曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        PCI安全標準對于多因素身份認證的行業指南(2)
        發布時間:2019-12-23 00:32:57   閱讀次數:

        1-191222205J2557.png

        認證因素的保護

        為了防止濫用,需要保護認證機制的完整性和認證數據的機密性。 PCI DSS要求8中定義的控件可確保對身份驗證數據進行保護,以防止未經授權的訪問和使用。例如:

        • 密碼和其他“您知道的東西”數據應難以猜測或強行使用,并應防止泄露給未經授權的各方。

        • 應該保護生物識別技術和其他“您的身份”數據,以防止未經授權的復制或被有權訪問存在數據的設備的其他人使用。

        • 智能卡,軟件證書和其他“擁有的東西”數據不應共享,并應防止未經授權的復制或擁有。


        在任何身份驗證元素都依賴于多功能消費設備(例如移動電話和平板電腦)的地方,還應采用控制措施,以減輕設備受到損害的風險。


        多步驟與多因素

        PCI DSS要求在身份驗證機制授予請求的訪問權限之前,先驗證多因素身份驗證中的所有因素。此外,在提出所有因素之前,不得向任何人提供任何因素成功或失敗的先驗知識。如果未經授權的用戶可以推斷出任何單個身份驗證因素的有效性,那么即使每個步驟使用了不同的因素,整個身份驗證過程也將成為后續的單因素身份驗證步驟的集合。例如,如果個人提交的憑據(例如,用戶名/密碼)一旦成功通過驗證,就會導致第二個驗證因素(例如,生物識別)的出現,這將被視為“多步”身份驗證。


        環境中可能同時存在多步驟身份驗證和多因素身份驗證。例如,個人可以執行身份驗證步驟,以便在啟動單獨的MFA過程以獲取對CDE的訪問權限之前登錄到計算機。這種情況的一個示例是遠程用戶輸入憑據以登錄其公司便攜式計算機。然后,用戶可以使用憑據和物理智能卡或硬件令牌的組合來啟動與組織網絡的VPN連接。


        使用SMS進行身份驗證

        PCI DSS依賴于涵蓋所有行業而不僅僅是支付行業的行業標準,例如NIST、ISO和ANSI。盡管NIST當前允許使用SMS,但他們建議已棄用使用SMS或語音的帶外身份驗證,并且可能從其出版物的將來版本中將其刪除。


        法律法規

        組織需要了解可能也定義使用MFA的要求的本地和區域法律。例如,圍繞用于啟動支付或進行高風險交易的消費者身份驗證,可能會有其他要求,例如歐盟支付服務指令(PSD2)和聯邦金融機構審查委員會(FFIEC)IT考試手冊。此外,某些法律或法規對MFA的要求可能比PCI DSS所要求的更為嚴格。


        PCI SSC鼓勵所有組織意識到當地法律和法規可能對其MFA實施產生的潛在影響。 PCI DSS對多因素身份驗證的要求不會取代本地或區域性法律,政府法規或其他法律要求。


        常見身份驗證方案

        本節探討了一些常見的身份驗證方案和多因素身份驗證的注意事項。


        場景1

        個人使用一組憑證(密碼A)登錄到設備,并訪問存儲在設備上的軟件令牌。然后,個人建立與CDE /企業網絡的連接,提供一組不同的憑據(密碼B)和由軟件令牌生成的OTP作為身份驗證。


        如果提供的兩個因素均有效,那么身份驗證系統將授予請求的訪問權限:

        • 您知道的–密碼B

        • 您擁有的東西–軟件令牌

        1-191223003Z3121.png

        為了確保維持身份驗證因素的獨立性,此方案要求將軟件令牌(“您所擁有的東西”)嵌入到物理設備中,以使其不能被復制或在任何其他設備上使用。


        此外,設備的物理安全性成為設備擁有權的證明,成為必需的安全控制。否則,如果對軟件令牌的訪問僅反映了(本地或遠程)登錄設備的能力,則整個身份驗證過程將兩次使用“您知道的東西”。


        場景2

        在這種情況下,個人使用一組憑據(例如,用戶名/密碼或生物特征識別碼)登錄設備; 這些憑證還提供對存儲在設備中的軟件令牌的訪問。 為了啟動到CDE /企業網絡的連接,用戶啟動瀏覽器窗口,該窗口預填充了一組不同的憑據(例如,緩存在設備上或使用密碼管理器)以及軟件令牌。

        1-191223004040433.png

        此方案不提供身份驗證因素之間的獨立性,因為單個憑據集(密碼A)提供對這兩個因素(密碼B和軟件令牌)的訪問。


        場景3

        在這種情況下,個人使用一組憑據(例如,用戶名/密碼)登錄到計算機。 與CDE /企業網絡的連接既需要初始憑據集,也需要由駐留在移動設備上的軟件令牌生成的OTP。

        1-19122300420J16.png

        即使個人使用相同的密碼(您知道的東西)對筆記本電腦和CDE /企業網絡進行身份驗證,駐留在移動電話上的軟件令牌也提供了第二個(您所擁有的)因素,可以保持身份驗證機制之間的獨立性。


        如果還使用移動設備來發起到CDE /企業網絡的連接,則將需要其他安全控制來證明身份驗證機制的獨立性。


        場景4

        在這種情況下,個人使用多因素身份驗證(例如密碼和生物識別)登錄智能手機或便攜式計算機。為了建立到CDE /企業網絡的非控制臺連接,該人員然后提供一個單一的身份驗證因子(例如,不同的密碼,數字證書或已簽名的質詢響應)。

        1-191223004355226.png

        在這種情況下,應該對設備(智能手機或便攜式計算機)進行加固和控制,以確保在啟動與CDE /公司網絡的連接之前正確實施并始終執行多因素身份驗證。這包括確保用戶不能更改或禁用安全配置(例如,禁用或繞過多因素身份驗證),并確保身份驗證因素的獨立性。


        此外,可能需要其他控制措施,以防止未授權方獲得對設備與CDE /公司網絡之間建立的“信任”的建設性使用。建設性使用的一個示例是惡意用戶在設備上執行允許其與CDE /公司網絡交互的過程,而無需知道合法用戶使用的密碼或生物識別信息。


        在用戶管理自己的設備的地方(例如,在BYOD環境中),用戶管理的設備應保持健壯且隔離的執行環境(例如TEE,SE或TPM),而不會受到用戶的不利影響或繞過。否則,組織將無法保證在設備上正確實施和實施了MFA。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精