身份驗證是現(xiàn)代企業(yè)網(wǎng)絡(luò)安全體系構(gòu)建的基礎(chǔ)環(huán)節(jié)，確保只有經(jīng)過授權(quán)的個人或?qū)嶓w才能訪問敏感信息或系統(tǒng)。近年來，身份驗證技術(shù)發(fā)展迅猛，無密碼身份驗證、多因素身份驗證和社交驗證登錄等創(chuàng)新技術(shù)正在改變傳統(tǒng)身份驗證的方法和模式，不斷提升企業(yè)數(shù)字化發(fā)展的安全性和穩(wěn)健性。

了解并緊跟身份驗證技術(shù)的發(fā)展和進(jìn)步對于保護(hù)企業(yè)數(shù)字化轉(zhuǎn)型至關(guān)重要。通過了解和實施最新的身份驗證技術(shù)，企業(yè)可以在日益數(shù)字化的世界中更好地保護(hù)數(shù)據(jù)和系統(tǒng)，并提升員工的工作感受。以下梳理總結(jié)了可能在今后幾年主導(dǎo)身份驗證技術(shù)應(yīng)用變革的10個關(guān)鍵性趨勢：

1.無密碼身份驗證

無密碼身份驗證是一種不需要密碼的身份驗證方法。它主要使用公鑰加密方式對用戶進(jìn)行身份驗證。對于最終用戶來說，無密碼技術(shù)使用了遠(yuǎn)程驗證鏈接、硬件令牌或設(shè)備所有權(quán)驗證之類的功能。與傳統(tǒng)身份驗證方式相比，無密碼驗證的最大不同之處在于更流暢、更安全、更方便，能夠幫助組織降低和密碼相關(guān)的泄露風(fēng)險，比如蠻力攻擊或網(wǎng)絡(luò)釣魚詐騙。

目前，一些流行的無密碼身份驗證方法包括：

?生物識別：使用指紋、人臉識別或聲音識別來驗證用戶的身份。這種方法使用了難以偽造的獨特物理特性，安全又方便。

?安全令牌：用戶必須擁有才能訪問的物理設(shè)備，比如USB密鑰或智能卡。這種令牌生成時間敏感的代碼，或直接與系統(tǒng)交互以提供身份驗證。

?鏈接驗證：發(fā)送到某人的電子郵件或移動設(shè)備的鏈接，他們點擊這些鏈接才可以訪問。這種方法對用戶友好，還降低了網(wǎng)絡(luò)釣魚的風(fēng)險，因為它需要訪問用戶的電子郵件或電話。

?一次性密碼（OTP）：發(fā)送到手機或電子郵件的臨時代碼或由身份驗證應(yīng)用程序生成的臨時代碼。OTP使用一次，有效期短，比靜態(tài)密碼更安全。

2.基于行為的身份識別技術(shù)

基于行為的身份識別技術(shù)是指分析訪問者的行為模式，動態(tài)且持續(xù)地驗證用戶的身份。從廣泛意義上說，這種驗證技術(shù)是一種特殊的生物識別技術(shù)，但它不像傳統(tǒng)生物識別技術(shù)專注于靜態(tài)物理特征，而是強調(diào)分析每個用戶所獨特的動態(tài)行為。

主流的行為身份識別技術(shù)主要包括：

?打字習(xí)慣：分析用戶打字的方式，包括速度、節(jié)奏和按鍵之間的時間間隔。每個人都有可用于身份驗證的獨特輸入模式。

?鼠標(biāo)移動：監(jiān)控用戶移動鼠標(biāo)的方式，包括速度、軌跡和點擊模式。攻擊者很難精確地復(fù)制這些動作。

?觸摸屏交互：分析用戶在移動設(shè)備上如何滑動、點擊以及與觸摸屏交互。這包括施加的壓力和滑動的角度，這些因人而異。

?導(dǎo)航模式：跟蹤某個人如何瀏覽應(yīng)用程序或網(wǎng)站。頻繁瀏覽的用戶往往遵循特定的模式和路徑，可以監(jiān)控這些模式和路徑以確保一致性。

3.社交媒體授權(quán)登錄

在當(dāng)下這個信息爆炸的時代，社交媒體平臺如抖音、微信等已成為人們?nèi)粘Ｉ钪胁豢苫蛉钡囊徊糠?。通過讓這些平臺賬號便捷地與業(yè)務(wù)系統(tǒng)賬號進(jìn)行關(guān)聯(lián)，可以讓員工享受到無縫切換的數(shù)字化應(yīng)用體驗。在此背景下，社交媒體授權(quán)登錄正在成為一種新興的身份驗證方法，允許用戶通過經(jīng)常使用的社交媒體賬戶（比如微信、抖音等）登錄到系統(tǒng)，從而簡化了注冊和登錄過程。

應(yīng)用社交媒體授權(quán)登錄能夠帶來以下幾個好處：

?便捷性：用戶不需要為每個應(yīng)用系統(tǒng)創(chuàng)建和記住一組新的憑據(jù)。他們可以用已有的賬戶點擊按鈕即可登錄。

?驗證信息：流行的社交媒體平臺通常都會提供非?？煽康纳矸蒡炞C信息和方法，比如電子郵件地址和個人資料。這有助于減少虛假或重復(fù)賬戶的出現(xiàn)。

?安全性：社交媒體平臺通常實施了強有力的安全措施，并實現(xiàn)了實名制登錄，借助這些安全功能有助于保護(hù)現(xiàn)有業(yè)務(wù)系統(tǒng)的訪問安全。

?數(shù)據(jù)洞察：組織可以通過社交登錄數(shù)據(jù)洞察用戶的訪問行為和偏好，幫助用戶定制個性化的服務(wù)和營銷工作。

當(dāng)然，社交媒體授權(quán)登錄也存在一些挑戰(zhàn)，它需要信任社交媒體提供商，以確保用戶數(shù)據(jù)的安全并維護(hù)隱私。此外，依賴第三方社交媒體平臺意味著，如果用戶的社交媒體賬戶泄密，可能會波及到對系統(tǒng)的安全訪問。

4.去中心化身份驗證

去中心化身份驗證是一個快速興起的新興概念，在標(biāo)準(zhǔn)化方面仍有待進(jìn)一步的完善加強。該技術(shù)允許個人使用區(qū)塊鏈或其他分布式賬本技術(shù)控制自己的數(shù)字身份。通過這種驗證方法，用戶可以將身份數(shù)據(jù)的控制權(quán)從企業(yè)端轉(zhuǎn)移到自己。

去中心化身份驗證的主要功能和優(yōu)點包括：

?用戶控制：個人對其身份數(shù)據(jù)擁有所有權(quán)和控制權(quán)。他們可以決定分享什么信息以及與誰分享，從而增強隱私和安全。

?降低風(fēng)險：通過擺脫對集中式身份提供者的依賴，去中心化身份降低了大規(guī)模數(shù)據(jù)泄露的風(fēng)險。用戶數(shù)據(jù)分布在整個網(wǎng)絡(luò)中，因而攻擊者更難攻擊。

?互操作性：去中心化身份系統(tǒng)可以跨不同的平臺和服務(wù)進(jìn)行互操作。這意味著用戶可以在不同的上下文中擁有相同的身份憑據(jù)，不需要多個賬戶。

?增強隱私和彈性：去中心化技術(shù)使用戶能夠在不泄露敏感信息的情況下證明自己的身份或某些屬性。這保護(hù)了隱私，同時又提供了必要的驗證。此外，分布式賬本技術(shù)提供了防范中斷和篡改的彈性，確保了在身份驗證時不會存在單一的故障點。

5.自適應(yīng)身份驗證

自適應(yīng)身份驗證是一種區(qū)別于傳統(tǒng)靜態(tài)身份“一刀切”式認(rèn)證的新方法，其核心在于依據(jù)用戶身份屬性、地理定位、訪問時段及操作性質(zhì)的差異，靈活定制驗證策略，從而將極致安全要求與無縫接入巧妙融合。

自適應(yīng)身份驗證能夠為用戶提供定制化的身份驗證體驗，它會基于上下文和每次登錄嘗試的風(fēng)險級別動態(tài)調(diào)整身份驗證過程，其中的認(rèn)證要素包括：

?上下文分析：評估各種上下文因素，如用戶位置、設(shè)備類型、訪問時間和網(wǎng)絡(luò)環(huán)境等。不尋常或高風(fēng)險的上下文會觸發(fā)額外的身份驗證需求。

?行為分析：監(jiān)控用戶的行為模式，并與已確立的行為基準(zhǔn)進(jìn)行比較。偏離正常行為會提示額外的驗證步驟。

?基于風(fēng)險的身份驗證：實時評估每次登錄嘗試的風(fēng)險級別。低風(fēng)險的登錄嘗試可以以最小的阻力進(jìn)行，而高風(fēng)險的嘗試需要更嚴(yán)格的身份驗證措施。

?機器學(xué)習(xí)：使用機器學(xué)習(xí)技術(shù)不斷學(xué)習(xí)和適應(yīng)新的威脅和用戶行為。這有助于逐漸提高自適應(yīng)身份驗證的準(zhǔn)確性。

?加強版身份驗證：根據(jù)已評估的風(fēng)險，僅在必要時實施額外的驗證步驟。比如，對來自已知設(shè)備的熟悉登錄可能只需要密碼，而陌生的登錄可能需要生物識別檢查。

6.身份威脅檢測和響應(yīng)（ITDR）技術(shù)

身份威脅檢測和響應(yīng)（ITDR）指對異常的身份驗證行為和事件進(jìn)行持續(xù)監(jiān)控和分析，實時檢測和響應(yīng)與身份相關(guān)的安全風(fēng)險。應(yīng)用ITDR技術(shù)，有助于企業(yè)組織確保身份驗證系統(tǒng)的安全性和完整性。

ITDR方案的核心技術(shù)包括：

?實時威脅監(jiān)控：跨系統(tǒng)和應(yīng)用程序持續(xù)監(jiān)控身份驗證活動，第一時間發(fā)現(xiàn)可疑的身份驗證行為，從而實現(xiàn)及時響應(yīng)。

?高級分析：將機器學(xué)習(xí)和人工智能用于分析身份驗證數(shù)據(jù)，并識別表明潛在威脅的模式。這包括檢測不尋常的登錄嘗試、憑據(jù)濫用和異常行為。

?威脅情報集成：整合外部威脅情報，及時更新新出現(xiàn)的威脅和漏洞。這提高了識別和響應(yīng)新攻擊途徑的能力。

?自動響應(yīng)：實施自動化操作以減輕威脅，比如阻止可疑的登錄嘗試、發(fā)起MFA挑戰(zhàn)或向安全團(tuán)隊發(fā)出警報。這縮短了響應(yīng)時間，并限制了潛在泄密造成的影響。

?事件調(diào)查：為詳細(xì)調(diào)查與身份相關(guān)的事件提供了工具。這包括跟蹤攻擊的來源、了解憑據(jù)泄密的范圍以及識別受影響的系統(tǒng)。

7.零信任身份驗證理念

零信任理念的核心是在任何情況下都不應(yīng)該信任網(wǎng)絡(luò)內(nèi)外的各種用戶或設(shè)備。它需要持續(xù)驗證用戶和設(shè)備身份，外加嚴(yán)格的訪問控制。在零信任身份驗證模式下，主要方面包括：

?持續(xù)驗證：在整個會話期間定期重新驗證用戶和設(shè)備，而不是依賴登錄時的單個驗證活動。這確保了即使初始憑據(jù)被泄露，訪問仍然是安全的。

?最小權(quán)限訪問：僅授予用戶和設(shè)備執(zhí)行任務(wù)所需的最小訪問權(quán)限。這通過減少不必要的訪問來限制任何安全泄密的潛在影響。

?微分段：將網(wǎng)絡(luò)劃分為更小的孤立網(wǎng)段，每個網(wǎng)段都有自己的訪問控制。這可以防止攻擊者橫向移動，并將潛在的安全事件控制在有限的區(qū)域內(nèi)。

?強身份驗證：采用多層身份驗證，包括MFA、生物識別和設(shè)備信任等。這使得攻擊者更難獲得未經(jīng)授權(quán)的訪問。

?持續(xù)監(jiān)控：實施實時監(jiān)控和分析，以檢測和響應(yīng)可疑活動。這包括異常檢測、行為分析和威脅情報集成。

8.保護(hù)隱私的身份驗證

保護(hù)隱私的身份驗證技術(shù)強調(diào)了在不損害用戶個人隱私的情況下驗證用戶身份。這種方法旨在消除企業(yè)組織對數(shù)據(jù)隱私安全方面的擔(dān)憂，并幫助組織遵守相關(guān)的隱私法規(guī)。

為了實現(xiàn)保護(hù)隱私的身份驗證，企業(yè)可以采用以下關(guān)鍵技術(shù)：

?零知識證明：允許用戶在不泄露實際信息的情況下證明其身份或某些屬性。比如說，用戶可以證明自己超過18歲，又不必透露自己的確切年齡。

?同態(tài)加密：允許對加密數(shù)據(jù)進(jìn)行計算而不進(jìn)行解密。這允許在不暴露敏感信息的情況下對敏感信息進(jìn)行安全處理和驗證。

?匿名憑據(jù)：為用戶提供憑據(jù)，在不關(guān)聯(lián)真實身份的情況下對其進(jìn)行身份驗證。這在確保訪問控制的同時保留了匿名性。

?數(shù)據(jù)最小化：只收集和使用身份驗證所需的最少量個人數(shù)據(jù)。這降低了數(shù)據(jù)暴露和濫用的風(fēng)險。

?通過設(shè)計實現(xiàn)隱私：將隱私原則融入到身份驗證系統(tǒng)的設(shè)計和實施中。這包括透明的數(shù)據(jù)處理實踐和用戶同意機制。

9.新一代多因素身份驗證技術(shù)

多因素身份驗證（MFA）是一種經(jīng)過廣泛驗證的有效安全機制，能夠幫助企業(yè)實現(xiàn)更強有力的身份安全管控措施。但需要注意的是，在網(wǎng)絡(luò)安全這個領(lǐng)域中并沒有靈丹妙藥，對MFA而言也是如此。在很多情況下，MFA解決方案本身也會面臨黑客們的攻擊。

MFA只有更有效地防御黑客攻擊，才有應(yīng)用的意義。在此背景下，能夠?qū)构舻男乱淮鶰FA技術(shù)將會得到更廣泛的關(guān)注和應(yīng)用。為了讓MFA技術(shù)應(yīng)用更加安全，企業(yè)需要采取很多措施來降低MFA方案被攻擊的可能性，主要趨勢包括：

?集成生物識別技術(shù)：更多的組織將生物識別因素（比如指紋和人臉識別）納入其MFA解決方案。生物識別技術(shù)提供了高度的安全和便利性，減少了對密碼的依賴。

?基于位置的身份驗證：使用用戶的地理位置作為一個因素。如果有人試圖從一個不尋常的位置登錄，可能需要額外的驗證步驟。這有助于防止遠(yuǎn)程攻擊者進(jìn)行未經(jīng)授權(quán)的訪問。

?基于時間的一次性密碼（TOTP）：由身份驗證器應(yīng)用程序生成，是一種臨時代碼，在短時間內(nèi)失效。此方法通過確保代碼僅對短暫窗口有效，增加了額外的安全層。

?自適應(yīng)MFA：根據(jù)嘗試登錄的風(fēng)險級別動態(tài)調(diào)整身份驗證需求。比如說，從熟悉的設(shè)備進(jìn)行的低風(fēng)險登錄可能只需要密碼，而從未知設(shè)備進(jìn)行的高風(fēng)險登錄可能需要其他因素。

?推送通知：向用戶的移動設(shè)備發(fā)送推送通知以待批準(zhǔn)。這種方法對用戶友好且安全，因為它要求用戶擁有注冊的設(shè)備。

10.統(tǒng)一認(rèn)證和單點登錄（SSO）

在2024年，統(tǒng)一認(rèn)證和單點登錄能力將會成為現(xiàn)代企業(yè)實現(xiàn)多業(yè)務(wù)系統(tǒng)整合、跨部門協(xié)作的一種關(guān)鍵工具。應(yīng)用統(tǒng)一認(rèn)證和SSO的主要優(yōu)勢在于實現(xiàn)用戶管理的集中化，提高系統(tǒng)安全性，并為用戶提供一致且簡化的應(yīng)用訪問體驗。

然而，傳統(tǒng)的單點登錄技術(shù)在容錯性和安全性方面存在很多不足，需要對其能力進(jìn)行擴(kuò)展優(yōu)化，增強現(xiàn)有方案的容錯性、安全性和穩(wěn)定性，從而為用戶提供更可靠的認(rèn)證服務(wù)，具體措施可包括：

?訪問控制：通過用戶的IP地址、MAC地址和訪問時間設(shè)定連續(xù)訪問和不連續(xù)訪問的門限；

?登錄態(tài)記錄：記錄連續(xù)訪問用戶的統(tǒng)一認(rèn)證登錄態(tài)；

?多項式算法保護(hù)：將登錄態(tài)隱藏在多項式的常數(shù)中，通過多項式算法的思想進(jìn)行保護(hù)；

?條件計算：依據(jù)多種條件計算解出多項式，才能獲得隱藏在常數(shù)中的登錄態(tài)；

?認(rèn)證判斷：根據(jù)定義的條件，判斷是否授予用戶登錄態(tài)，從而進(jìn)行認(rèn)證。

原文鏈接：https://www.tripwire.com/state-of-security/authentication-trends?_gl=1*1w669ut*_up*MQ..*_ga*NzIwMjkyNjU5LjE3MjQxMDYxMTk.*_ga_CM76E0XMNW*MTcyNDEwNjExOC4xLjAuMTcyNDEwNjExOC4wLjAuMA..*_ga_NHMHGJWX49*MTcyNDEwNjExOS4xLjAuMTcyNDEwNjExOS4wLjAuMA..