
身份验证: 强大的安全访问管理指南
是否忧心如何使您的组织免受未经授权的访问? 或是忧心如何实施零信任架构? 无论您的目标是什么,身份验证对您的成功都至关重要。
请继续阅读,了解强大的身份验证的重要性、便利可用的选项以及 Entrust 如何让您的企业为未来做好准备。
什么是身份验证?
美国国家标准与技术研究所 (NIST) 将身份验证定义为验证用户或设备身份的过程,这是允许访问信息系统中资源的先决条件。
更简单地说,这是一种验证某人(或某物)是他们所声称身份的方式。 因此,身份验证是一种安全措施,用于防止未经授权的用户或计算机访问受保护的资产。
身份验证和授权
在讨论身份验证方法时,“未经授权的访问”一词尤其重要。 尽管该词与“授权”的定义密切相关,但却有明显的不同。
具体而言,授权是授予经过身份验证的用户访问特定资源或功能的权限的过程。 这是一个重要的区别,因为并非所有经过认证的实体都可能被授权使用某些资产。
假设员工想要访问特定的云应用。 系统会提示他们输入身份验证凭证,例如用户名和密码。 但是,他们所在组织的访问控制策略可能会将该应用限制为仅限高级员工访问。 在这种情况下,由于他们不是授权用户,他们无法使用所请求的资源。
您可以将身份验证视为用于进入大门的钥匙,而将授权视为用于进入建筑物某些区域的徽章。 任何有钥匙的人都可以进入场所,但未经授权的用户无法进入 VIP 休息室。 总而言之,二者的区别在于:
- 身份验证确认身份。
- 授权确认权限。
综上所述,这两个过程都是网络安全和访问管理的重要组成部分。
为什么身份验证如此重要?
数字身份验证兴起于 20 世纪 60 年代。 当时,计算机是房间大小的大型设备,只能在大型研究机构和大学中看到。 由于尺寸巨大,计算机由学生、教职员工和研究人员共享。
唯一的问题是什么?每个人都可以不受限制地访问彼此的文件。 麻省理工学院的一名学生意识到这个问题,于是创建了一个基本的密码程序,数字身份验证由此诞生。
几十年后,身份验证方法与时俱进,但前提是一样的: 针对用户依赖的资源,为用户提供安全可靠的访问权限。 在我们当今的数字时代,强大的身份验证比以往更加重要。
如果没有适当的身份验证系统,威胁者可能会在未经授权的情况下访问私人和公司账户。 更糟糕的是,只需要一个泄露的凭证就可以演变为针对所有关联账户的全面攻击,使敏感数据大规模泄露。
好在经过改进的新网络安全方法正在引入应对此类威胁的创新方法,即零信任框架。 该模型不仅提倡隐式信任,而且将身份验证置于其架构的核心。
身份验证和零信任
简而言之,零信任安全是一个框架,它假设所有实体都可能是恶意的,因此应将其视为恶意实体。 零信任不是只验证一次身份,而是在用户每次请求访问任何资源(包括网络、应用、文件等)时持续对他们进行身份验证。
这种方法特别重要,原因有两个:
- 网络犯罪: 黑客不断攻击特权账户,利用弱密码,部署勒索软件,并在此过程中收集敏感数据。 根据 Verizon 的 2023 年报告,大约一半的外部泄露是由凭证盗窃造成的。 实际上,90% 的受访组织在 2020 年遭受了网络钓鱼攻击,而另有 29% 的组织报告了凭证填充和暴力攻击,这导致许多密码不得不重置。
- 机器身份: 您是否知道大多数企业的联网设备比人类用户多? 这些“机器”(服务器、计算机等)使用数字证书和称为“机器身份”的加密密钥进行身份验证。 但是,如果落入坏人之手,这些证书可能会破坏安全性。 在全球范围内,未受保护的机器身份给世界造成了超过 510 亿美元的经济损失。 因此,组织必须不断验证存储在其数据库中的计算机的身份匹配项。
好在零信任架构可以解决这些问题。 而且,将身份验证作为其模型的核心原则后,企业可以通过在整个环境中实施持续的身份验证机制来为其框架奠定坚实的基础。
身份验证用例
现在,越来越多的组织更加了解访问控制,他们开始以激动人心的新方式利用数字身份验证。 一些最常见的企业用例包括:
- 登录企业资源: 持续身份验证工具可让员工访问关键的公司系统, 无论是电子邮件和文档还是数据库和云服务。这可确保敏感的企业数据受到保护。
- 网上银行业务和金融服务: 强大的身份验证对于客户引导和网上银行业务至关重要。 它不仅可以在某人开设新账户或访问现有账户时验证他们的身份,而且不会严重影响用户体验。
- 提供安全的远程访问: 在混合工作时代,身份验证尤其重要。 员工在全球各地使用不受保护的设备和不安全的网络工作,这使得验证用户和机器身份变得更加重要。
- 保护数字交易: 电子商务发展迅速,但一些组织难以跟上这一步伐。 但是,通过创新的身份验证方案,您可以保护财务数据和敏感信息,同时打击欺诈并提高客户信任。
- 改善机器身份管理: 尽管数量上占劣势,但企业可以通过利用持续身份验证来收回对机器身份的控制权。 这可以在整个生命周期保护加密资产,确保机器之间的安全连接。
身份验证的工作原理是什么?
用户或实体提供凭证,将其与授权信息数据库中存档的凭证进行比较。 此记录可能位于本地部署、本地运行的服务器或基于云的身份验证服务器中。
值得注意的是,这些证书可能不仅仅是简单的用户名和密码组合,而是一系列用于识别的属性,这些属性可以一起用于验证发出请求的个人。 归根结底,这取决于特定的身份验证方法。 例如,生物识别身份验证可能使用面部识别或指纹识别。
如果提供的信息与存档的信息相匹配,则系统可能会授权该实体使用该资源,从而为最终用户提供访问权限。 但是,这也取决于其他条件,例如预先确定的访问控制策略,也就是“权限”。
换句话说,即使用户提交了正确的凭证,如果没有授予他们对相关资源的访问权限,他们也不会获得授权。
当然,您可能想知道: 此流程需要多长时间? 尽管它可能看起来复杂而繁重,但实际上是在几秒钟内发生的。 借助快速而强大的身份验证计划,您可以在不影响用户体验的情况下验证身份。
什么是身份验证因素?
最基本的一点是,身份验证因素代表一条信息或一个属性,可以验证请求访问任何给定资源的用户或实体。 传统上,身份验证因素可以是您知道的东西、您所拥有的东西或您固有的特征。 但是,这些年又新出现两个变量,使总数达到五个。
因此,以下内容用于身份验证:
- 知识因素: 反映用户已知信息的任何凭证,例如个人识别码 (PIN) 或密码。
- 占有因素: 这包括用户拥有的任何凭证,例如令牌或智能卡。
- 固有因素: 您的固有因素包括指纹或视网膜扫描等生物识别数据。
- 位置因素: 此因素与设备尤其相关。 假设某人通常在家登录,但有一天其账户在国外活跃。 地理数据使您可以防止远程攻击者通过受入侵的账户访问资源。
- 时间因素: 时间是与其他因素协调使用的。 它只需检查是否在预定的时间间隔内以及与指定地点(例如员工家中或办公室)的关系即可证明个人的身份。
尽管前三个可以自行验证身份,但后两个必须与其他因素中的一个一起使用,才能充分验证个人或机器。
身份验证方法
哪种身份验证方法最适合您的企业? 这是个陷阱问题: 可能不只有一个解决方案。 最好使用分层、强大的身份验证系统以及许多不同的方法来确保您受到全面保护。
让我们回顾一些最基本的身份验证类型及其工作原理:
1. 单因素身份验证 (1FA)
1FA 是最基本的身份验证类型之一。 简而言之,1FA 的含义正如其名:一个只需要三个核心身份验证因素之一的系统。
以密码身份验证为例。 在这种方法下,个人提供用户名和密码(或 PIN)。 这是迄今为止最常见的身份验证策略,但也是最容易被利用的。
不幸的是,人们倾向于使用弱密码。 更糟糕的是,他们将相同的密码重复用于多个账户,这使他们容易受到网络钓鱼攻击等社会工程威胁。
2. 多因素身份验证 (MFA)
多重身份验证需要多个身份验证因素来验证某人的身份。 根据该定义,双重身份验证 (2FA) 属于这一类,但是多重身份验证通常被认为是一种更安全的选择。
在这种情况下,除密码外,个人还必须提交其他信息,例如一次性验证码。 他们还可能被要求回答一个只有他们知道答案的个人安全问题。
多重身份验证通过创建比基本身份验证更多的保护层来帮助组织抵御网络钓鱼攻击和其他恶意威胁。
3. 单点登录 (SSO)
单点登录方法可让用户将一组统一的凭证应用于多个账户。 此过程特别受欢迎,因为它简化了登录工作并提供了更快的用户体验。
从企业角度来看,这使员工只需登录一次即可快速访问关联的应用。 系统会颁发数字证书,用户每次请求访问集成单点登录的应用时系统都会检查该证书。
但是,如果黑客获得了单点登录凭证,他们也可以访问该用户关联的应用。 因此,这种方法最好通过额外的身份验证策略来支持。
4. 免密身份验证
顾名思义,免密身份验证系统不需要您输入静态密码, 而是通过其他方式识别用户。 这可能包括生物识别和硬件令牌,但最常见的是利用一次性实时密码 (OTP)。
OTP,有时也称为基于时间的一次性实时密码 (TBOTP),可提供更安全的身份验证流程,因为它们会根据需要生成临时凭证。 例如,当某人登录应用时,可能会收到一个发送到其电子邮件和/或移动设备的密码。 提供此代码后,此人才能访问资源。
5. 生物识别身份验证
生物识别标识不依赖于可能被盗的凭证,而是个人独一无二的特征。 常见的生物识别因素类型包括:
- 指纹
- 手掌扫描
- 面部识别
- 虹膜识别
6. 基于证书的身份验证 (CBA)
CBA 使用数字证书来验证实体的身份,并授予其访问计算机系统的权限。
证书使用公钥加密,提供包含有关用户和/或设备信息的唯一代码, 还包括用于与所请求资源建立安全连接的加密密钥。
CBA 通常用于需要最高安全性的高度敏感情况。
7. 基于令牌的身份验证 (TBA)
TBA 是一种身份验证协议,可生成唯一的加密安全令牌。 在令牌(可以撤销或续订)的有效期内,用户可以访问为其颁发令牌的任何网站或应用,而不必每次返回时都重新输入凭证。
8. 基于风险的自适应身份验证
基于风险的身份验证 (RBA),也称为自适应身份验证,会根据与每个特定会话或交易相关的风险级别动态变化。 简言之,该验证方法为这些互动分配风险分数,以此来确定证明实体身份所需的身份验证量。
例如,低风险会话可能只需要双重身份验证。 但是,如果是高风险情况,系统可能会要求用户完成其他验证因素。
立即加强您的身份验证策略
强大而持续的身份验证是现代网络安全的关键。您的组织需要完全保证其连接、身份和数据不受未经授权的访问,而 Entrust 恰能提供这一点。
我们的身份和访问管理 (IAM) 产品组合包括大规模保护企业安全所需的所有基本工具。 从防网络钓鱼的多重身份验证,到自适应升级身份验证,您可以在一个全面的套件中实施分层、强大的策略。