隨著網(wǎng)絡(luò)安全形勢(shì)的變化，使用多重身份驗(yàn)證的方式變得越來越普遍。2021年Verizon數(shù)據(jù)泄露調(diào)查報(bào)告指出，弱身份驗(yàn)證是信息系統(tǒng)中最常見的安全問題，用戶名和密碼的組合本身就是一種不充分且易受攻擊的身份驗(yàn)證方式。

　　因此，在授予對(duì)資源的安全訪問權(quán)限之前，必須采用多因素身份驗(yàn)證 （MFA） 等強(qiáng)大的身份驗(yàn)證技術(shù)來確認(rèn)用戶的身份，在提高安全性的同時(shí)也不能阻礙用戶的便利性。

　　什么是強(qiáng)身份認(rèn)證？

　　強(qiáng)身份驗(yàn)證是“任何驗(yàn)證用戶或設(shè)備身份的方法，其本質(zhì)上足夠嚴(yán)格，以通過抵御可能遇到的任何攻擊來確保其保護(hù)的系統(tǒng)的安全性” ，它通常被認(rèn)為是在密碼不足時(shí)確認(rèn)用戶身份的一種方式。強(qiáng)身份驗(yàn)證必須包括“至少兩個(gè)相互獨(dú)立的因素”，這樣一個(gè)妥協(xié)就不會(huì)導(dǎo)致另一個(gè)妥協(xié)。這些因素是：

　　● 知識(shí)因素——用戶知道的東西（例如，密碼、部分密碼、密碼、個(gè)人識(shí)別碼PIN、質(zhì)詢響應(yīng)、安全問題）。

　　● 所有權(quán)因素——用戶擁有的東西（例如，腕帶、身份證、安全令牌、植入設(shè)備、帶有內(nèi)置硬件令牌的手機(jī)、軟件令牌或持有軟件令牌的手機(jī)）

　　● 內(nèi)在因素——用戶是誰（例如，指紋、視網(wǎng)膜圖案、DNA序列、簽名、面部、語音、獨(dú)特的生物電信號(hào)或其他生物識(shí)別標(biāo)識(shí)符）。

　　需要采用不止一種這些措施來確保只有合法用戶才能訪問應(yīng)用程序和服務(wù)，并且當(dāng)應(yīng)用程序包含需要保護(hù)的機(jī)密、個(gè)人身份信息等敏感數(shù)據(jù)時(shí)。

　　在 IAM 策略中，強(qiáng)大的身份驗(yàn)證方法（如 MFA 和現(xiàn)代身份驗(yàn)證）正在迅速取代密碼等傳統(tǒng)方法，特別是作為 IT 和安全團(tuán)隊(duì)如何執(zhí)行訪問控制和獲取訪問事件可見性的新黃金標(biāo)準(zhǔn)——尤其是在工作負(fù)載遷移到云時(shí)、虛擬機(jī)以及跨遠(yuǎn)程和混合環(huán)境。

　　IAM 安全邊界

　　強(qiáng)身份驗(yàn)證是現(xiàn)代身份和訪問管理的關(guān)鍵組成部分。它不僅在入口點(diǎn)周圍提供額外的安全層，而且允許在整個(gè)環(huán)境中自定義級(jí)別的身份驗(yàn)證、授權(quán)和訪問控制，只為用戶提供他們需要的權(quán)限（和登錄要求）。

　　多因素身份驗(yàn)證 （MFA）當(dāng)下被廣泛視為最強(qiáng)的身份驗(yàn)證模式。MFA 能夠幫助組織：

　　● 防止由弱密碼造成的危害。使用 MFA，僅憑密碼不足以授予訪問權(quán)限，因此憑證填充和蠻力攻擊變得毫無用處。

　　● 減少來自網(wǎng)絡(luò)釣魚和其他社會(huì)工程計(jì)劃的身份盜用。即使受害者確實(shí)單擊了釣魚郵件并輸入了一些憑據(jù)，但如果他的銀行、工作 VPN 或其他接入點(diǎn)需要 MFA（尤其是使用令牌化、生物識(shí)別或基于位置的條目），這些憑據(jù)的缺失將會(huì)讓黑客將轉(zhuǎn)向更容易攻擊的目標(biāo)。

　　● 保持在合規(guī)范圍內(nèi)，例如OMB 零信任網(wǎng)絡(luò)安全備忘錄和歐盟網(wǎng)絡(luò)安全機(jī)構(gòu) （ENISA） 以及 CERT-EU指南。這些文件都要求在整個(gè)下屬企業(yè)中使用 MFA。

　　強(qiáng)身份驗(yàn)證中使用的一些 MFA 方法包括：

　　● FIDO 安全密鑰

　　● 基于證書的智能卡和基于證書的 USB 令牌

　　● 基于手機(jī)和軟件的身份驗(yàn)證

　　● 一次性密碼 （OTP） 身份驗(yàn)證器

　　● 基于模式（或網(wǎng)格）的身份驗(yàn)證器

　　● 混合代幣等等

　　現(xiàn)代身份驗(yàn)證依賴于 FIDO 和 Webauthn 等技術(shù)、上下文身份驗(yàn)證和現(xiàn)代聯(lián)合協(xié)議，這些技術(shù)可確保云環(huán)境中的正確用戶身份和訪問控制。這意味著組織可以為云應(yīng)用程序?qū)嵤└行У脑L問安全性，以及已經(jīng)為本地和舊應(yīng)用程序?qū)嵤┑默F(xiàn)有訪問控制。靈活的基于策略的訪問可實(shí)現(xiàn)友好的體驗(yàn)，同時(shí)為需要它的角色或資源保持高水平的安全性。

　　強(qiáng)身份驗(yàn)證方案需要考慮哪些因素？

　　在選擇強(qiáng)大的身份驗(yàn)證服務(wù)時(shí)，無論是在本地還是在云中，要考慮的功能包括：

　　1.基于策略的訪問，能夠?qū)崿F(xiàn)條件訪問。為了優(yōu)化最終用戶體驗(yàn)，同時(shí)為特定用戶和應(yīng)用程序保持最佳訪問安全性，尋找可以通過策略和風(fēng)險(xiǎn)評(píng)分強(qiáng)制執(zhí)行一系列身份驗(yàn)證方法的解決方案。

　　2.抵御網(wǎng)絡(luò)釣魚。根據(jù)Verizon 的 2021 數(shù)據(jù)泄露調(diào)查報(bào)告，網(wǎng)絡(luò)釣魚約占所有數(shù)據(jù)泄露事件的四分之一。使用 FIDO2 的強(qiáng)大身份驗(yàn)證解決方案既可以安全地進(jìn)行身份驗(yàn)證，又可以防止攻擊。

　　3.用戶體驗(yàn)。所涉及的方法是否會(huì)造成安全疲勞，或者保護(hù)多次使用的身份驗(yàn)證過程是否簡單？

　　4.適應(yīng)性和可定制性。組織內(nèi)部能否根據(jù)角色或資產(chǎn)分配不同的訪問控制？上下文、環(huán)境或用例呢？

　　在將一切因素納入考慮范圍之后，企業(yè)還需要尋找一家強(qiáng)身份驗(yàn)證解決方案提供商來結(jié)合自身所在行業(yè)的身份和訪問法規(guī)，結(jié)合企業(yè)當(dāng)前的身份環(huán)境來順利集成，靈活部署并在過渡時(shí)保持平衡。

　　為了保持基于風(fēng)險(xiǎn)的身份驗(yàn)證狀態(tài)，IAM 解決方案必須隨著數(shù)字化需求的增加而不斷發(fā)展。當(dāng)單一的鎖和鑰匙不再足以保護(hù)當(dāng)今的虛擬機(jī)、遠(yuǎn)程環(huán)境和基于云的資產(chǎn)時(shí)，強(qiáng)身份驗(yàn)證就已經(jīng)成為了組織加強(qiáng)內(nèi)外部訪問管理的戰(zhàn)略選擇。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<