企业和消费者身份的融合表明统一身份时代的到来
作者: 日期:2017年08月28日 阅:6,282

企业和消费者身份的融合,为黑客创建了一个巨大的攻击界面。我们应探讨二者趋同的各种方式,以及安全社区应做出的响应。

多因子同化现象

一些双因子身份验证方法,是为消费者创建而随后被企业采用的;另外一些,则是为企业创建而被个人用户采纳的。

1. 生物特征识别

包含嵌入原生App中的指纹扫描器和虹膜扫描器,供消费者和企业身份验证使用。用心率验证身份的Nymi腕带就是其中一个极好的例子。

2. 基于上下文的身份验证

最为消费者熟知的,是“在此设备上记住我”勾选框,或者Visa验证和MasterCard安全码(McSc)。从陌生设备登录时,用户就会被要求用额外的因子(如一次性口令(OTP))验证自身身份。

3. 单击身份验证

通过点击移动设备上的按钮进行用户身份验证,消费者服务和企业都有提供。

工作场所和家中的单点登录

相信都听说过口令疲劳吧?我们日常生活中总是需要记住很多口令,登录流行应用的时候难免焦虑。在任何可行的地方实现单点登录解决方案(SSO),可以仅验证一次,后续就能在访问各种资源的时候自动验证,有效消除这种沮丧和焦虑。

企业世界中,SSO体验通过使用口令存储库或联合身份验证协议(如Kerberos、SAML和Open ID Connect)创建。消费者世界中,尽管也有面向消费者的口令存储库,却是SSO的前身——联合身份验证协议,一统江湖。当你点击“用谷歌账户登录”按钮时,就是 Open ID Connect 协议在将你的谷歌身份扩展到新的非从属网站,让你无需创建新的身份并用新用户名和口令来登录。

统一身份的关键是什么?

如果我明天就到新单位上班,我可以用某个社交媒体账号立即访问新工作的网络、VPN和云应用吗?如果我的新工作实现了身份代理,那这个问题的答案就是“可以”。

类似的,采用身份代理,你可以让商业合作伙伴用他们已有的社交媒体身份,登录你的合作伙伴门户,省去他们为该服务维护新身份的麻烦——很值得一试的做法,因为很多数据泄露都是利用供应商和合作伙伴的登录凭证犯案的,比如塔吉特数据泄露事件。

身份代理,就是支持BYOI(自带身份)的系统,采用用户已有身份在陌生网站进行验证登录。该系统中,单个用户账户可与不同身份源的身份进行关联,通常采用特别为代理场景设置的 SAML 2.0 或 Open ID Connect 协议实现。

未来,我们将会看到越来越多的企业与消费者身份都支持的身份提供商。此类提供商不仅支持隔离的企业身份,也充分支持各种各样的外部身份。比如社交媒体账户、医疗智能卡、商业并购带来的身份,以及嵌入智能卡芯片的可穿戴设备产生的身份。

此类身份代理将让我们的现有身份成为统一身份,在我们的消费和企业生活中相互作用。FIDO联盟的宗旨正在于此。该联盟由PayPal、微软、谷歌、ARM、联想、MasterCard、美国银行和美国运通等业界领袖统领,希望通过利用PKI身份验证,让我们可以用同一个加密狗、生物眼纹或移动设备,来登录我们的银行账户,访问云应用和社交网络。

加强防护

不幸的是,统一身份的创意也为普通消费者带来了一些隐忧。虽然信用卡可以很方便地更换,欺诈性消费可以取消或追回,被盗身份和敏感个人信息的伤害却是长期而持久的——你的用户和公司生活会面临跨界风险。除非正确实现,否则统一身份将成为攻击的主要目标。于是,焦点又转回了对能更好地保护数据的安全防护策略的需求——比如细粒度访问控制和策略。

相关阅读

最佳身份管理建议
身份管理入门
下一代双因子身份认证什么样?

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章