曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        PCI安全標準對于多因素身份認證的行業指南(1)
        發布時間:2019-12-22 20:53:25   閱讀次數:

        1-191222205J2557.png

        總覽

        多因素身份驗證(MFA)的目的是為嘗試訪問資源(例如物理位置,計算設備,網絡或數據庫)的個人的身份提供更高程度的保證。 MFA創建了一個多層機制,未經授權的用戶將不得不破壞該機制才能獲得訪問權限。


        本文檔描述了與多因素身份驗證相關的行業公認的原則和最佳實踐。本文檔中的指南適用于評估,實施或升級MFA解決方案的任何組織,以及MFA解決方案的提供商。


        MFA和PCI DSS

        PCI DSS要求必須按照要求8.3及其子要求中的規定實施MFA。


        在標準的“指南”列中提供了有關這些要求的意圖的指南,其中包括: “在授予訪問權限之前,多因素身份驗證要求個人至少提供兩種單獨的身份驗證形式(如要求8.2中所述)?!北疚臋n中的其他指南并未將PCI DSS要求擴展至超出本條款中所述的范圍。標準。


        盡管PCI DSS要求8.3當前不要求組織根據本指南文檔中描述的所有原則來驗證其MFA實施,但是這些原則可以納入該標準的未來修訂版中。因此,強烈鼓勵組織評估所有新的和當前的MFA實施是否符合這些原則。


        術語

        除了《 PCI DSS術語表,縮寫詞和首字母縮寫詞》中定義的術語外,還引用了以下首字母縮寫詞:

        項目描述
        SE
        安全元素的縮寫。 防篡改硬件平臺,能夠安全地托管應用程序并存儲機密和加密數據。
        TEE
        可信執行環境的縮寫。 提供安全功能(如隔離執行)的軟件。
        TPM可信平臺模塊的縮寫。 專用模塊,與處理系統微控制器的其余部分物理隔離,該模塊旨在通過將加密密鑰集成到設備中來保護硬件。 它提供了安全生成密碼密鑰和限制其使用的便利。

        認證因素

        MFA的整個身份驗證過程至少需要PCI DSS要求8.2中所述的三種身份驗證方法中的兩種:

        1. 您知道的東西,例如密碼或密碼。此方法涉及驗證用戶提供的信息,例如密碼/密碼,PIN或對秘密問題(挑戰響應)的回答。

        2. 您擁有的東西,例如令牌設備或智能卡。這種方法涉及驗證用戶擁有的特定物品,例如物理或邏輯安全令牌,一次性密碼(OTP)令牌,密鑰卡,員工訪問卡或電話的SIM卡。對于移動身份驗證,智能手機通常會結合設備上的OTP應用或加密材料(即證書或密鑰)來提供占有因子。

        3. 您的身份,例如生物特征識別。該方法涉及驗證個人固有的特征,例如通過視網膜掃描,虹膜掃描,指紋掃描,手指靜脈掃描,面部識別,語音識別,手形甚至耳垂的幾何圖形。


        身份驗證過程中可能還包括其他類型的信息,例如地理位置和時間。但是,必須始終使用上面確定的三個因素中的至少兩個。例如,地理位置和時間數據可用于根據個人的工作時間表來限制對實體網絡的遠程訪問。盡管使用這些附加條件可能會進一步減少帳戶劫持或惡意活動的風險,但是遠程訪問方法仍必須至少通過以下兩個因素進行身份驗證:您知道的(Something you know)、你擁有的(Something you have)、你是誰(Something you are)。


        身份驗證機制的獨立性

        用于MFA的身份驗證機制應彼此獨立,以使對一個因素的訪問不會授予對任何其他因素的訪問,并且對任何一個因素的妥協都不會影響任何其他因素的完整性或機密性。例如,如果將同一組憑據(例如,用戶名/密碼)用作身份驗證因素,并且還用于訪問發送了輔助因素(例如,一次性密碼)的電子郵件帳戶,則這些因素不是獨立的同樣,存儲在筆記本電腦(您擁有的東西)上的軟件證書受用于登錄筆記本電腦(您知道的東西)的同一組憑據保護,可能不會提供獨立性。


        嵌入到設備中的身份驗證憑證的問題是潛在的因素之間的獨立性喪失,即,設備的物理擁有權可以授予對秘密(您知道的東西)以及令牌(您擁有的東西)(例如設備)的訪問本身,或在設備上存儲或生成的證書或軟件令牌。因此,身份驗證因素的獨立性通常是通過物理隔離因素來實現的;但是,高度健壯和隔離的執行環境(例如可信執行環境[TEE],安全元素[SE]和可信平臺模塊[TPM])也可以滿足獨立性要求。


        帶外驗證

        帶外(OOB)是指身份驗證過程,其中身份驗證方法通過不同的網絡或通道進行傳輸。


        在通過單個設備/通道傳達身份驗證因素的地方(例如,通過也接收,存儲或生成軟件令牌的設備輸入憑據),已經控制了該設備的惡意用戶可以捕獲這兩個身份驗證因素。


        傳統上,將一次性密碼(OTP)傳輸到智能手機被認為是一種有效的帶外方法。但是,如果隨后使用同一部手機(例如,通過Web瀏覽器)提交OTP,則OTP作為次要因素的有效性將無效。


        認證機制的帶外傳送是一種附加控制,可以增強多因素認證的保證水平。代替使用帶外通信的功能,身份驗證過程應建立控制措施,以確保嘗試使用身份驗證的個人實際上是擁有身份驗證因素的合法用戶。


        加密令牌

        密碼令牌可以嵌入到設備中或存儲在單獨的可移動媒體中。以下指南基于NIST SP800-164和NIST SP800-157,并考慮了移動計算設備經常使用的一些常見外形尺寸。


        可移動(非嵌入式)硬件加密令牌

        在此類設備中,私鑰位于物理上與移動計算設備分離的硬件安全模塊(或物理安全令牌)中。對移動計算設備或存儲在令牌上的密碼的訪問均不授予對另一設備的訪問,因此保持了驗證因素的獨立性。


        下文所述的每種形狀因素均支持安全元素(SE),這是一種在移動設備中提供安全性和機密性的防篡改密碼組件。

        • 帶有加密模塊的SD卡–一種非易失性存儲卡格式,用于便攜式設備(例如手機和平板電腦)。

        • 帶密碼模塊的可移動UICC –通用集成電路卡(UICC)配置基于GlobalPlatform卡規范v2.2.1 [GP-SPEC],并提供存儲和處理以及輸入/輸出功能。

        • 具有加密模塊的USB令牌–通用串行總線(USB)令牌是一種插入各種IT計算平臺(包括移動設備和個人計算機)上的USB端口的設備。 USB令牌通常包括板載存儲,并且還可以包括加密處理能力,例如,用于驗證用戶身份的加密機制。包含集成安全元件(集成電路卡或ICC)的USB令牌實現適用于身份驗證過程。


        嵌入式密碼令牌

        認證證書及其相關聯的私鑰可以在嵌入在移動設備內的加密模塊中使用。這些模塊可以采用作為移動設備組件的硬件安全模塊(HSM)的形式,也可以采用在設備上運行的軟件加密模塊的形式。


        硬件安全模塊比軟件更受青睞,因為它們具有不變性,較小的攻擊面以及更可靠的行為。這樣,它們可以提供更高程度的保證,以確保它們可以執行其受信任的功能。


        在軟件中保護和使用身份驗證憑證和相應的私鑰可能會增加密鑰可能被盜或被破壞的風險。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精