmethods,butasinglemethodisrarelyappropriateforallusecases.AnIAMleaderorsecurityarchitectwilllikelyneedtochooseasetofvariousmethodstomeetalltheneedsoftheenterprise.KeyMostauthenticationbuyingdecisionsaretacticalandfocusonasingleusecase.IAMleadersandsecurityarchitectsareputtinggreaterweightontotalcostofownership(TCO)anduserexperience(UX).Eachusecasehasdierentneedsandconstraints.Thus,asingleauthenticationwithintheenterprise.Theadoptionofmobilecomputingismidtermtolongterm.

unnecessarycostandcomplexityReuseofanincumbentmethodinnewusecaseswhereitmaybealess-than-goodt,unacceptablyreducingsecurityorunnecessarilyincreasingTCOandoverburdeningusersHowcanenterprisesoptimizetheirchoiceofauthenticationmethodsandhowthey’reimplementedacrossmultipleusecases?Thisresearchoutlinesadecisionframeworkthatidentityandaccessmanagement(IAM)leaders,securityarchitectsandotherpractitionerscanuseacrossarangeofusecases,providingabasisforvendorandproductselection.Elementsoftheframework sobeToreviewincumbentForsingleusecasesinaswellasauthenticationstrength,whenevaluatingnewauthenticationineachusecase.Don’tneglectregulatorycomplianceconstraintsandadjacentsecurityDeneanoptimalsetofauthenticationinthesimplestway,butwithminimum

applicationstoidentifywhiethodintheoptimalsetismostappropriate(orwhetheranewmethodisneeded)otherIAMfunctions.Condenceortrustinaclaimeddigitalidentityiscrucialtoauthorization(forexample,segregationofduties)and ligence(forexample,Awidevarietyofauthenticationmethodsos.Identifyappropriatewaysofimplementingavailable(seeNote2and“ATaxonomyStrategicPlanningBy2015,30%ofusersaccessingcorporatesmartphonesortabletswillusebiometricandfocusonasingleusecase.Asusecaseshavedierentneedsandconstraints,asingleauthenticationmethodisrarelythebesttformultipleusecaseswithintheenterprise.Thiscanhavetwoconsequences:

AuthenticationMethods,GoodauthenticationchoicesarecharacterizedRisk-appropriateauthenticationLow(justiableandaordable)Good(acceptableminimum)OverviewofGartner’sFrameworkforChoosingNewAuthenticationlevelstructure:Identifyallcurrentandlikelyfutureusewilluse.DeterminehowyouwillimplementNotethatthisisnotasimplelinearprocess.Dependingontheusecasesconsideredandthechoicesthatemergefromthem,thetwo

depictedinFigure1(“Whatmethodswillyouuse?”and“Howwillyouimplementthem?”)maynotbeindependent,andeachcaninuenceorconstraintheother.SomeiterationwilllikelybeIdentifyUse,enumeratethedierentusecasesforauthentication.Note3outlinesasetofusecasesthatweuseinotherGartnerresearchthatmightbeabletoidentifyothersaswell.Moreimportantthanthislistaretheusecases(seeFigure2).FIGURE1Gartner’sFrameworkforChoosingNewAuthenticationwillyouuse?HowwillyouofFIGURE2IdentifyingUse Source:Gartner(MarchWhoAretheUsers?HowDoTheyInuenceandConstrainYourChoices?ConsidertheseRelationshiporconstituency,whichindicatesacceptableconstraintson(mis)behavior.Whileyourworkforceisboundtousetheauthenticationmethodyouimpose,yourcustomers(oranyuserswithanelectiverelationship)don’thaveto.PoorUXhasimpactoncustomerretention3Presence,whichimpactsregistration/enrolmentandcredentialing/provisioning.usersareaparticularconcern.TCO.Pricingfordierentmethodsscalesdierently.Otherrelationships, ightinusers’attitudestowarddierentInuenceandConstrainYourConsidertheseThevarietyofformfactorsandOSsthatwillbeused.Theremaybetechnicalrestrictionsonwhatmethodscaneasilybeusedwithdieracrossdierentendpoint6s.

Ownership.Methodsthatrequiresoftwareorconnectedhardwarecomponentsmightnotbeacceptabletouser/ownersorthirdparties(suchasbusinesspartners).Evenifdevicescanbeproblematic.WhereIsAccessFrom?HowDoesThisInuenceandConstrainYourChoices?ConsidertheseLocalorremoteaccess.Forlocalaccess,theremaybecontrolledphysicalaccesstothestrengt7remoteaccesscanbeproblematicforsomeauthenticationmethod8s.Mobility.Thatis,dousersgetaccessfromthesamelocation,ordotheymovebetweenlocalandremo ocationsoramongdierent ocations?Iftheansweristhelatter,locations.Thiscanbeaparticularchallengeforoutofband(OOB)authenticationmethods,dependingonvendorsupportandlocalmobilenetworkoperators.Signalstrength.Thisvariesaccordingtomobilenetworkcoverageandauser’slocationwithinAlloweddevices.Restrictionsontakingphonesintocertainlocations,forsecurityreasonsorbecauseofpotentialinterferencewithsensitiveequipment(forexample,hospitals),canprecludephone-as-a-tokenauthenticationmethods.WhatIsBeingAccessed?HowDoesThisConsidertheseThevalueorcriticalityofanassetisaleadingindicatorofrisk1.0Thesensitivityofanassetmaydemandhighaccountability(ratherthanjusthighTheplatformmayconstrainthechoiceofintegrationoptions.WhatOtherDemandsandNeedsMight

ConsidertheseLawsandregulations,whiayAuditorndings,whiaydemandtwo-laworregulationdoesn’1t1forencryption,digitalsignatureortransactionverication,whiightexploitthesameunderlyingmechanismasacandidateauthenticationmethod(ordesire)forcommonaccesscards.DetermineNeedsandIdentifyCandidateMethodsFigure3illustratesthescopeofthersttwostepsinthisleg.willyouuse?LevelofEndpointFIGURE4DeterminingLevelofrisk velofassuran UpperlimitUserwantsand LowerlimitVarietyofendpoin dpoiNeedforndencentindepeSource:Gartner(MarchDetermineFigure4illustratesthekeydrivers(thecharacteristicsofeachusecase)andhowtheyinuenceneeds.Thelevelofriskimposesalowerlimitonlevelsofassuranceandaccountability.Determiningthelevelofriskineachcaseisbeyondthescopeofthisresearch“WhyYouNeedaRiskonTCO.endpointindependence.Thelevelofriskanduserwantsandinuencestheavailablebudget(andthustheupperlimitonTCO).

UserwantsandneedsdependinpartonthelowerlimitonUX).andaccountability.Sinceuserbehaviorvulnerabilitiesthaterodeauthenticationstrength,aneedforstrongerauthenticationdrivesgoodUX.TheupperlimitonTCO.AsamethodwithapoorUXwilllikelyhavehighertrainingandIdentifyCandidateEvaluateauthenticationstrength.Itmaybeofdierentauthenticationmethods,suchasNISTSP800-63-1(“ElectronicAuthenticationGuideline”).However,theserankingsarenotexhaustiveintherangeofmethodstheycover,noristherationalefortherankingsalwaystransparent.A“rstprinciples”approachispresentedin“GartnerAuthenticationMethodEvaluationScorecards,2011:AssuranceandInbrief,thisTowhatdegreearetheauthenticationtotheuser?Howhardisitforanattackertoposeasalegitimateuser(amasqueradeattack)?HowhardisitfortheusertowillinglyHowdopeople,processesandcompensatingcontrolsfacilitateormitigateanattack?brief,thisconsiders:Authenticationinfrastructurecomponents:Hardware,softwareandIToperations:Implementation,support,identityadministrationandlogisticssystemcomponentsEnd-userandendpointEndusers:Trainingand

EvaluateUX.Oneapproachisexplainedin“GartnerAuthenticationMethodEvaluationScorecards,2011:UserExperience.”Inbrief,thisconsiders:arerelevanttobiometricandcontextualReviewendpointindependence.acrossmultiple(kindsof)endpoints?strengthamongdierent(kindsof)AretheredierencesinUXamongdierent(kindsof)endpoints?ChoosetheOptimalSetofAfteridentifyingasuitablemethod(orasetofsuitablealternatives)foreachofseveralofmethodsfromthislargersetofcandidatemethods,asillustratedinFigure5.FIGURE5ChoosingtheOptimalSetofWhatmethodswillyouuse?Amanageablesetofmethodswiththefewestandleasttrade-offsofThisisapotentiallycomplexexerciseincombinatorialoptimization(essentiallyacompromisesinauthenticationstrengthorNotethatTCOisalsodependentonhowyouwillimplementtheoptimalsetofmethods.Inparticular,havingasingleinfrastructurethatcansupportdierentmethodsacrossmultipleusecasesislikelylessexpensivethanhavingmultipleparallelinfrastructures.Thus,thereare“Howwillyouimplementthem?”leg,especiallyChooseAuthenticationInfrastructureOption(s).Thesizeoftheoptimalsetwilldependonthethreeisusuallyareasonableformanyanizations;morethanvewilllikely unmanageable.Acommoninfrastructureformultiplemethodsmakesthingsmorechoosemoremethods.

IdentifyIntegrationFigure6illustratestherstpartofthe“Howwillyouimplementthem?”leg.ConsiderwhichoptionsaretechnicallyfeasiblefortherangeofsystemsineachuseNativesupportinthesystem(platformorapplication).Forexample,Windowsnativelysupports“interactivesmartcardlogin”(thatis,X.509tokens).Nativesupportinadirectory(suchasActiveDirectory)oranaccessmanagementtooltool),whichcanbeintegratedwiththesysteminastandardway—forexample,usingLDAP/PADL,KerberosorSAML.Directintegrationintothesystemusingavendor’stoolkitorAPIs.Thisisafairlycommonapproachinbankingapplications.Adiscreteauthenticationinfrastructure.Thesetypicallysupportstandardprotocols(suchasRADIUS,LDAPandSAML)aswellasprovidingagents,toolkitsorAPIsforusewheresystemsdon’tthemselvessupportanyFIGURE6IdentifyingIntegration HowwillUse implementNativesupportin Nativesupportplatformor indirectoryoraccess managementIntegrationinto platformor usingvendor's Source:Gartner(MarchUse HowwillimplementPoint VersatileauthenticationserverorserviceChooseAuthenticationInfrastructureWhereadiscreteauthenticationinfrastructureisindicated,thechoiceisbetweenthetwooptionsillustratedinFigure7.infrastructurethatsupportsjusttheintegratedunderanOEMagreement.Aversatileauthenticationserverorservice(VAS)supportsnotjustthevendor’sownmethods,butalsostandards-basedmethods(forexample,InitiativeforOpenAuthentication[OATH]-compliantone-timepasswords[OTPs]andX.509),andveryoftenhasanextensiblearchitecturetoallowcustomerstoeasilyintegrate“any”third-partyproprietarymethods.Apointsolutionmightsupportaswidearangeofout-of-the-boxauthenticationandlocks-inthecustomer.Forexample,futuretranchesofOTPtokensmustbeboughtfromthesamevendor.

/r/