双因素认证令牌的优势 -SafeNet iKey SafeNet China
议程 a. 使用“用户名/密码”方式认证的安全隐患 b. 为什么双因素认证更加安全 c. USB安全令牌——iKey概述 d. iKey是如何进行安全认证 e. 如何实施iKey双因素认证方案
您是否使用密码?
密码是否安全? 2003年四月,InfoSec杂志在 伦敦Waterloo车站所作的一项 关于“商业道德”的随机调查 显示: 90% 的人会将他们的工作密码告诉在车站遇到的陌生人!! 66% 的人曾经将密码告诉他的同事 75% 的人知道同事的密码 66% 的人在所有地方使用同样的密码,如银行卡、电子邮箱等
密码理论 高 安全等级 低 容易 困难 密码记忆 增加长度 + 随机生成+ 定期更改 增加长度 + 随机生成 增加长度 简单 Rainbow survey 增加长度 简单 低 容易 困难 密码记忆
密码实际运行情况 高 在调查中显示, 64%的IT职业者曾经用笔记录下他们的密码 其中8% 的人总是这样来记忆密码 记录在纸上 安全等级 低 增加长度 + 随机生成 Rainbow survey 增加长度 增加长度 + 随机生成+ 定期更改 简单 低 容易 困难 密码记忆
安全的随机生成密码!!!
议程 a. 使用“用户名/密码”方式认证的安全隐患 b. 为什么双因素认证更加安全 c. USB安全令牌——iKey概述 d. iKey是如何进行安全认证 e. 如何实施iKey双因素认证方案
什么是双因素认证? 通过两种不同的因素——你拥有什么和你知道什么来识别 用户身份的安全认证过程,为企业提供了更安全的保障, 大大降低了安全风险 例如 – 在ATM机上使用银行卡和用户PIN码来实现双因素认 证 USB 双因素认证令牌——iKey 你拥有什么 – iKey 你知道什么 – iKey的PIN码
为什么双因素认证更安全 你拥有什么——此因素包括钥匙、智能卡、令牌等,这些都是可以被偷 去或者丢失的。 你知道什么——例如密码和PIN码。这些信息可以被遗忘、共享或者被 别人猜测出来。 只有当这两种因素结合起来使用,才能实现高强度的拴因素安全认证系 统。这样的认证方式不仅仅依靠用户所知道的信息来进行判断,而且加 入了用户必须拥有的设备,例如令牌。而令牌对系统来说是唯一的,并 且不可被复制。 防止了单因素认证所面临的种种安全隐患,例如: keystroke monitoring, social engineering, man-in-the-middle attacks, network monitoring, password cracking, key under the mat and IT staff abuse等等.
议程 a. 使用“用户名/密码”方式认证的安全隐患 b. 为什么双因素认证更加安全 c. USB安全令牌——iKey概述 d. iKey是如何进行安全认证 e. 如何实施iKey双因素认证方案
USB安全令牌– iKey1000/1032 替代密码的完美解决方案 8K (iKey1000) / 32K (iKey1032) 安全存储区 MD5 hashing 算法 (硬件) X.509 证书存储 1024-bit RSA 算法 (软件) 64-bit 全球唯一系列号 用户PIN码重试次数限定 文件可设定三级访问权限 两级文件目录 PKCS#11 and Microsoft CAPI 中间件
USB安全令牌– iKey2032 PKI系统中最安全的令牌 32K 安全存储区 ASIC级别的物理安全 FIPS 140-1 level 2 认证 用户PIN码重试次数限定 X.509 证书存储 硬件内置1024/2048-bit RSA算法 高质量的内置密钥对生成能力 硬件实现密钥签名功能 PKCS#11 and Microsoft CAPI 中间件
智能卡 USB 安全令牌 SafeNet SamrtCard M330 100% 兼容 iKey2032 使用同样的 API and Library 在用户层可相互替换
令牌的优势 提供双因素认证功能 iKey User PIN 和最简单的密码使用起来一样方便 我拥有什么 我知道什么 无法复制 硬件实现安全的存储和加密运算 可以方便的更改和废除权限 User PIN 有重试次数限定保护 最终用户可以方便的自行更改和设定 和最简单的密码使用起来一样方便
议程 a. 使用“用户名/密码”方式认证的安全隐患 b. 为什么双因素认证更加安全 c. USB安全令牌——iKey概述 d. iKey是如何进行安全认证 e. 如何实施iKey双因素认证方案
挑战——响应的认证方式 User 数据库 预置密钥 iKey PIN 请求认证 预置密钥 软件 HMAC/MD5 哈希算法 随机产生挑战值 响应值 比较结果?
基于证书的认证方式 User 数据库 公钥 iKey PIN 请求认证 私钥 校验? 随机产生对象 硬件实现 RSA运算 被签名对象
使用iKey进行系统认证的优势 使用业界标准的 MD5 / RSA 算法实现认证。其安全等级已 经被公认。 登录密钥 (MD5密钥或者私钥) 决不离开iKey。无法从键盘 输入、客户电脑或者网络数据中获取任何密钥信息。 iKey硬件无法被复制。 iKey被PIN码重试次数保护,当重试次数达到设定的上限, iKey会自动锁定。 iKey的用户PIN码可以由用户自行设定和修改。
基于iKey的认证 高 安全等级 低 容易 困难 密码记忆 增加长度 + 随机生成 增加长度 增加长度 + 随机生成+ 定期更改 简单 Rainbow survey 增加长度 增加长度 + 随机生成+ 定期更改 简单 低 容易 困难 密码记忆
议程 a. 使用“用户名/密码”方式认证的安全隐患 b. 为什么双因素认证更加安全 c. USB安全令牌——iKey概述 d. iKey是如何进行安全认证 e. 如何实施iKey双因素认证方案
替换密码 使用iKey双因素认证令牌替换密码: 没有统一的标准,用户根据自己应用的需求来集成iKey认证。 可以方便的使用强大的随机生成密码。 方便部署和维护。 只需对结构实行简便的少量更改。
基于PKI体系的认证 在PKI系统中使用iKey双因素认证令牌: PKI是一个公共标准,一般来说用户无需自己定义。 构造比较复杂(需要构建CA) PKI认证对系统开销很大,会给服务器产生很大的额外工作量。 维护相对比较困难(证书更新…)。 无法在非PKI应用软件中部署(需要用户自行开发)。
单点登录 (SSO) SSO 通常可以既支持PKI应用也同时支持非PKI应用 SSO 结合USB令牌或者只能开可以实现双因素认证 基于密码认证的 应用系统 SSO 基于PKI认证的 应用系统
思考 iKey1000 如何 与iGate结合? iKey2032 如何与iGate结合? iKey1000与iKey2032的区别?
结束 西安金时创科贸有限公司(Safenet西北总代理) 联系人:刘毅 QQ:59397770 移动电话:13468700453 联系电话:029-82249456 82249447 82255510 E-mail:59397770@qq.com 地址:西安南二环东段62号伟业都市远景7D