強身份驗證——強大的身份和訪問管理已成為企業安全的戰略選擇

隨著網絡安全形勢的變化，使用多重身份驗證的方式變得越來越普遍。2021年Verizon數據泄露調查報告指出，弱身份驗證是信息系統中最常見的安全問題，用戶名和密碼的組合本身就是一種不充分且易受攻擊的身份驗證方式。

因此，在授予對資源的安全訪問權限之前，必須采用多因素身份驗證 (MFA) 等強大的身份驗證技術來確認用戶的身份，在提高安全性的同時也不能阻礙用戶的便利性。

什么是強身份認證？

強身份驗證是“任何驗證用戶或設備身份的方法，其本質上足夠嚴格，以通過抵御可能遇到的任何攻擊來確保其保護的系統的安全性” ，它通常被認為是在密碼不足時確認用戶身份的一種方式。強身份驗證必須包括“至少兩個相互獨立的因素”，這樣一個妥協就不會導致另一個妥協。這些因素是：

● 知識因素——用戶知道的東西（例如，密碼、部分密碼、密碼、個人識別碼PIN、質詢響應、安全問題）。

● 所有權因素——用戶擁有的東西（例如，腕帶、身份證、安全令牌、植入設備、帶有內置硬件令牌的手機、軟件令牌或持有軟件令牌的手機）

● 內在因素——用戶是誰（例如，指紋、視網膜圖案、DNA序列、簽名、面部、語音、獨特的生物電信號或其他生物識別標識符）。

需要采用不止一種這些措施來確保只有合法用戶才能訪問應用程序和服務，并且當應用程序包含需要保護的機密、個人身份信息等敏感數據時。

在 IAM 策略中，強大的身份驗證方法（如 MFA 和現代身份驗證）正在迅速取代密碼等傳統方法，特別是作為 IT 和安全團隊如何執行訪問控制和獲取訪問事件可見性的新黃金標準——尤其是在工作負載遷移到云時、虛擬機以及跨遠程和混合環境。

IAM 安全邊界

強身份驗證是現代身份和訪問管理的關鍵組成部分。它不僅在入口點周圍提供額外的安全層，而且允許在整個環境中自定義級別的身份驗證、授權和訪問控制，只為用戶提供他們需要的權限（和登錄要求）。

多因素身份驗證 (MFA)當下被廣泛視為最強的身份驗證模式。MFA 能夠幫助組織：

● 防止由弱密碼造成的危害。使用 MFA，僅憑密碼不足以授予訪問權限，因此憑證填充和蠻力攻擊變得毫無用處。

● 減少來自網絡釣魚和其他社會工程計劃的身份盜用。即使受害者確實單擊了釣魚郵件并輸入了一些憑據，但如果他的銀行、工作 VPN 或其他接入點需要 MFA（尤其是使用令牌化、生物識別或基于位置的條目），這些憑據的缺失將會讓黑客將轉向更容易攻擊的目標。

● 保持在合規范圍內，例如OMB 零信任網絡安全備忘錄和歐盟網絡安全機構 (ENISA) 以及 CERT-EU指南。這些文件都要求在整個下屬企業中使用 MFA。

強身份驗證中使用的一些 MFA 方法包括：

● FIDO 安全密鑰

● 基于證書的智能卡和基于證書的 USB 令牌

● 基于手機和軟件的身份驗證

● 一次性密碼 (OTP) 身份驗證器

● 基于模式（或網格）的身份驗證器

● 混合代幣等等

現代身份驗證依賴于 FIDO 和 Webauthn 等技術、上下文身份驗證和現代聯合協議，這些技術可確保云環境中的正確用戶身份和訪問控制。這意味著組織可以為云應用程序實施更有效的訪問安全性，以及已經為本地和舊應用程序實施的現有訪問控制。靈活的基于策略的訪問可實現友好的體驗，同時為需要它的角色或資源保持高水平的安全性。

強身份驗證方案需要考慮哪些因素？

在選擇強大的身份驗證服務時，無論是在本地還是在云中，要考慮的功能包括：

1.基于策略的訪問，能夠實現條件訪問。為了優化最終用戶體驗，同時為特定用戶和應用程序保持最佳訪問安全性，尋找可以通過策略和風險評分強制執行一系列身份驗證方法的解決方案。

2.抵御網絡釣魚。根據Verizon 的 2021 數據泄露調查報告，網絡釣魚約占所有數據泄露事件的四分之一。使用 FIDO2 的強大身份驗證解決方案既可以安全地進行身份驗證，又可以防止攻擊。

3.用戶體驗。所涉及的方法是否會造成安全疲勞，或者保護多次使用的身份驗證過程是否簡單？

4.適應性和可定制性。組織內部能否根據角色或資產分配不同的訪問控制？上下文、環境或用例呢？

在將一切因素納入考慮范圍之后，企業還需要尋找一家強身份驗證解決方案提供商來結合自身所在行業的身份和訪問法規，結合企業當前的身份環境來順利集成，靈活部署并在過渡時保持平衡。

為了保持基于風險的身份驗證狀態，IAM 解決方案必須隨著數字化需求的增加而不斷發展。當單一的鎖和鑰匙不再足以保護當今的虛擬機、遠程環境和基于云的資產時，強身份驗證就已經成為了組織加強內外部訪問管理的戰略選擇。