最后,多因素认证和条件访问策略配合使用效果更好。管理员可以定制条件访问策略 多因素认证提示出现在哪些条件下,在优化用户体验的同时仍能满足安全要求。例如,管理员可以这样做 IP 使用可信设备的员工或主管禁止多因素认证提示。 综上所述,能有效支持企业身份和访问管理 IAM 系统理想化多因素认证解决方案应具有以下特点:
IT 管理员通过 IAM 系统为每个用户分配数字身份,用户通过认证并获得资源的访问权限。管理员必须根据需要监督这些数字身份。
可视对讲系统的门机、室内机和管理机通过管理平台生成设备识别钥匙,设备间通过设备识别钥匙进行独立身份认证,实现物联网的目的。基于IPK采用可视对讲系统SM2算法简化了传统的设备公钥,使用设备的唯一标志PKI技术集中认证和应用,更高效,易于部署和使用。建筑门禁系统业务交互阶段架构如图6-3所示。
多因素认证(MFA),也叫双因素认证(2)FA),它要求用户提供基于持有设备的认证,甚至指纹扫描等生物识别技术,以提高登录安全性,包括手机令牌或硬件令牌。
采用IPK轻量级标识密钥技术的视觉对讲系统可以摆脱用户输入密码的限制,实现用户无感知的智能设备安全认证;使用设备的身份信息作为公钥并替换证书PKI体系证书管理维护复杂,扩展性差的缺陷。而且,在项目的实际部署中,IPK该技术还可以实现设备密钥的独立发行和项目区域之间的安全隔离,为用户建立独立可控的私人安全区域。用户自主签发密钥的楼宇门禁系统初始化阶段架构如图 6-2。
虽然多因素认证看起来很简单,但它保护身份和访问管理(IAM)该系统确实起着关键作用。不实施多因素认证的 IAM 任何持有有效用户凭证的人都可以访问相应的授权资源。凭证一旦被盗,在数据库认证时,被盗凭证也将被视为真实有效,并授予访问权。凭证盗窃是最常见的攻击手段,61% 数据泄露来自凭证盗窃。