2024年，身份和訪問(wèn)管理(IAM)領(lǐng)域正在發(fā)生重大變化。在上個(gè)月舉行的Identiverse2024大會(huì)上，與會(huì)專(zhuān)家總結(jié)了數(shù)字身份管理的三大發(fā)展趨勢(shì)，包括IAM與PAM的融合、通行密鑰（Passkey）的興起以及對(duì)抗深度偽造，所有這些趨勢(shì)都將對(duì)企業(yè)和個(gè)人產(chǎn)生重大影響。具體內(nèi)容如下：

趨勢(shì)一：IAM與PAM的融合

在許多組織中，網(wǎng)絡(luò)管理員和財(cái)務(wù)主管等高級(jí)權(quán)限用戶需要遵守額外的訪問(wèn)控制措施，這些措施是普通用戶不需要遵循的。高級(jí)用戶可能使用常規(guī)的IAM界面登錄他們的終端和電子郵件賬戶。但是，當(dāng)需要訪問(wèn)敏感區(qū)域時(shí)，他們可能需要登錄到PAM界面，有時(shí)還需要使用不同的用戶名和密碼。

從本質(zhì)上講，PAM系統(tǒng)比IAM系統(tǒng)執(zhí)行更嚴(yán)格的一套策略。它會(huì)更仔細(xì)地監(jiān)控和記錄用戶行為。密碼需要更強(qiáng)，并且可能更頻繁地輪換，并且?guī)缀蹩偸切枰嘁蛩卣J(rèn)證(MFA)。特殊的權(quán)限可能只授予完成特定任務(wù)，然后在任務(wù)完成后撤銷(xiāo)，這種做法稱(chēng)為即時(shí)訪問(wèn)(JIT)。

新冠疫情期間遠(yuǎn)程辦公的激增以及云計(jì)算的快速普及使得普通用戶和高級(jí)權(quán)限用戶之間的界限變得模糊，并創(chuàng)造了新的攻擊途徑。

攻擊者無(wú)需攻破系統(tǒng)，只需使用竊取或破解的憑據(jù)登錄即可。當(dāng)任何IT員工都可以輕松啟動(dòng)新的云實(shí)例時(shí)，配置錯(cuò)誤和混亂的訪問(wèn)控制可能會(huì)導(dǎo)致低權(quán)限員工進(jìn)入敏感區(qū)域。

因此，許多PAM的做法和控制措施正在遷移到IAM。強(qiáng)制實(shí)施MFA僅僅是開(kāi)始。更新的IAM解決方案可能會(huì)嚴(yán)格監(jiān)控和記錄所有用戶活動(dòng)，迫使用戶在訪問(wèn)新區(qū)域時(shí)再次登錄，并遵循最小權(quán)限原則，以便用戶僅擁有完成工作所需的權(quán)限。

一些IAM部署正在嘗試即時(shí)訪問(wèn)，其他一些部署甚至更進(jìn)一步，實(shí)施零永久權(quán)限，即不授予任何用戶永久的特殊權(quán)限-所有對(duì)敏感區(qū)域的訪問(wèn)都是即時(shí)的。

組織還鼓勵(lì)所有員工使用硬件安全密鑰（成本可能較高）或設(shè)備綁定的通行密鑰，這些密鑰與密碼或較弱的MFA驗(yàn)證因素不同，無(wú)法被網(wǎng)絡(luò)釣魚(yú)竊取。

趨勢(shì)二：通行密鑰（Passkey）將取代密碼并主導(dǎo)身份驗(yàn)證

在Identiverse大會(huì)上，F(xiàn)IDO聯(lián)盟執(zhí)行董事兼首席執(zhí)行官Andrew Shikiar宣稱(chēng)該組織的目標(biāo)是“讓通行密鑰成為必選項(xiàng)”。十幾位與會(huì)發(fā)言人深入探討了通行密鑰，所有人都相信對(duì)通行密鑰會(huì)很快成為身份驗(yàn)證的主導(dǎo)標(biāo)準(zhǔn)。

業(yè)界對(duì)通行密鑰的關(guān)注重點(diǎn)是密鑰管理，尤其是在企業(yè)環(huán)境中。蘋(píng)果、谷歌和微軟都強(qiáng)調(diào)設(shè)備綁定的通行密鑰，但是像Yubikey或Titan key這樣的硬件安全密鑰也符合FIDO 2.0標(biāo)準(zhǔn)的通行密鑰，并且已經(jīng)在企業(yè)中使用了幾年。

設(shè)備綁定的通行密鑰是替代密碼的便捷方式，并且在Windows上實(shí)施時(shí)可能足夠強(qiáng)大到取代MFA。與硬件密鑰一樣，Windows筆記本電腦或臺(tái)式機(jī)上的通行密鑰的私鑰部分不會(huì)同步，并且僅存在于設(shè)備上。

蘋(píng)果或安卓設(shè)備上的通行密鑰則并非如此。它們可以通過(guò)谷歌密碼管理器或Apple Keychain在云端同步。這使丟失設(shè)備后可以恢復(fù)通行密鑰，但盡管谷歌和蘋(píng)果堅(jiān)稱(chēng)其存儲(chǔ)的通行密鑰加密安全，但仍會(huì)引起安全問(wèn)題（焦慮）。

AWS Identity的高級(jí)安全工程師、FIDO聯(lián)盟企業(yè)部署工作組的聯(lián)合主席Dean Saxe表示，“通行密鑰比密碼更安全。但通行密鑰并非沒(méi)有風(fēng)險(xiǎn)。”

在Identiverse 2024大會(huì)上，一家知名科技公司的發(fā)言人表示，蘋(píng)果宣布Keychain通行密鑰同步功能讓他們的安全主管“嚇出一身冷汗”。因此，該公司現(xiàn)在對(duì)通行密鑰與任何其他形式的身份驗(yàn)證一樣，會(huì)強(qiáng)制實(shí)施基于上下文的MFA驗(yàn)證。

其他發(fā)言人提到了不一致的通行密鑰實(shí)施標(biāo)準(zhǔn)。一些要求身份驗(yàn)證的實(shí)體不要求用戶聲明打算使用通行密鑰，這可能會(huì)讓惡意行為者更容易使用竊取的通行密鑰。

此外，一些通行密鑰身份驗(yàn)證器會(huì)允許用戶在遷移到不同的身份驗(yàn)證器時(shí)以純文本導(dǎo)出通行密鑰，從而產(chǎn)生泄密風(fēng)險(xiǎn)。并且目前沒(méi)有技術(shù)手段可以判斷通行密鑰是否已被遷移或復(fù)制。

最后，雖然與會(huì)專(zhuān)家對(duì)通信密鑰的普及信心十足，但現(xiàn)實(shí)中公眾對(duì)通信密鑰的了解非常有限，距離大規(guī)模采用密鑰還有很長(zhǎng)的路要走。數(shù)字身份行業(yè)需要更多關(guān)注對(duì)消費(fèi)者和企業(yè)的密鑰知識(shí)普及和教育工作。

趨勢(shì)三：對(duì)抗深度偽造

隨著深度偽造技術(shù)的快速發(fā)展，從稅務(wù)局到企業(yè)雇主（更不用說(shuō)普通人），越來(lái)越難以確定他們是否在與真人交談。

不僅駕照?qǐng)D像可以輕松偽造，而且靜止的人臉照片也可以低成本地嫁接到他人的照片上。iProov的一項(xiàng)研究發(fā)現(xiàn)，2023年通過(guò)遠(yuǎn)程驗(yàn)證繞過(guò)人臉替換深度偽造的嘗試增長(zhǎng)了700%以上。

今年早些時(shí)候，一家跨國(guó)公司的財(cái)務(wù)主管被騙向竊賊匯款2500萬(wàn)美元，此前騙子在直播電話會(huì)議上偽造了幾位公司高管（的數(shù)字人形象）。

雖然深度偽造威脅日益增長(zhǎng)，但值得注意的是，防御者也能從深度偽造采用的技術(shù)中受益。例如，iProov會(huì)使用對(duì)象的屏幕將隨機(jī)模式的彩色光投射到對(duì)象的面部，然后通過(guò)iProov的驗(yàn)證算法進(jìn)行真?zhèn)畏治觥?/p>

其他安全公司也推出類(lèi)似的對(duì)抗深度偽造的技術(shù)，能夠快速驗(yàn)證駕照和護(hù)照，方法是查詢(xún)公共數(shù)據(jù)庫(kù)或使用光譜分析來(lái)區(qū)分原始照片和副本。他們還可以匯總有關(guān)主題的數(shù)十個(gè)數(shù)據(jù)點(diǎn)，從地理位置到主題電子郵件地址的年齡，以構(gòu)建配置文件并評(píng)估其有效性——微軟的Copilot等人工智能助手可以在幾秒鐘內(nèi)完成此類(lèi)鑒別流程。