Workspace ONE 主要是通过云端 SaaS 服务的形式来发布的(当然也有现场部署的版本),所以它本身也在不断地增加新功能。最近 Workspace ONE 推出了 VMware 自己的多因子认证工具 VMware Verify,进一步增强了 Workspace ONE 的身份认证方案。
MFA 的全称是 Multi Factor Authentication -多因子身份认证(或多因素身份认证)。多因子身份验证(MFA)是一种安全系统,是为了验证一项交易的合理性而实行多种身份验证。MFA的目的是建立一个多层次的防御,使未经授权的人访问计算机系统或网络更加困难,从而加强身份验证的安全性。
与之相对应的是单因素身份验证(SFA),只需要用户提供一个凭证来通过身份认证,最常用的就是用户名和密码。但是密码口令很不安全,很多人为了便于记忆把所有帐号的密码都设成相同的,一旦在一个地方身份密码被盗,就会危害到很多其他的帐号安全。
MFA 通过结合两个或多个额外的凭证来提供身份验证的安全性和可靠性,常用的 MFA 方案有以下几类:
- 知识型的身份验证
- 如在一台新手机上登录微信,微信会显示一组用户,让你选择哪些是你的朋友,以此来防止微信帐号被盗用。
- 安全性令牌或者智能卡
- 常见的如网银U盾或令牌,每一个令牌设备都只跟唯一的用户帐号绑定。
- 生物识别验证
如指纹、声纹识别等来唯一识别一个用户,但是目前还不是非常普及。
因为每个人的手机号码也是唯一的,所以手机短信也经常被用作为令牌口令,来增强身份认证的安全性。因为手机的普及性,短信验证是目前成本最低、最简单便捷的二次验证方式。最近网上有不少文章批露短信验证不安全,例如手机中的木马软件会截获短信,安卓手机上不少应用会贴心地帮你填入短信验证码就是获取了相关的权限从而截获得验证短信;或者是利用 GSM 的漏洞,通过伪基站来监听手机通讯也可以盗取短信验证码。
身份认证管理也是 Workspace ONE 的一个重要功能,Workspace ONE 除了可以跟第三方的多因子验证方案相集成,最近它又最新推出了 VMware 自己的多因子认证方案 VMware Verify。从使用者的角度来看,Verify 就是安装在智能手机上的一个 App,当用户在另外一台设备上登录企业应用时,Workspace ONE 就会通过该用户手机上的 Verify 应用进行二次认证,有两种方式:
- 直接在 Verify 应用界面上批准或拒绝认证请求(下图左)
- 把 Verify 作为一个令牌设备,显示一个动态的令牌口令(下图右)
Workspace ONE 的这一新功能大大提高了用户体验和企业身份认证的安全性,IT 部门也不用考虑去采购和融合任何第三方的 MFA 解决方案了,只需要部署 Workspace ONE 就可以搞定身份认证的所有功能。
下面给大家演示一段视频,让大家对 Workspace ONE 的 MFA 功能有一个直观的认识。
演示场景一
通过 Workspace ONE 登录时,手机上收到一条认证通知,用户手动操作划动通知,通过TouchID指纹识别直接打开Verify App,然后选择批准。
演示场景二
在 Verify 中演示令牌口令,然后在登录界面中输入一次性口令来登录。
