IAM 身份驗證方法有哪些

主流IAM身份驗證方法有以下六種：

• 基于密碼的認證

  也稱為基于知識的身份驗證，基于密碼的身份驗證依賴于用戶名和密碼或PIN。密碼是最常見的身份驗證方法，任何登錄過計算機的人都知道如何使用密碼。

  基于密碼的身份驗證是攻擊者最容易濫用的身份驗證類型。人們經常重復使用密碼并使用字典單詞和公開的個人信息創建可猜測的密碼。此外，員工需要為他們使用的每個應用程序和設備設置密碼，這使他們難以記住，并導致員工盡可能簡化密碼（弱密碼）。這使得帳戶更容易受到網絡釣魚和暴力攻擊。

  公司應制定限制密碼重復使用的密碼策略。密碼策略還可以要求用戶定期更改密碼并要求密碼保持一定的復雜度。

• 雙因素/多因素身份驗證

  雙重身份驗證(2FA)要求用戶提供除密碼之外的至少一個附加身份驗證因素。MFA需要兩個或多個因素。其他因素可以是本文提及的其他身份驗證類型或通過文本或電子郵件發送給用戶的一次性密碼。“多因素”的涵義還包括帶外身份驗證，其中涉及第二個因素與原始設備位于不同的通道上，以減輕中間人攻擊。這種身份驗證類型增強了帳戶的安全性，因為攻擊者需要的不僅僅是訪問憑據。

  2FA的強度取決于次要因素。使用需要用戶的生物識別信息或推送通知，可提供更強大的2FA。但是，在部署2FA或MFA時要小心，因為它會降低用戶體驗，制造摩擦。

• 生物特征認證

  生物識別技術使用用戶自身生物特征進行驗證，較少依賴容易被盜的秘密（例如密碼口令）來驗證用戶是否確實擁有帳戶。生物識別身份也是唯一的，這使得破解帳戶變得更加困難。

  常見的生物識別類型包括：指紋掃描根據用戶的指紋驗證身份驗證；面部識別使用人的面部特征進行驗證；虹膜識別使用紅外線掃描用戶的眼睛，將模式與保存的配置文件進行比較；行為生物識別技術使用一個人走路、打字或處理設備的方式。

  很多用戶已經非常熟悉生物識別技術，因此該身份驗證方法更容易在企業環境中部署。許多消費類設備都具有生物特征驗證功能，包括Windows Hello、Apple的Face ID和Touch ID。生物特征身份驗證體驗通常更流暢、更快捷，因為它不需要用戶回憶密碼或密碼。攻擊者也更難進行欺騙。

  技術問題仍然是生物識別技術的最大缺點。并非所有設備都以相同的方式處理生物特征。較舊的設備可能只使用被圖片欺騙的已保存靜態圖像。較新的軟件（例如Windows Hello）可能需要設備配備具有近紅外成像功能的攝像頭。這可能需要比其他身份驗證類型更高的前期成本。用戶還必須樂于與公司分享他們的生物特征數據，但沒有公司能夠保證不被黑客入侵。

• 單點登錄

  單點登錄(SSO)使員工能夠使用一組憑據訪問多個應用程序或網站。用戶擁有身份提供者(IdP)的帳戶，該身份提供者是應用程序（服務提供者）的可信來源。服務提供商不保存密碼。IdP通過用戶通過它驗證的cookie或令牌告訴站點或應用程序。

  SSO減少了用戶需要記住的憑據數量，從而增強了安全性。用戶體驗也得到了改進，因為只要他們（近期）通過了IdP的身份驗證，就不必在每次訪問每個帳戶時都登錄。SSO還有助于大大減少與密碼問題有關的技術支持時間。

  SSO的潛在問題是，一旦IdP遭受數據泄露，攻擊者可以使用一組憑據訪問多個帳戶。SSO還需要IT部門在初始階段投入大量時間來設置和連接其各種應用程序和網站。

• 基于令牌的認證

  令牌身份驗證使用戶能夠使用物理設備（例如智能手機、安全密鑰或智能卡）登錄帳戶。它可以用作MFA的一部分或提供無密碼體驗。使用基于令牌的身份驗證，用戶在預定的時間段內驗證一次憑據，以減少持續登錄。

  令牌使攻擊者難以訪問用戶帳戶。攻擊者需要物理訪問令牌和用戶憑據才能滲透帳戶。

  必須信任員工，讓他們保管自己的令牌，因為如果忘記或丟失令牌，用戶將被鎖定，無法訪問賬戶。

• 基于證書的認證

  證書身份驗證使用證書頒發機構頒發的數字證書和公鑰加密來驗證用戶身份。證書存儲身份信息和公鑰，而用戶擁有虛擬存儲的私鑰。

  基于證書的身份驗證使用SSO。IT可以部署、管理和撤銷證書。這種身份驗證類型適用于雇用臨時需要網絡訪問的承包商的公司。

  基于證書的身份驗證部署起來既昂貴又耗時。IT還必須創建一個重新注冊流程，以防用戶無法訪問他們的密鑰——例如，被盜或設備損壞。

回答所涉及的環境：聯想天逸510S、Windows 10。