现代企业的应用系统越来越多,如果员工在每个应用上设置不同的高强度密码,在不允许浏览器自动填充的情况下,员工可能每天都奔波在“找回密码”的路上,IT 运维同学也要花费大量时间处理密码重置请求,假设 1人*1 个应用重置一次花费 2 分钟,1000 个员工* 10 个应用,IT 部门工作效率将指数级下降。如果员工由于记忆难而像小A一样重复使用简单的密码,导致企业系统产生安全漏洞,又将是另一个死循环。在很多传统的密码管理策略中,一处密码发生泄漏,企业很难确定与其关联的员工/部门/子母公司是否有同样的隐患,最终往往是进行大范围的密码重置操作,这样就不可避免地打击其他员工的工作积极性,影响整体工作效率。
“无密码办公”成为大势
为了提升效率,近两年来很多企业开始寻求基于身份认证技术打造“无密码办公”环境。相比于传统的“以密码为中心”的解决方案,无密码身份认证将安全技术与大数据、AI等新技术的相结合,根据员工登录上下文(设备、时间等)判断当前用户是否可信,使员工可以无需输入密码,通过生物验证或无需进行验证即可登录应用门户,在确保系统安全的基础上,提升用户访问体验和工作效率,为员工创造“无密码”的办公体验。
无密码办公解决方案第一步是实现单点登录,将企业所有应用——云端的、本地部署的,标准的、企业自研的系统——集成在统一的单点登录访问门户中,这样员工记住一套门户密码便可免密快捷登入所有下游应用系统,对员工来说这是最明显的效率收益。
如果员工觉得一套门户密码也容易忘,那么企业可以进一步考虑提供多种登录方式,比如流行的企业微信/钉钉扫码登录等,这需要企业根据自身需求集成其他“认证源”,将原有的钉钉/企业微信/微软AD等认证源进行集中管理,在登录页面提供“其他登录方式”选项。如下图所示,员工登录时可以灵活切换登录方式:
此外,实现个人密码自助服务也十分必要,允许员工对密码和密保问题进行自助修改,减少频繁的密码重置请求,将大大提升IT运维同学的工作效率。
到此为止,企业实现“无密码办公” 看起来并不复杂,但在落地过程中有很多细节问题会消耗大量精力,尤其是在“判断当前用户身份是否可信”上——在异常设备、异常地点、异常网络环境的访问请求,显然不能用平常的验证方式,输入一次密码就直接放行,企业必须构建一套更灵活、安全的身份认证策略。
“无论是谁,拿钥匙就能开门”显然不够安全,换“智能门锁”是一个办法——除了钥匙,还需验证指纹、人脸识别后才能开门。智能 多因素认证(MFA)就是“智能门锁”,它可以提供多种二次验证方式,包括问题校验,生物校验,以及扫码、OTP (一次性密码认证)、推送通知等物理校验方式。这些校验方式在不同场景下如何组合呢?
一方面企业可以手动设定一些规则,不同场景分别对应几种二次验证方式,比如访问地点异常(异国访问、异地登录、异常位移)、访问设备变化(异常设备登陆、基于设备的权限控制)、网络环境变化(未知IP访问、指定IP白名单范围),针对公司敏感业务系统单独设定二次认证唤起规则保证访问安全。
另一方面,智能识别员工每一次登录的安全级别,自动设置不同的策略,比如判定为高安全性场景,则允许只使用密码进行快速登录;中低安全性场景要求密码登录+智能二次验证,这种细化到员工个人的安全识别与监测也可以避免“一人泄露,全员重置”的情况,精准定位危险源,减少低效的大范围密码重置。