IAM的六種主流身份驗證方法
身份驗證是數據安全、網絡安全和應用安全的第一步。而身份和訪問管理(IAM)的目標是確保正確的人能夠以正確方式訪問正確的資源,未經授權的用戶則會被拒之門外。
在選擇身份驗證類型時,企業需要兼顧用戶體驗和安全性。某些用戶身份驗證類型的安全性低于其他類型,但更高強度的身份驗證可能會產生過多摩擦,導致員工實踐不佳,并最終導致身份驗證計劃流產。
以下介紹和點評六種主流IAM身份驗證方法,希望能幫助您選擇最適合需求的身份驗證協議。
6種主流IAM身份驗證方法
身份驗證方法包括用戶知道的東西、用戶擁有的東西和用戶具有的東西。然而,并非每種身份驗證類型都是為了保護網絡而創建的。這些身份驗證方法的范圍從提供基本保護到更強的安全性。建議使用不止一種方法——多因素身份驗證(MFA)。
01基于密碼的認證
也稱為基于知識的身份驗證,基于密碼的身份驗證依賴于用戶名和密碼或PIN。密碼是最常見的身份驗證方法,任何登錄過計算機的人都知道如何使用密碼。
基于密碼的身份驗證是攻擊者最容易濫用的身份驗證類型。人們經常重復使用密碼并使用字典單詞和公開的個人信息創建可猜測的密碼。此外,員工需要為他們使用的每個應用程序和設備設置密碼,這使他們難以記住,并導致員工盡可能簡化密碼(弱密碼)。這使得帳戶更容易受到網絡釣魚和暴力攻擊。
公司應制定限制密碼重復使用的密碼策略。密碼策略還可以要求用戶定期更改密碼并要求密碼保持一定的復雜度。
02雙因素/多因素身份驗證
雙重身份驗證(2FA)要求用戶提供除密碼之外的至少一個附加身份驗證因素。MFA需要兩個或多個因素。其他因素可以是本文提及的其他身份驗證類型或通過文本或電子郵件發送給用戶的一次性密碼。“多因素”的涵義還包括帶外身份驗證,其中涉及第二個因素與原始設備位于不同的通道上,以減輕中間人攻擊。這種身份驗證類型增強了帳戶的安全性,因為攻擊者需要的不僅僅是訪問憑據。
2FA的強度取決于次要因素。使用需要用戶的生物識別信息或推送通知,可提供更強大的2FA。但是,在部署2FA或MFA時要小心,因為它會降低用戶體驗,制造摩擦。
03生物特征認證
生物識別技術使用用戶自身生物特征進行驗證,較少依賴容易被盜的秘密(例如密碼口令)來驗證用戶是否確實擁有帳戶。生物識別身份也是唯一的,這使得破解帳戶變得更加困難。
常見的生物識別類型包括:
- 指紋掃描根據用戶的指紋驗證身份驗證;
- 面部識別使用人的面部特征進行驗證;
- 虹膜識別使用紅外線掃描用戶的眼睛,將模式與保存的配置文件進行比較;
- 行為生物識別技術使用一個人走路、打字或處理設備的方式。
很多用戶已經非常熟悉生物識別技術,因此該身份驗證方法更容易在企業環境中部署。許多消費類設備都具有生物特征驗證功能,包括Windows Hello、Apple的Face ID和Touch ID。生物特征身份驗證體驗通常更流暢、更快捷,因為它不需要用戶回憶密碼或密碼。攻擊者也更難進行欺騙。
技術問題仍然是生物識別技術的最大缺點。并非所有設備都以相同的方式處理生物特征。較舊的設備可能只使用被圖片欺騙的已保存靜態圖像。較新的軟件(例如Windows Hello)可能需要設備配備具有近紅外成像功能的攝像頭。這可能需要比其他身份驗證類型更高的前期成本。用戶還必須樂于與公司分享他們的生物特征數據,但沒有公司能夠保證不被黑客入侵。
04單點登錄
單點登錄(SSO)使員工能夠使用一組憑據訪問多個應用程序或網站。用戶擁有身份提供者(IdP)的帳戶,該身份提供者是應用程序(服務提供者)的可信來源。服務提供商不保存密碼。IdP通過用戶通過它驗證的cookie或令牌告訴站點或應用程序。
SSO減少了用戶需要記住的憑據數量,從而增強了安全性。用戶體驗也得到了改進,因為只要他們(近期)通過了IdP的身份驗證,就不必在每次訪問每個帳戶時都登錄。SSO還有助于大大減少與密碼問題有關的技術支持時間。
SSO的潛在問題是,一旦IdP遭受數據泄露,攻擊者可以使用一組憑據訪問多個帳戶。SSO還需要IT部門在初始階段投入大量時間來設置和連接其各種應用程序和網站。
05基于令牌的認證
令牌身份驗證使用戶能夠使用物理設備(例如智能手機、安全密鑰或智能卡)登錄帳戶。它可以用作MFA的一部分或提供無密碼體驗。使用基于令牌的身份驗證,用戶在預定的時間段內驗證一次憑據,以減少持續登錄。
令牌使攻擊者難以訪問用戶帳戶。攻擊者需要物理訪問令牌和用戶憑據才能滲透帳戶。
必須信任員工,讓他們保管自己的令牌,因為如果忘記或丟失令牌,用戶將被鎖定,無法訪問賬戶。
06基于證書的認證
證書身份驗證使用證書頒發機構頒發的數字證書和公鑰加密來驗證用戶身份。證書存儲身份信息和公鑰,而用戶擁有虛擬存儲的私鑰。
基于證書的身份驗證使用SSO。IT可以部署、管理和撤銷證書。這種身份驗證類型適用于雇用臨時需要網絡訪問的承包商的公司。
基于證書的身份驗證部署起來既昂貴又耗時。IT還必須創建一個重新注冊流程,以防用戶無法訪問他們的密鑰——例如,被盜或設備損壞。
流行的身份驗證方法協議
身份驗證過程涉及在遠程客戶端和服務器之間安全地發送通信數據。流行的身份驗證協議包括以下內容:
- 輕量級目錄訪問協議(LDAP)用于身份驗證,以使用目錄服務驗證憑據。使用LDAP時,客戶端請求存儲在數據庫中的用戶數據,并在憑據匹配時提供訪問權限。
- 如果服務器無法處理更強的協議,則使用密碼驗證協議(PAP)。PAP以明文形式發送用戶名和密碼,因此很容易成為窺探目標。
- 質詢握手身份驗證協議(CHAP)提供比PAP更好的保護。CHAP使用質詢/響應機制進行身份驗證,而不是傳輸秘密,從而減少重放攻擊的機會。
- 可擴展身份驗證協議(EAP)用于無線連接,作為加密網絡的點對點協議的一部分。EAP提供了一個支持和擴展多種身份驗證方法的框架。
- Kerberos用于在包括Windows、macOS和Linux在內的操作系統中通過不安全的網絡(例如Internet)進行身份驗證。Kerberos與受信任的第三方合作以提供訪問證書。
- OpenID是用于身份驗證和SSO的開源協議,用作OAuth 2.0授權框架的身份層。用戶無需直接登錄到各個網站,而是被重定向到OpenID站點進行登錄。
- 安全斷言標記語言(SAML)是一種開源協議和SSO標準。SAML在IdP和服務提供商之間通過簽名的XML文檔傳遞信息。
- FIDO2是多家科技巨頭聯合推動的一種安全標準,使用Web身份驗證API和客戶端到身份驗證器協議,通過來自本地設備(例如令牌或智能手機)的公鑰加密對用戶進行身份驗證。
- SSL/TLS使用公鑰加密和數字證書在用戶和服務器之間進行身份驗證。
(來源:@GoUpSec)
