双因素认证令牌的优势 -SafeNet iKey

Presentation on theme: "双因素认证令牌的优势 -SafeNet iKey"— Presentation transcript:

1 双因素认证令牌的优势 -SafeNet iKey
SafeNet China

2 议程 a. 使用“用户名/密码”方式认证的安全隐患 b. 为什么双因素认证更加安全 c. USB安全令牌——iKey概述
d. iKey是如何进行安全认证 e. 如何实施iKey双因素认证方案

3 您是否使用密码？

4 密码是否安全？ 2003年四月，InfoSec杂志在 伦敦Waterloo车站所作的一项 关于“商业道德”的随机调查 显示：
90% 的人会将他们的工作密码告诉在车站遇到的陌生人！！ 66% 的人曾经将密码告诉他的同事 75% 的人知道同事的密码 66% 的人在所有地方使用同样的密码，如银行卡、电子邮箱等

5 密码理论 高 安全等级 低 容易 困难 密码记忆 增加长度 + 随机生成+ 定期更改 增加长度 + 随机生成 增加长度 简单
Rainbow survey 增加长度 简单 低 容易 困难 密码记忆

6 密码实际运行情况 高 在调查中显示, 64%的IT职业者曾经用笔记录下他们的密码 其中8% 的人总是这样来记忆密码 记录在纸上 安全等级 低
增加长度 + 随机生成 Rainbow survey 增加长度 增加长度 + 随机生成+ 定期更改 简单 低 容易 困难 密码记忆

7 安全的随机生成密码！！！

8 议程 a. 使用“用户名/密码”方式认证的安全隐患 b. 为什么双因素认证更加安全 c. USB安全令牌——iKey概述
d. iKey是如何进行安全认证 e. 如何实施iKey双因素认证方案

9 什么是双因素认证？ 通过两种不同的因素——你拥有什么和你知道什么来识别 用户身份的安全认证过程，为企业提供了更安全的保障， 大大降低了安全风险 例如 – 在ATM机上使用银行卡和用户PIN码来实现双因素认 证 USB 双因素认证令牌——iKey 你拥有什么 – iKey 你知道什么 – iKey的PIN码

10 为什么双因素认证更安全 你拥有什么——此因素包括钥匙、智能卡、令牌等，这些都是可以被偷 去或者丢失的。
你知道什么——例如密码和PIN码。这些信息可以被遗忘、共享或者被 别人猜测出来。 只有当这两种因素结合起来使用，才能实现高强度的拴因素安全认证系 统。这样的认证方式不仅仅依靠用户所知道的信息来进行判断，而且加 入了用户必须拥有的设备，例如令牌。而令牌对系统来说是唯一的，并 且不可被复制。 防止了单因素认证所面临的种种安全隐患，例如： keystroke monitoring, social engineering, man-in-the-middle attacks, network monitoring, password cracking, key under the mat and IT staff abuse等等.

11 议程 a. 使用“用户名/密码”方式认证的安全隐患 b. 为什么双因素认证更加安全 c. USB安全令牌——iKey概述
d. iKey是如何进行安全认证 e. 如何实施iKey双因素认证方案

12 USB安全令牌– iKey1000/1032 替代密码的完美解决方案
8K (iKey1000) / 32K (iKey1032) 安全存储区 MD5 hashing 算法 (硬件) X.509 证书存储 1024-bit RSA 算法 (软件) 64-bit 全球唯一系列号 用户PIN码重试次数限定 文件可设定三级访问权限  两级文件目录 PKCS#11 and Microsoft CAPI 中间件

13 USB安全令牌– iKey2032 PKI系统中最安全的令牌 32K 安全存储区 ASIC级别的物理安全
FIPS level 2 认证 用户PIN码重试次数限定 X.509 证书存储 硬件内置1024/2048-bit RSA算法 高质量的内置密钥对生成能力 硬件实现密钥签名功能 PKCS#11 and Microsoft CAPI 中间件

14 智能卡 USB 安全令牌 SafeNet SamrtCard M330 100% 兼容 iKey2032
使用同样的 API and Library 在用户层可相互替换

15 令牌的优势 提供双因素认证功能 iKey User PIN 和最简单的密码使用起来一样方便 我拥有什么 我知道什么 无法复制
硬件实现安全的存储和加密运算 可以方便的更改和废除权限 User PIN 有重试次数限定保护 最终用户可以方便的自行更改和设定 和最简单的密码使用起来一样方便

16 议程 a. 使用“用户名/密码”方式认证的安全隐患 b. 为什么双因素认证更加安全 c. USB安全令牌——iKey概述
d. iKey是如何进行安全认证 e. 如何实施iKey双因素认证方案

17 挑战——响应的认证方式 User 数据库 预置密钥 iKey PIN 请求认证 预置密钥 软件 HMAC/MD5 哈希算法 随机产生挑战值
响应值 比较结果？

18 基于证书的认证方式 User 数据库 公钥 iKey PIN 请求认证 私钥 校验? 随机产生对象 硬件实现 RSA运算 被签名对象

19 使用iKey进行系统认证的优势 使用业界标准的 MD5 / RSA 算法实现认证。其安全等级已 经被公认。
登录密钥 (MD5密钥或者私钥) 决不离开iKey。无法从键盘 输入、客户电脑或者网络数据中获取任何密钥信息。 iKey硬件无法被复制。 iKey被PIN码重试次数保护，当重试次数达到设定的上限， iKey会自动锁定。 iKey的用户PIN码可以由用户自行设定和修改。

20 基于iKey的认证 高 安全等级 低 容易 困难 密码记忆 增加长度 + 随机生成 增加长度 增加长度 + 随机生成+ 定期更改 简单
Rainbow survey 增加长度 增加长度 + 随机生成+ 定期更改 简单 低 容易 困难 密码记忆

21 议程 a. 使用“用户名/密码”方式认证的安全隐患 b. 为什么双因素认证更加安全 c. USB安全令牌——iKey概述
d. iKey是如何进行安全认证 e. 如何实施iKey双因素认证方案

22 替换密码 使用iKey双因素认证令牌替换密码： 没有统一的标准，用户根据自己应用的需求来集成iKey认证。
可以方便的使用强大的随机生成密码。 方便部署和维护。 只需对结构实行简便的少量更改。

23 基于PKI体系的认证 在PKI系统中使用iKey双因素认证令牌： PKI是一个公共标准，一般来说用户无需自己定义。
构造比较复杂（需要构建CA） PKI认证对系统开销很大，会给服务器产生很大的额外工作量。 维护相对比较困难（证书更新…）。 无法在非PKI应用软件中部署（需要用户自行开发）。

24 单点登录 (SSO) SSO 通常可以既支持PKI应用也同时支持非PKI应用 SSO 结合USB令牌或者只能开可以实现双因素认证
基于密码认证的 应用系统 SSO 基于PKI认证的 应用系统

25 思考 iKey1000 如何 与iGate结合? iKey2032 如何与iGate结合? iKey1000与iKey2032的区别?

26 结束 西安金时创科贸有限公司（Safenet西北总代理） 联系人：刘毅 QQ:59397770 移动电话：13468700453
联系电话： 地址：西安南二环东段62号伟业都市远景7D