차례:
비디오: [ë¤ìë³´ë 맥ìë]ì¤í°ë¸ì¡ì¤ ì(å¼) í리ì í ì´ì ìê³ëª (십월 2024)
신원 관리 (IDM) 시스템을 사용중인 사람을 증명할 때 최근 로그인 할 때 코드를 휴대 전화로 보내는 프롬프트와 같이 사용자 ID 및 비밀번호 외에 추가 단계가 더 필요하다는 것을 알았을 것입니다 일반적으로 사용하는 기기 이외의 기기에서 Gmail, Twitter 또는 은행 계좌로 신원을 증명하기 위해 정보를 입력해야 할 수도 있기 때문에 첫 애완 동물의 이름이나 어머니가 태어난 곳을 잊지 마십시오. 암호와 함께 필요한 이러한 데이터는 MFA (Multifactor Authentication)의 한 형태입니다.
MFA는 새로운 것이 아닙니다. 그것은 물리적 기술로 시작되었습니다. 스마트 카드와 USB 동글은 올바른 암호를 입력 한 후에 컴퓨터 나 소프트웨어 서비스에 로그인해야하는 장치의 두 가지 예입니다. 그러나 MFA는 모바일 푸시 알림과 같은 다른 식별자를 포함하도록이 로그인 프로세스를 빠르게 발전시켜 왔습니다.
Centrify Identity Service의 Centrify Corp. 사장 인 Tim Steinkopf는 "기업들이 하드웨어 토큰을 배포해야했던 시절은 지났고 사용자들은 60 초마다 회전하는 6 자리 코드로 입력하는 것에 좌절했습니다. "비싸고 사용자 경험이 좋지 않았습니다. 이제 MFA는 휴대 전화로 푸시 알림을받는 것만 큼 간단합니다." 그러나 Steinkopf에 따르면 SMS (Short Message Service)를 통해받는 코드조차도 눈살을 찌푸리고 있습니다.
"SMS는 더 이상 MFA 코드를 가로 챌 수있는 안전한 전송 방법이 아닙니다." "매우 민감한 리소스의 경우 이제 회사는 새로운 FIDO (Fast IDentity Online) Alliance 표준을 따르는 훨씬 안전한 암호화 토큰을 고려해야합니다." 암호화 토큰 외에도 FIDO2 표준은 W3C (World Wide Web Consortium)의 웹 인증 사양과 CTAP (Client to Authenticator Protocol)를 통합합니다. FIDO2 표준은 얼굴 인식, 지문 스 와이프 및 홍채 스캔과 같은 내장형 생체 인식을 사용하여 사용자 제스처를 지원합니다.
MFA를 사용하려면 스마트 폰과 같은 장치의 암호와 질문을 혼합하거나 지문과 얼굴 인식을 사용해야합니다. Okta Identity Management의 제조사 인 Okta의 보안 제품 마케팅 관리 이사 인 Joe Diamond는 설명했습니다.
다이아몬드는“많은 기업들이 SMS 기반의 일회용 비밀번호와 관련된 보안 위험을 MFA 요소로 인식하고있다. 악의적 인 행위자가 'SIM 스왑'을하고 휴대 전화 번호를 인계하는 것은 매우 사소한 일”이라고 말했다. "그러한 표적 공격의 위험이있는 사용자는 장치와 서비스 사이에 암호화 핸드 셰이크를 생성하는 생체 인식 요소 또는 하드 토큰과 같은 더 강력한 두 번째 요소를 구현해야합니다."
때로는 MFA가 완벽하지 않습니다. 11 월 27 일, Microsoft Azure는 DNS (Domain Name System) 오류로 인해 MFA와 관련된 중단으로 인해 사용자가 Active Directory와 같은 서비스에 로그인하려고 할 때 많은 요청이 실패했습니다.
크레딧: FIDO Alliance
모바일 푸시 알림
전문가들은 모바일 푸시 알림이 보안과 유용성의 효과적인 조합을 가지고 있기 때문에 보안 "인자"의 최상의 옵션으로보고 있습니다. 응용 프로그램은 서비스가 사용자를 로그인하거나 데이터를 보내려고한다는 것을 사용자에게 알리는 메시지를 사용자의 전화로 보냅니다.
"네트워크에 로그인 한 상태에서 비밀번호 만 입력하지 않고 예 또는 아니요라고 표시된 곳으로 기기에 푸시되어이 기기를 인증하려고합니다. 예라고 대답하면 액세스 권한을 부여합니다 모바일 인증 앱인 Duo Push를 제공하는 Cisco Duo 보안 비즈니스의 CISO (Global Advisory CIO) 최고 책임자 인 Dave Lewis는 이렇게 설명했습니다. MFA를 제공하는 다른 제품으로는 Yubico YubiKey 5 NFC 및 Ping Identity PingOne이 있습니다.
모바일 푸시 알림에는 SMS를 통해 전송 된 일회용 비밀번호가 없습니다. 이러한 비밀번호는 상당히 쉽게 해킹 될 수 있기 때문입니다. MFA 솔루션 제공 업체 Silverfort의 공동 창립자이자 CEO 인 Hed Kovetz에 따르면이 암호화 기능으로 알림이 효과적이라고합니다.
"단 한 번의 클릭으로 완전히 다른 장치이기 때문에 보안이 매우 강력합니다"라고 그는 말했습니다. "앱이 손상된 경우 앱을 변경할 수 있으며 최신 프로토콜로 완전히 암호화되어 인증됩니다. 예를 들어 SMS와는 다릅니다. 예를 들어 표준은 약하고 SS7 (Signaling System 7) 공격으로 쉽게 위반되므로 쉽게 손상됩니다. SMS에 대한 모든 다른 공격."
MFA, 제로 트러스트 통합
MFA는 네트워크 사용자가 합법적인지 확인할 때까지 네트워크 사용자를 신뢰하지 않는 Zero Trust 모델의 핵심 부분입니다. Steinkopf는 "MFA를 적용하는 것은 사용자가 실제로 자신이 누구인지 확인하는 데 필요한 단계입니다.
Okta 's Diamond는 "MFA는 액세스를 부여하기 전에 먼저 사용자 신뢰를 설정해야하기 때문에 모든 조직의 Zero Trust 성숙도 모델에서 중요한 역할을합니다."라고 덧붙였습니다. "또한 모든 리소스에서 중앙 집중식 아이덴티티 전략과 결합하여 MFA 정책을 액세스 정책과 결합하여 올바른 사용자가 가능한 한 적은 마찰로 올바른 리소스에 올바르게 액세스 할 수 있도록해야합니다."
크레딧: FIDO Alliance
비밀번호가 교체됩니까?
많은 사람들이 암호를 버릴 준비가되지 않았을 수도 있지만 사용자가 계속 암호를 사용하려면 암호를 보호해야합니다. 실제로 Verizon의 2017 데이터 유출 보고서에 따르면 데이터 유출의 81 %가 도난당한 비밀번호로 인한 것으로 나타났습니다. 이러한 종류의 통계는 시스템을 안정적으로 보호하려는 모든 조직에서 암호를 문제로 만듭니다.
Silverfort의 Kovetz는“비밀번호를 해결하고 더 똑똑한 인증 방식으로 전환 할 수 있다면 오늘날 대부분의 데이터 유출을 막을 수있을 것”이라고 말했다.
실버 포트의 코베 츠는 암호가 모든 곳에서 사라지는 것은 아니지만 특정 앱에서는 제거 될 수 있다고 지적했다. 그는 컴퓨터 하드웨어와 사물 인터넷 (IoT) 장치의 암호를 모두 제거하는 것이 더 복잡 할 것이라고 말했다. 그는 암호가없는 완전한 인증이 그렇게 빨리 일어나지 않을 것이라고 말한 또 다른 이유는 사람들이 심리적으로 연결되어 있기 때문입니다.
시스코의 루이스에 따르면, 비밀번호 전환은 조직의 문화적 변화와 관련이 있습니다. Lewis는 "정적 암호에서 MFA 로의 전환은 근본적으로 문화적 변화"라고 말했다. "당신은 사람들이 몇 년 동안 해왔 던 것과 다른 일을하게하고 있습니다."
MFA 처리 및 인공 지능
AI (인공 지능)는 IDM 관리자와 MFA 시스템이 새로운 로그인 데이터의 공격에 대처하는 데 도움을주기 위해 사용되고 있습니다. Silverfort와 같은 공급 업체의 MFA 솔루션은 AI를 적용하여 MFA가 필요한시기와 그렇지 않은시기에 대한 통찰력을 얻습니다.
Silverfort의 Kovetz는 "AI 부분을 결합하면 특정 인증에 MFA가 필요한지 여부를 초기에 결정할 수있다"고 말했다. 그는 중국의 누군가가 직원의 계정에 갑자기 액세스하고 직원이 미국에서 정기적으로 일하는 경우와 같이 비정상적인 활동 패턴을 감지하면 앱의 기계 학습 (ML) 구성 요소가 높은 위험 점수를 제공 할 수 있다고 말했다.
Centrify의 Steinkopf는 "사용자가 회사에서 발행 한 자체 PC를 사용하여 사무실에서 애플리케이션에 로그인하는 경우 MFA가 필요하지 않을 것"이라고 설명했다. "하지만 같은 사용자가 해외 여행을하거나 다른 사람의 기기를 사용하는 경우 위험이 높기 때문에 MFA를 입력하라는 메시지가 표시됩니다." Steinkopf는 추가 검증 기술을 사용할 때 MFA가 종종 첫 번째 단계라고 덧붙였습니다.
CIO는 또한 행동 생체 인식에 대한 예리한 관심을 유지하고 있으며, 이는 새로운 MFA 구축에서 점점 증가하는 추세가되었습니다. 동작 생체 인식은 소프트웨어를 사용하여 사용자가 입력하거나 스 와이프하는 방법을 추적합니다. 이것이 쉬운 것처럼 들리지만 실제로 빠르게 변화하는 데이터를 대량으로 처리해야하므로 벤더가 ML을 사용하여 도움을줍니다.
Okta 's Diamond는“인증을위한 ML의 가치는 다수의 복잡한 신호를 평가하고, 해당 신호를 기반으로 사용자의 기준 '신분'을 배우고 그 기준에 대한 이상을 경고하는 것이다. "행동 생체 인식은 이것이 실현 될 수있는 한 예입니다. 사용자가 장치를 입력하거나 걸거나 다른 방식으로 상호 작용하는 방식의 뉘앙스를 이해하려면 해당 사용자 프로필을 만들려면 고급 지능 시스템이 필요합니다."
사라지는 둘레
클라우드 인프라, 클라우드 서비스, 특히 많은 양의 오프-프레미스 IoT 장치가 진화함에 따라 조직의 데이터 센터 위치에 물리적 경계 이상이 생겼습니다. 클라우드에서 회사 자산을 보호해야하는 가상 경계도 있습니다. 두 시나리오 모두 Kovetz에 따르면 정체성은 중요한 역할을합니다.
Kovetz는“원근법은 사무실과 같이 물리적으로 정의되었지만, 오늘날의 경계는 신원으로 정의됩니다. 경계가 사라지면 강력한 방화벽이 유선 데스크톱 컴퓨터에 제공하는 보호 기능도 사라집니다. Kovetz는 MFA가 기존의 방화벽을 대체하는 한 가지 방법이 될 수 있다고 제안했다.
- 2 단계 인증: 보유자 및 설정 방법 2 단계 인증: 보유자 및 설정 방법
- 경계 너머: 계층화 된 보안 문제를 해결하는 방법 경계 너머: 계층화 된 보안 문제를 해결하는 방법
- 보안 전문가와 함께 증기를 얻는 제로 트러스트 모델 보안 전문가와 함께 증기를 얻는 제로 트러스트 모델
", 네트워크 보안 제품을 어디에 두나요?" 코베 츠가 물었다. "네트워크 보안은 더 이상 작동하지 않습니다. MFA는 경계없는 네트워크를 실제로 보호하는 새로운 방법이되었습니다."
MFA가 경계를 넘어서 발전하는 한 가지 주요 방법은 지난해 PCMag Labs가 검토 한 IDM 서비스를 포함하여 SaaS (Software-as-a-Service)로 판매되는 신원 확인 시스템이 급증하는 것입니다. 데이터 보안 제공 업체 인 Evident의 공동 창립자이자 CPO (Chief Product Officer) 인 Nathan Rowe는“SMB가 쉽게 시작하고 운영 할 수 있도록하는 수많은 SaaS 제품이 이미 경계 외부에서 작동하고 있습니다. Rowe에 따르면 SaaS 모델은 비용과 배포 복잡성을 크게 줄이므로 중소 기업에 큰 도움이된다고한다.
SaaS 솔루션은 확실히 IDM의 미래이며 MFA의 미래이기도합니다. 소규모 기업이라도 MFA 및 기타 고급 보안 조치에 쉽게 액세스 할 수있는 멀티 클라우드 및 클라우드 서비스 IT 아키텍처로 전환해야한다는 것은 좋은 소식입니다.
