最佳身份管理建议

我们从未像现在这样接近无处不在的全局身份(ID)。在双因子身份验证(2FA)/多因子身份验证(MFA)的加持下,好处尽在掌握而风险得到控制。

 


 

ID,曾是计算机安全防御方面唯一重要的安全边界。只要可访问多个域的1个登录凭证被盗,物理边界、防火墙边界、安全域、虚拟网络等等,全都不再重要了。

今天的ID解决方案,可以1个凭证就访问成百上千个不同的安全域,但同时又保持处于整体风险很低的状态。这是怎么做到的呢?

ID技术早期

在计算机和网络技术早期,大多数人都只用1个登录名&口令对来访问全部资源。由于1台计算机被感染,就会导致共享该相同登录凭证的其他所有计算机也遭殃,这种1个凭证走天下的做法被证明是非常糟糕的策略。每个人都被建议为自己访问的各个系统创建不同的口令。

ID技术中期

随着大多数人如今都需要用口令访问几十上百个不同资源,若要每个资源用单独的口令,就会要求要么把口令全都写下来,要么用口令管理器把所有口令存储下来,在访问时自动登入,要么采用某种形式的单点登录(SSO)解决方案。

SSO解决方案在企业里非常盛行,口令管理器则在家庭用户中间非常普遍。但这两种类型的解决方案无法在全部的安全域和平台中适用。一些广泛应用的SSO解决方案被创建出来,比如微软的Passport服务和去中心化的OpenID标准。尽管全球采用的承诺很诱人,所有中期SSO解决方案没有一个真正成功了。

当今的ID技术

社交媒体杀手级App,比如Facebook和推特,无情碾压过其他ID竞争失败者,方产生了ID大战中的新胜者。庞大的用户数量,确保了他们无论使用哪种解决方案和协议,最终都会成为全球通行方案。新的全局ID标准和解决方案几乎一夜之间冒头。至少,在ID观察者眼中是这样的。

新解决方案并非总能获得全球认可。这个世界上,还有很多聪明专注的人,长期以来都在磨砺其他可能更棒的解决方案,这部分人感受到了深深的伤害。但都不重要了。要么吸收,要么落后。

最初的阵痛过去后,纷争平息,强势的新标准最终被认为是不错的东西。结果就是,我们可供选择的SSO身份验证标准更少,但更广为接受。而且这些标准在企业和消费者两种平台中都能应用。

说到今天的ID解决方案,下列协议和解决方案简直信手拈来,没用过也听过:Facebook的 Graph API、OAuth、OpenIDConnect、xAuth、SAML、RESTful和FIDO联盟。数十年的尝试过后,通用ID的世界终于达成。很多网站上,你可以用Facebook、推特或喜欢的 OAuth/xAuth SSO 来验证身份。互操作问题依然存在,但这些障碍正飞速瓦解。

今天,你可以使用口令、手机、数字证书、生物识别特征、2FA或MFA SSO解决方案,来登录各种网站。每个ID都有不同的“属性”或相关“声明”,关联至1个或多个受信设备,有不同的保证级别,可用于不同的网站。

当然,目前并非全部网站都接受了SSO,但我们距离这一将来并不太远。不过,我们真的想要吗?

我们大多数人都会有用不同身份应对不同事务的需求。比如说,大部分人都有工作和私人账号。我的工作要求能随时保有所有工作相关内容,甚至要能够在雇佣终止时立即清除所有工作内容。同时,我并不希望工作上的管理员可以访问我在家庭电脑上的个人内容浏览历史。我不想让自己的个人文档出现在工作计算机上,反之亦然。这种情况在当前全局ID无孔不入的大环境下,还是经常发生的。比如说,家里小孩把iPod插入大人工作电脑充电,iTunes就自动同步大人的工作文档到小孩iPod上——很惊悚,很危险,但经常发生。

完美单一ID

如果能用1个全局ID畅行不同“身份”,比如“工作的你”、“家庭的你”……;能1个ID应用到不同用例场景;能确保不同内容和资源各自隔离;那世界就完美了。或许未来能实现,但目前恐怕还没走到这一步。

单点登录引入更多风险?

或许你会担忧,1个统一的ID(或者更少但更通行的ID),会不会意味着一旦该ID被盗,所有内容都曝光在黑客眼中,后果严重到不堪设想。毕竟,用单点登录,跟用同一个口令登录所有注册网站,从哪方面看都太像了。难道我们绕这一大圈,只是为了走回原点?

只要做对了,多半是不会绕一圈又绕回老问题的。

如果你用的全局ID从源头就被黑了(比如ID提供商),被黑ID有可能被用在更多地方,风险自然更大。举个例子,坏人拿到了你的Facebook登录名和口令,你所有用Facebook账户凭证登录的地方他就都能访问了。

但这也正是Facebook,以及大多数其他流行社交站点和身份验证提供商,主推更强壮的2FA和MFA解决方案,而你也应该使用2FA/MFA的原因所在。这样一来,即便黑客获取了你的口令,他也得不到(至少不会立即获得),你身份验证所需的第二个因子或物理设备。

另外,大多数全局ID解决方案,并不会在所有参与站点上使用单一身份验证令牌。相反,你的“全局令牌”被用来创建特定于各站点/会话的身份验证令牌,令牌间不存在交叉使用的情况。这意味着,即使你用全局身份验证令牌登录的某个站点被黑客攻破,该令牌也无法应用到其他站点上。这是双赢解决方案,比共享口令好多了。

生物特征识别的隐忧

其实不担心生物特征识别的随意使用,或者无需担心生物特征不定哪天就被存储到每个人的全局ID账户中。生物特征识别技术从来都不像表现出来的那么神奇。它们根本没有号称的那么精确,很容易被伪造,还经常罢工(手上有汗或者稍微脏点儿的时候去按按指纹打卡机试试,你老板会很乐意扣你全勤奖的)。

但假设你是个指纹识别忠实粉丝,你想用指纹访问任意网站,然后你挑了个能接受指纹的全局身份验证提供商。听起来很棒的主意。但是,一旦我们开始在全局ID中存储指纹,攻破了该ID提供商的攻击者就将获得你的指纹——永久性的。他们有可能以你的名义,横行在所有接受你指纹的其他网站上。毕竟,你又不可能把自己的指纹改掉。

目前为止,有两样东西在阻止生物特征ID盗窃问题蔓延(除了生物特征识别技术并未在手机和笔记本之外的很多用例中被接受的事实)。其一,大多数生物特征都是本地存储并使用的。这意味着黑客必须实地接触到你的设备,才能破解并拿到你的生物特征ID。而且,即便他拿到了,该生物特征也用不到其他设备上。

其二,一旦你使用生物特征ID登录,此后的身份验证就是:验证系统使用上述讨论过的其他身份验证方式之一。除了你的指纹,还用一些其他身份验证令牌。你的生物特征ID一般是不离开你的本地设备。而如果人们开始过度依赖全局生物特征识别身份验证,这种情况就会发生变化了。

总结

我们从未像现在这样接近无处不在的全局ID。目前的最佳实践是:对全局ID启用2FA/MFA。这样才能利益最大化而风险最小化。

本文转自d1net(转载)

时间: 2024-09-20 21:23:23

最佳身份管理建议的相关文章

防止泄露事故的四个身份管理技巧

本文讲的是防止泄露事故的四个身份管理技巧,虽然2014年的很多大型数据泄露事故都源自于外部攻击,但事实是,内部攻击仍然是安全人员的首要考虑问题.事实上,根据PwC最新发表的报告显示,来自现任和前任员工的恶意行为是被提及次数最多网络安全风险,超过了有组织的罪犯.民族国家或其他外部攻击者的攻击行为.在该报告发布后不久,安全行业就证实了这个问题,据报道,AT&T某员工成功地进入客户数据库并访问了约1600位电信用户的敏感信息. 这个数据泄露事故再次强调了特权身份管理和身份识别监控的重要性,企业应该确保

金融安全资讯精选 2017年第六期:阿里云等3家单位具备CNVD技术组成员单位资格,反欺诈和身份管理是AI安全最热两大创业领域,互金安全负责人的安全建设心得

   [金融安全动态] 阿里云等3家单位具备CNVD技术组成员单位资格.点击查看原文   点评:试行考察期间,阿里云公司持续向CNVD共享其主办的先知平台收集的高质量通用软硬件漏洞信息200余条,同时持续开展公开漏洞信息报送工作,共计提交140余条.成为CNVD技术组成员单位,意味着获评对象已经达到国家级指定漏洞研判.挖掘专业团队资质,具备为政府.金融.央企等国家关键信息基础设施做网络安全渗透.漏洞修补等专业服务资格. 反欺诈和身份管理是AI安全最热两大创业领域.点击查看原文 概要:在基于AI的

民生银行采用Oracle身份管理构建企业级身份管理平台

北京,2014年2月27日--中国民生银行股份有限公司(以下简称"民生银行")将携手甲骨文,通过采用Oracle身份管理(Oracle IDM)构建其企业级的身份管理平台.凭借甲骨文在身份治理.访问管理.目录服务以及移动安全等方面的深厚经验,Oracle身份管理将会为民生银行提供全堆栈的身份管理解决方案,帮助应对其IT系统面对的诸多困难. 中国民生银行股份有限公司成立于1996年,是中国首家由民间资本设立的全国性商业银行.目前,民生银行向公司客户及个人客户提供银行服务,在中国各地共拥有

Gartner最新身份管理研究报告中甲骨文位居领导者象限

北京,2013年1月25日--甲骨文公司日前在Gartner公司发布的最新身份管理研究报告中,再次位居领导者象限.这是甲骨文公司连续第五年进入"身份与访问治理(Identity and Access Governance)魔力象限"的领导者象限(1),连续第二年进入"用户管理/配置(User Administration/Provisioning)魔力象限"的领导者象限(2). 甲骨文公司位列"身份与访问治理"与"用户配置/管理&quo

大数据时代引发安全问题,应增强身份管理

2014年,虽然大数据应用还没有深入普及,但是已经有越来越多的行业用户尝试引入大数据相关技术解决如何管理.利用日益增长的各类数据,而往往随之的安全问题也日益受到关注,为了确保防止黑客盗窃数据信息的风险,企业应该在转移到充分利用大数据的优势的同时,也相当有必要采取相关的安全措施来保护他们数据资产的完整性.国外著名的SSH通信安全专家Matthew bring日前撰文分析当前存在安全问题现状,指出无视M2M身份验证的风险是非常可怕的,而这些授权的管理不善可能导致严重的数据泄露,Matthew bri

Oracle数据库10g的安全性和身份管理

Oracle数据库10g的安全性和身份管理 作者:Michael Miley Oracle数据库10g为Oracle身份管理提供了一种安全.可伸缩的基础.Oracle互联网目录(OID)是作为一个运行在Oracle数据库10g上的应用程序来实施的,使 OID能够在一个单一服务器上或者某个网格中的各个节点上支持数T字节的目录信息. Oracle数据库10g凭借诸如虚拟私有数据库等这样强大的功能来保护原始数据.重要的数据库安全性特性包括: 企业用户安全性.Oracle数据库10g的企业用户安全性特性

Oracle如何处理身份管理

oracle     对于多数安全软件先导计划,很难明确地计算投资带来的回报.这就像回头去计算某些未发生的灾难所带来的效益.然而,身份管理先导计划有所不同.由于减少了重新设置口令花费的时间,减少管理时间和增加员工生产力所带来的成本节约是清晰可见和可测量的.这些成本节约可 以被测量和估计,即使破坏没有发生.2005年六月发布的最新版本的Oracle身份管理是她在三月收购Oblix后发布的首个版本. 目录服务 目录服务是所有身份管理努力的基础.尽管Oracle身份管理产品支持大多数最主要的目录,但是

nsmutablearray-多数组的最佳内存管理

问题描述 多数组的最佳内存管理 请问有人能解答一下: 到底是有上百万个对象的NSMutableArray需要的存储空间多,还是上百万个NSMutableArray ,带有一个对象需要的存储空间多? 它们有什么区别么?

身份管理软件公司Okta上市 为你解决密码登录难题

3月15日消息 据外媒(TechCrunch)报道,身份管理软件公司Okta于昨日提交S-1表格,正式启动了IPO程序,成为最新一家进行公开募股的完全靠订阅付费营收的纯云端技术公司. 该事件亦标志着华尔街终于接受这种纯云服务的商业模式并认可其长期盈利能力. 在S-1文件中,Okta表示公司收入从2015财年的4100万美元增长到2016财年的8590万美元.增长幅度达109%.不过公司的净利润却没有因此增加.2015财年净亏损5910万美元,2016财年净亏损7630万美元. IDC分析师Fra