强身份验证——强大的身份和访问管理已成为企业安全的战略选择

随着网络安全形势的变化，使用多重身份验证的方式变得越来越普遍。2021年Verizon数据泄露调查报告指出，弱身份验证是信息系统中最常见的安全问题，用户名和密码的组合本身就是一种不充分且易受攻击的身份验证方式。

因此，在授予对资源的安全访问权限之前，必须采用多因素身份验证 (MFA) 等强大的身份验证技术来确认用户的身份，在提高安全性的同时也不能阻碍用户的便利性。

什么是强身份认证？

强身份验证是“任何验证用户或设备身份的方法，其本质上足够严格，以通过抵御可能遇到的任何攻击来确保其保护的系统的安全性” ，它通常被认为是在密码不足时确认用户身份的一种方式。强身份验证必须包括“至少两个相互独立的因素”，这样一个妥协就不会导致另一个妥协。这些因素是：

● 知识因素——用户知道的东西（例如，密码、部分密码、密码、个人识别码PIN、质询响应、安全问题）。

● 所有权因素——用户拥有的东西（例如，腕带、身份证、安全令牌、植入设备、带有内置硬件令牌的手机、软件令牌或持有软件令牌的手机）

● 内在因素——用户是谁（例如，指纹、视网膜图案、DNA序列、签名、面部、语音、独特的生物电信号或其他生物识别标识符）。

需要采用不止一种这些措施来确保只有合法用户才能访问应用程序和服务，并且当应用程序包含需要保护的机密、个人身份信息等敏感数据时。

在 IAM 策略中，强大的身份验证方法（如 MFA 和现代身份验证）正在迅速取代密码等传统方法，特别是作为 IT 和安全团队如何执行访问控制和获取访问事件可见性的新黄金标准——尤其是在工作负载迁移到云时、虚拟机以及跨远程和混合环境。

IAM 安全边界

强身份验证是现代身份和访问管理的关键组成部分。它不仅在入口点周围提供额外的安全层，而且允许在整个环境中自定义级别的身份验证、授权和访问控制，只为用户提供他们需要的权限（和登录要求）。

多因素身份验证 (MFA)当下被广泛视为最强的身份验证模式。MFA 能够帮助组织：

● 防止由弱密码造成的危害。使用 MFA，仅凭密码不足以授予访问权限，因此凭证填充和蛮力攻击变得毫无用处。

● 减少来自网络钓鱼和其他社会工程计划的身份盗用。即使受害者确实单击了钓鱼邮件并输入了一些凭据，但如果他的银行、工作 VPN 或其他接入点需要 MFA（尤其是使用令牌化、生物识别或基于位置的条目），这些凭据的缺失将会让黑客将转向更容易攻击的目标。

● 保持在合规范围内，例如OMB 零信任网络安全备忘录和欧盟网络安全机构 (ENISA) 以及 CERT-EU指南。这些文件都要求在整个下属企业中使用 MFA。

强身份验证中使用的一些 MFA 方法包括：

● FIDO 安全密钥

● 基于证书的智能卡和基于证书的 USB 令牌

● 基于手机和软件的身份验证

● 一次性密码 (OTP) 身份验证器

● 基于模式（或网格）的身份验证器

● 混合代币等等

现代身份验证依赖于 FIDO 和 Webauthn 等技术、上下文身份验证和现代联合协议，这些技术可确保云环境中的正确用户身份和访问控制。这意味着组织可以为云应用程序实施更有效的访问安全性，以及已经为本地和旧应用程序实施的现有访问控制。灵活的基于策略的访问可实现友好的体验，同时为需要它的角色或资源保持高水平的安全性。

强身份验证方案需要考虑哪些因素？

在选择强大的身份验证服务时，无论是在本地还是在云中，要考虑的功能包括：

1.基于策略的访问，能够实现条件访问。为了优化最终用户体验，同时为特定用户和应用程序保持最佳访问安全性，寻找可以通过策略和风险评分强制执行一系列身份验证方法的解决方案。

2.抵御网络钓鱼。根据Verizon 的 2021 数据泄露调查报告，网络钓鱼约占所有数据泄露事件的四分之一。使用 FIDO2 的强大身份验证解决方案既可以安全地进行身份验证，又可以防止攻击。

3.用户体验。所涉及的方法是否会造成安全疲劳，或者保护多次使用的身份验证过程是否简单？

4.适应性和可定制性。组织内部能否根据角色或资产分配不同的访问控制？上下文、环境或用例呢？

在将一切因素纳入考虑范围之后，企业还需要寻找一家强身份验证解决方案提供商来结合自身所在行业的身份和访问法规，结合企业当前的身份环境来顺利集成，灵活部署并在过渡时保持平衡。

为了保持基于风险的身份验证状态，IAM 解决方案必须随着数字化需求的增加而不断发展。当单一的锁和钥匙不再足以保护当今的虚拟机、远程环境和基于云的资产时，强身份验证就已经成为了组织加强内外部访问管理的战略选择。