無硬件實現硬件級企業身份驗證：適用于IAM的創新解決方案

IBM的最新研究表明，數據泄露平均損失如今高達破紀錄的424萬美元。最主要的原因是什么呢？憑證被盜！為什么會被盜？人為失誤！盡管調查結果繼續顯示出錯誤做法的上升趨勢，但安全挑戰本身卻久已有之。新出現的問題在于，工作環境安全防護的復雜性快速增加，達到了前所未有的高度。CISO/CIO不得不同時應對老舊系統、云托管、本地部署、遠程員工、現場辦公、傳統軟件和軟件即服務（SaaS）等等。

企業迅速適應的做法值得稱道，但面對如今員工散布各處辦公場所和各自家中的情況（超過半數員工揚言不實行混合工作模式就不復工復產了），這一挑戰變成了如何保護好非均勻邊界。

眾所周知，僅靠口令并不足以守好安全防線。基于知識的訪問控制通常輔以其他形式的多因素身份驗證（MFA），比如身份驗證應用或FIDO令牌，安全要求非常嚴格的情況下還可以使用生物特征識別技術。

混合工作模式要求強大的IAM

“BYOD”（自帶設備辦公）時代演變成了咨詢公司Gartner所謂的“自備身份辦公”：員工在不同位置通過一系列遠程設備訪問數據。

網絡罪犯能以多種方式攔截數據，比如盜取登錄憑證、進行網絡釣魚、執行中間人攻擊等等。這些手段在咖啡館或機場Wi-Fi熱點等缺乏安全控制措施的公共網絡上更加容易施展。如果員工訪問僅僅基于用戶名和口令等知識因素，那攻擊者入手敏感數據完全訪問權限也不是什么難事。

基于硬件的安全令牌或加密狗越來越受歡迎，尤其是在企業級層面上。這些設備能生成密碼供用戶登錄時輸入，因而只有持有令牌的用戶才能獲得訪問權限。但這些單獨的小硬件設備也不是沒有弱點。

硬件身份驗證存在的問題

成本高：安全令牌單個設備的平均成本在50到100美元之間。所以，一般只有少數高風險人士才有權使用此類設備，而不太重要的員工就很容易被攻破了。

設備易遺失：硬件令牌可能會丟失、被盜或忘帶，而員工往往只在需要訪問權限的時候才會意識到這一點。訂購新令牌可不便宜，而且還很麻煩。

用戶體驗差：翻出設備并輸入密碼需要勞煩用戶動手操作，而且不能輕松用于快速配置、人事變動和與外部承包商合作上。

攻擊風險大：盡管無法直接遠程接觸，硬件令牌卻也不能完全規避中間人攻擊——惡意黑客可以誘騙用戶在虛假網站/登錄頁面上輸入密碼。

現在有一種創新技術可以無需增加任何硬件裝置就為IAM帶來強大的持有因素，而且這種技術已經掌握在幾乎每個人的手中了。

用手機代替硬件令牌

這種比購買昂貴的令牌更便捷的替代方案，就是利用員工已經持有的東西：手機。

運用SIM卡的高級加密安全功能，移動網絡已經采用安全且透明的方式進行客戶身份驗證，保障通話和數據傳輸的安全性。基于SIM卡的身份驗證是防篡改的實時驗證，其工作原理類似于銀行卡中的芯片。

因為無需用戶翻找令牌和輸入密碼，基于SIM卡的身份驗證令員工登錄變得簡單，同時還能將惡意黑客拒之門外。通過驗證SIM卡本身而非僅僅驗證手機號，我們還可以檢查SIM卡交換行為，阻止賬戶接管攻擊。

基于SIM卡的替代方案性價比更高、更普適，非常適合大規模部署。如果能夠推廣，這種方法可使每位員工（而非僅僅少數重要員工）都達到最高安全級別。而且，不同于容易丟失的小巧硬件加密狗，手機可是員工走到哪兒帶到哪兒的重要設備。

如今，公司企業可通過tru.ID提供的API調用基于SIM卡的網絡身份驗證，實現無摩擦的安全驗證。

由于tru.ID不處理移動網絡及其API之間的個人可識別信息（PII），用戶大可不必過多擔憂自身隱私問題。

tru.ID SIM安全解決方案實戰

使用tru.ID API的方法之一是實現無密碼一鍵注冊和登錄解決方案，通過配套應用來訪問企業系統。示例工作流程如下：

tru.ID覆蓋20個市場中的20多億部手機，可通過兩種方式加以部署：既可以通過簡單的REST API和SDK直接集成進公司現有應用，也可以與tru.ID配套應用一起推出，由配套應用通過員工手機憑證來驗證其訪問權限。為探討應用案例，tru.ID熱切期盼聽到來自社區的聲音，請不吝訪問網站觀看演示或直接開始編程。

tru.ID官網：https://tru.id/