DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

cdn高防_韩国高防服务器_秒解封

06-11 WEB安全

cdn高防_韩国高防服务器_秒解封

产品与工程2018年11月14日史蒂夫·沃奥利弗·斯托克正在脱机构建Windows当我们的客户希望支持Windows的脱机多因素身份验证时,我们首先关注要解决的基本技术问题。我们如何信任离线设备的注册和持续身份验证?幸运的是,我们不是从一楼开始的。我们已经有了一个广泛使用的Windows登录框架。Windows Logon是我们第三大安装应用程序集成,第八大用户。Windows登录依赖于凭据提供程序框架。通过依赖现有的Microsoft Windows框架,它在可支持性方面对我们的开发团队和客户都有帮助。离线报名我们做出的第一个决定之一是,在允许离线身份验证之前,需要进行初始在线身份验证,以证明用户的身份。这种模式与我们在Duo提示符下注册的要求相关,在允许最终用户添加新设备或管理其他身份验证方法之前,我们需要进行身份验证(通过Duo Push、Universal 2nd Factor或U2F、密码等)。我们的第一个身份验证方法我们与Duo-Labs研发团队一起研究了支持离线验证的多种方法。Duo-Push无法支持,因为这需要Apple推送通知服务(APNS)或googleplay服务与我们的服务对话并请求认证。由于笔记本电脑或台式机处于脱机状态,因此没有什么可以调用internet来启动该过程。对于电话回拨或基于短信的密码也有同样的限制,因为从笔记本电脑或台式机开始验证没有一个初始步骤。我们还研究了通过蓝牙或Wi-Fi等技术实现的基于近距离的身份验证,美国高防cdn节点,但得出的结论是,cc防御的优势,与这些类型的技术相关联的变量太多,超出了我们的直接控制范围。例如,使用蓝牙技术,尽管目前它在笔记本电脑和台式机上随处可见,但移动设备与Windows7、8.1或10设备的配对过程是具有挑战性的。这是一个用户体验,家庭宽带如何防御ddos攻击,Duo无法有意义地改善。基于Wi-Fi的近距离在信号维护和质量方面有太多的变量,尤其是在用户乘坐飞机的情况下。这甚至还没有提到用户使用的智能手机的变化,我们看到超过200种不同类型的安卓设备,在设置、操作系统版本和用户体验方面都存在细微或重大差异。我们不仅受益于现有的Windows登录集成,而且还拥有被数百万用户广泛使用的Duo-Mobile。由于离线设备要求,Duo-Mobile无法支持推送通知,但是Duo-Mobile还支持一次性密码(OTP)令牌存储。我们可以使用二维码创建一个注册事件,类似于我们如何将应用程序注册到Duo-Mobile中,通过它,我们可以使用Duo-Mobile共享笔记本电脑的机密,从而创建一个OTP令牌。由于这是一个完全独立于在线Duo凭证的注册,即使在设备受到危害的最坏情况下,丢失的机密也只会针对该端点的本地登录。为什么是安全钥匙?客户告诉我们,他们还需要能够为离线MFA使用硬件令牌,原因有很多:对于可能选择不使用移动设备进行工作身份验证的用户对于因公司网站规定或现场供应商访问限制而无法访问其移动设备的用户最初,我们使用我们出售的现有D-100代币。这是市场上遗留身份验证工具的常见解决方案集。但是使用这些传统键也有很多缺点。首先,我们需要一种机制来将存储在Duo在线数据库中的OTP种子共享到本地笔记本电脑或计算机上。如果本地OTP种子被盗或被使用,几万条cc攻击怎么防御,那么该代币将被泄露,对于任何其他目的都毫无价值。通过Duo Mobile,我们通过QR码通信机制创建了一个注册活动。D-100和其他硬件令牌与计算机没有任何接口。这是一个安全挑战,如果没有一个好的解决方案,需要一个潜在的用户注册机制。第二,我们的客户已经明确表示,其他产品的硬件令牌认证体验是他们转向Duo的原因。我们想用硬件令牌解决方案帮助客户,但我们需要一个更强大的解决方案。它具有更强的安全属性,并使最终用户的安全更容易。在Duo,我们是FIDO安全密钥的有力倡导者,并且已经广泛地部署了它们。首先,由于电容式触摸步骤,U2F令牌保证了用户在登录点的存在。第二,由于U2F标准依赖于像Duo-Mobile这样的非对称加密技术,这意味着我们限制了上述关于泄漏种子的风险。私钥存储在硬件本身上,只有一个唯一的公钥与端点共享。在受损端点的最坏情况下,丢失的只是本地登录特有的多因素凭证,类似于我们使用Duo Mobile的解决方案。例如,如果本地脱机登录和联机登录使用相同的安全密钥,则这两个凭据是分开的,因此丢失脱机凭据不会构成联机凭据的丢失。最后,同样重要的是,这是一个更好的用户体验。用户只需轻触电容式触控令牌,而不需要输入旋转的多位数代码。强大的安全属性和更好的用户体验的结合是Duo如何处理和开发客户问题解决方案的重要组成部分。另外,它还帮助我们在整个测试版中与40个客户一起验证了该解决方案。事实上,银行业、能源业、医药业和科技业的许多客户都在试用安全密钥,并利用这个机会对它们进行更多的用例测试。储存当地种子当端点能够接触到我们的服务时,我们就可以应对在我们的云基础设施中保护种子的挑战。因为这是我们发布的第一个在身份验证时离线的产品,所以我们需要开发一种机制来在端点上存储离线MFA凭证。幸运的是,随着时间的推移,端点变得越来越安全。自2015年秋季以来,所有基于Intel的Windows设备都附带了Trusted Platform Module(TPM)。TPM为加密密钥提供了防篡改的存储机制。Windows10提供了依赖TPM进行加密的API,因此我们使用它来加密存储在注册表中以供本地访问的凭据。根据设计,软件无法将任意数据保存到TPM中,因此我们无法在TPM中存储种子。在企业环境中,我们知道硬件更新需要几年时间。因此,对于不包含TPM的设备,我们使用Windows软件加密在注册表中写入加密密钥。使用安全密钥,一个独特的好处是私钥嵌入安全密钥硬件本身,而不是与端点共享。本地存储的全部内容是唯一的公钥,以便于验证U2F令牌响应。其他配置我们认为我们应该利用这个机会分享在beta测试期间与40个客户合作的经验教训,以确保本地Windows端点的安全。我们从客户那里听到的第一个建议是从加密硬盘开始。Bitlocker是Microsoft内置的硬盘加密解决方案,但也有第三方解决方案供客户选择利用。对硬盘进行加密还有一个额外的好处,cc防御在哪调整,那就是限制精明的用户访问安全模式,而这些用户正试图绕过诸如Windows登录之类的凭据提供程序。第二个教训是通过禁用管理权限来管理管理管理权限。许多客户更进一步,他们利用特权身份管理工具,如CyberArk,这是一个Duo-Select合作伙伴,来管理临时权限升级。最后,安全密钥有多种形式。Yubico提供了可以嵌入到设备中的纳米尺寸的钥匙,以及更标准的遥控钥匙大小的设备。我们的客户对他们将选择使用哪种外形尺寸有分歧,这取决于您对NIST 800-53多因素认证定义的理解。一些客户将其理解为声明MFA的验证器必须与接入设备完全分离,因此他们选择使用用户需要插入和拔出的遥控钥匙。其他客户认为,只要它们是不同的设备,使用留在设备中的纳米形状因子是可以接受的。最终,我们的观点是,客户可以选择最适合其特定风险状况和使用情形的设备类型。一些客户选择只支持Duo-Mobile,另一些客户选择只允许使用安全密钥,大多数客户都会提供这两个选项。我们把选择权交给你。摘要我们启动这个项目是因为客户遇到了一个问题:确保越来越多的流动劳动力不总是连接到互联网的访问。从大约一年前的今天开始,Windows离线交付之旅才刚刚开始,如果没有整个组织的贡献,就不可能实现。它从我们的Duo Labs研发团队和Windows工程团队开始,后来发展到包括产品设计和移动工程团队。然后我们扩展到与40个beta版客户合作,从最初的前端设计和架构到第一个b

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/web/60348.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8071611访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X