Workspace ONE 主要是通過(guò)云端 SaaS 服務(wù)的形式來(lái)發(fā)布的(當然也有現場(chǎng)部署的版本),所以它本身也在不斷地增加新功能。最近 Workspace ONE 推出了 VMware 自己的多因子認證工具 VMware Verify,進(jìn)一步增強了 Workspace ONE 的身份認證方案。
MFA 的全稱(chēng)是 Multi Factor Authentication -多因子身份認證(或多因素身份認證)。多因子身份驗證(MFA)是一種安全系統,是為了驗證一項交易的合理性而實(shí)行多種身份驗證。MFA的目的是建立一個(gè)多層次的防御,使未經(jīng)授權的人訪(fǎng)問(wèn)計算機系統或網(wǎng)絡(luò )更加困難,從而加強身份驗證的安全性。
與之相對應的是單因素身份驗證(SFA),只需要用戶(hù)提供一個(gè)憑證來(lái)通過(guò)身份認證,最常用的就是用戶(hù)名和密碼。但是密碼口令很不安全,很多人為了便于記憶把所有帳號的密碼都設成相同的,一旦在一個(gè)地方身份密碼被盜,就會(huì )危害到很多其他的帳號安全。
MFA 通過(guò)結合兩個(gè)或多個(gè)額外的憑證來(lái)提供身份驗證的安全性和可靠性,常用的 MFA 方案有以下幾類(lèi):
- 知識型的身份驗證
- 如在一臺新手機上登錄微信,微信會(huì )顯示一組用戶(hù),讓你選擇哪些是你的朋友,以此來(lái)防止微信帳號被盜用。
- 安全性令牌或者智能卡
- 常見(jiàn)的如網(wǎng)銀U盾或令牌,每一個(gè)令牌設備都只跟唯一的用戶(hù)帳號綁定。
- 生物識別驗證
如指紋、聲紋識別等來(lái)唯一識別一個(gè)用戶(hù),但是目前還不是非常普及。
因為每個(gè)人的手機號碼也是唯一的,所以手機短信也經(jīng)常被用作為令牌口令,來(lái)增強身份認證的安全性。因為手機的普及性,短信驗證是目前成本最低、最簡(jiǎn)單便捷的二次驗證方式。最近網(wǎng)上有不少文章批露短信驗證不安全,例如手機中的木馬軟件會(huì )截獲短信,安卓手機上不少應用會(huì )貼心地幫你填入短信驗證碼就是獲取了相關(guān)的權限從而截獲得驗證短信;或者是利用 GSM 的漏洞,通過(guò)偽基站來(lái)監聽(tīng)手機通訊也可以盜取短信驗證碼。
身份認證管理也是 Workspace ONE 的一個(gè)重要功能,Workspace ONE 除了可以跟第三方的多因子驗證方案相集成,最近它又最新推出了 VMware 自己的多因子認證方案 VMware Verify。從使用者的角度來(lái)看,Verify 就是安裝在智能手機上的一個(gè) App,當用戶(hù)在另外一臺設備上登錄企業(yè)應用時(shí),Workspace ONE 就會(huì )通過(guò)該用戶(hù)手機上的 Verify 應用進(jìn)行二次認證,有兩種方式:
- 直接在 Verify 應用界面上批準或拒絕認證請求(下圖左)
- 把 Verify 作為一個(gè)令牌設備,顯示一個(gè)動(dòng)態(tài)的令牌口令(下圖右)
Workspace ONE 的這一新功能大大提高了用戶(hù)體驗和企業(yè)身份認證的安全性,IT 部門(mén)也不用考慮去采購和融合任何第三方的 MFA 解決方案了,只需要部署 Workspace ONE 就可以搞定身份認證的所有功能。
下面給大家演示一段視頻,讓大家對 Workspace ONE 的 MFA 功能有一個(gè)直觀(guān)的認識。
演示場(chǎng)景一
通過(guò) Workspace ONE 登錄時(shí),手機上收到一條認證通知,用戶(hù)手動(dòng)操作劃動(dòng)通知,通過(guò)TouchID指紋識別直接打開(kāi)Verify App,然后選擇批準。
演示場(chǎng)景二
在 Verify 中演示令牌口令,然后在登錄界面中輸入一次性口令來(lái)登錄。
