挑战
在“认证 2021“活动上,剑桥住房管理局首席信息官 Jay Leslie 讲述了他所在的机构曾遭受鱼叉式网络钓鱼攻击,他一直在寻找一种方法来帮助提供更安全的用户账户认证方法。
为帮助改善其安全状况,CHA 最初正在寻找一种多因素身份验证 (MFA) 方法,以更好地确保对该机构信息资源的访问安全。
CHA 在采用 MFA 时有一些关键要求。 要求之一是 MFA 方法不需要手机验证器应用程序,因为卫生协调局并不广泛发放公司手机。 此外,CHA 工作人员对在工作中使用个人设备也有一些抵触情绪。
另一个主要要求是,MFA 不能要求用户和 IT 部门跟踪额外的对象,如硬件验证密钥。
通往 FIDO 之路:实现更好的用户体验
在确定采用 FIDO 身份验证之前,CHA 考虑了多种不同的方法。
CHA 的用户使用 HID 对 CHA 办公室进行物理访问,最初的想法是将智能卡用于 MFA。 不过,CHA 使用的特定 HID 卡比较老旧,不能再用于访问计算机资源。
在研究多因素身份验证选项时,CHA 遇到了 FIDO 联盟网站。 CHA 意识到,FIDO 身份验证可以在其现有环境中通过组织的大量现有流程和基础设施得到支持。
进一步的调查让 CHA 意识到,简单方便的多因素身份验证是一个过于狭隘的目标,而 FIDO 的采用则为实现更大的目标提供了机会。
FIDO 为 CHA 提供了彻底改变其员工用户体验的机会。 有了 FIDO,不仅可以实现安全的 Windows 身份验证,而且通过利用 WebAuthn 和 SAML 单点登录,还有助于对该机构使用的每个主要系统和应用程序进行安全、无缝的无密码身份验证。
概述
剑桥住房管理局 (CHA) 帮助为马萨诸塞州剑桥市的低收入居民提供租金援助和负担得起的长期租赁住房。 CHA 在整个组织内使用信息技术帮助居民入住公共住房,但信息技术人员有限。
方便、高效、更安全
“无需定期更改的 6 位数 PIN 码比冗长的密码更便于记忆和输入。我发现它使用起来非常简单高效。IT 部门向我保证,这样也更安全”。– 剑桥住房管理局首席财务官 John Filip
FIDO 标准为何重要
对于 CHA 来说,选择基于标准的方法是多因素身份验证的关键因素。
在 IT 人员少、资源有限的情况下,选择一种经得起时间考验的技术方法是一个重要因素。
基于标准的强身份验证方法使 CHA 能够从行业努力中获益,从而利用一个得到广泛和越来越多支持的解决方案。 采用 FIDO 这种基于标准的方法,可以在未来数年内得到支持,比 CHA 独自拼凑出一个今天还凑合,但一两年后可能就会被人遗忘的笨办法要好得多。
CHA 如何通过 Windows Hello 使用 FIDO
CHA 的系统已经在运行 Microsoft Windows,这为该组织进入 FIDO 世界提供了一个便捷的切入点。
该组织使用基于密钥的方法实施了符合 FIDO 标准的 Windows Hello for Business。 CHA 的 IT 团队鼓励在初始推广阶段使用设备 PIN 码,以便为尽可能多的用户提供支持。
最初推出 Windows Hello for Business 的是一小批试点用户。 当试点扩大到更大的用户群时,CHA 遇到了问题,原因是该组织没有充分了解支持该解决方案所需的基础设施。 在停下来充分了解需求之后,CHA 意识到其小型技术团队缺乏有效开展全面实施的经验和时间。 因此,CHA 找到了可以提供帮助的资源。
从 MFA 到全组织无密码
CHA 不仅仅为 MFA 选择了 FIDO。
在 CHA 部署 FIDO 是在整个组织内采用更广泛的无密码模式的更大努力。 CHA 的无密码项目实施了符合 FIDO 标准的 Windows Hello for Business,该项目还包括一个 SAML SSO 组件,使所有可能的系统和应用程序都无需密码。
CHA 目前有 250 多个账户持有人,其中大多数人定期使用基于 FIDO 设备的 PIN 码来代替密码进行身份验证。
FIDO 在 CHA 的未来
FIDO 身份验证仍将是 CHA 身份验证战略的关键。 展望未来,随着人们对生物识别技术的认可以及指纹识别器和 NFC 终端的普及,该组织很可能会从基于设备的 PIN 身份验证转向指纹或 HID 卡和 PIN 身份验证。
对于正在考虑推出FIDO Authentication 的机构,CHA 首席信息官 Jay Leslie 提出了一些经验丰富的建议。 莱斯利建议,IT 团队不应 不要害怕寻求外部帮助,也不要认为扩大试点就是失败。 他认为,这需要第三方的专业知识和时间来正确实施,但这是值得的。
点击此处查看剑桥住房管理局 (CHA) 案例研究 PDF 文档。