據(jù)Gartner等權(quán)威機(jī)構(gòu)報(bào)告顯示，近年來(lái)全球因數(shù)字身份泄露引發(fā)的安全事件增長(zhǎng)率持續(xù)攀升，超過(guò)70%的網(wǎng)絡(luò)攻擊事件根源可追溯至數(shù)字身份防護(hù)的薄弱環(huán)節(jié)。數(shù)字身份作為攻擊向量正呈現(xiàn)出攻擊手段愈發(fā)復(fù)雜、攻擊目標(biāo)范圍擴(kuò)大等特點(diǎn)，給企業(yè)和個(gè)人帶來(lái)了更大的安全風(fēng)險(xiǎn)。

安全牛在《AI時(shí)代數(shù)字身份安全技術(shù)應(yīng)用指南（2025版）》報(bào)告調(diào)研中，梳理了當(dāng)前最危險(xiǎn)的十大身份攻擊向量。

一、憑證填充攻擊

指攻擊者利用從數(shù)據(jù)泄露事件中獲取的用戶(hù)名和密碼組合，在其他目標(biāo)系統(tǒng)中嘗試登錄，以非法獲取賬戶(hù)訪問(wèn)權(quán)限的一種自動(dòng)化攻擊方式。與暴力破解不同，憑證填充通常針對(duì) 已知的有效憑證，攻擊者不必嘗試所有密碼組合，而是利用用戶(hù)在多個(gè)系統(tǒng)中重復(fù)使用的密碼進(jìn)行攻擊。

• 攻擊手段：使用機(jī)器人或腳本批量嘗試登錄，繞過(guò)基礎(chǔ)防護(hù)；配合代理池避免IP封禁。
  
• 風(fēng)險(xiǎn)影響：將造成賬戶(hù)被盜、數(shù)據(jù)泄露、金融欺詐，尤其是用戶(hù)重復(fù)使用密碼時(shí)。
  

二、特權(quán)賬戶(hù)濫用

指合法擁有高權(quán)限的身份憑證，被惡意使用或不當(dāng)使用，從而導(dǎo)致未經(jīng)授權(quán)的系統(tǒng)訪問(wèn)、配置更改或數(shù)據(jù)操作的行為。特權(quán)賬戶(hù)濫用的技術(shù)要求高，但一旦得手即“全網(wǎng)失陷”。

• 攻擊手段：憑證竊取、票據(jù)/令牌偽造、默認(rèn)/共享賬戶(hù)濫用、創(chuàng)建隱藏賬戶(hù)長(zhǎng)期控制等。
  
• 風(fēng)險(xiǎn)影響：可直接修改系統(tǒng)配置、關(guān)閉安全防護(hù)、敏感數(shù)據(jù)泄露與篡改，導(dǎo)致全面系統(tǒng)控制。
  

三、弱密碼攻擊

設(shè)置的密碼過(guò)于簡(jiǎn)單，容易被攻擊者通過(guò)暴力破解、字典攻擊等方式獲取密碼，進(jìn)而控制賬戶(hù)。該攻擊門(mén)檻最低，最常見(jiàn)，容易導(dǎo)致批量賬戶(hù)接管。

• 技術(shù)手段：暴力破解、字典攻擊、密碼噴射、默認(rèn)口令利用等；
  
• 風(fēng)險(xiǎn)影響：導(dǎo)致普通用戶(hù)或管理員賬戶(hù)被盜用和接管，企業(yè)被橫向滲透，觸發(fā)數(shù)據(jù)泄露通報(bào)與合規(guī)處罰。
  

四、驗(yàn)證繞過(guò)攻擊

指攻擊者利用應(yīng)用程序、系統(tǒng)或協(xié)議在設(shè)計(jì)、實(shí)現(xiàn)或配置上的缺陷，跳過(guò)正常身份驗(yàn)證流程，從而直接獲取未授權(quán)訪問(wèn)權(quán)限的攻擊方式。與憑證盜用不同，身份驗(yàn)證繞過(guò)攻擊并不依賴(lài)合法用戶(hù)的賬號(hào)密碼，而是通過(guò)漏洞或弱配置直接“繞過(guò)”身份驗(yàn)證機(jī)制。該攻擊的風(fēng)險(xiǎn)級(jí)別與特權(quán)濫用相當(dāng)，往往造成瞬間突破防御。

• 技術(shù)手段：邏輯缺陷利用、會(huì)話/令牌篡改、認(rèn)證接口弱點(diǎn)、認(rèn)證接口弱點(diǎn)、本地客戶(hù)端繞過(guò)等。
  
• 風(fēng)險(xiǎn)影響：完全繞過(guò)登錄保護(hù)，可能直接獲得管理員權(quán)限，導(dǎo)致數(shù)據(jù)泄露與篡改。
  

五、深度偽造與欺騙

通過(guò)模擬/偽造人的特征（語(yǔ)音、人臉、行為），騙過(guò)人臉識(shí)別、聲紋認(rèn)證等生物識(shí)別系統(tǒng)，是GenAI技術(shù)應(yīng)用以來(lái)數(shù)字身份面臨的最為突出風(fēng)險(xiǎn)之一。該攻擊具有高仿真性與隱蔽性，突破點(diǎn)主要是生物識(shí)別與社工信任，將直接威脅基于生物識(shí)別與信任關(guān)系的數(shù)字身份體系，并且難以檢測(cè)與追蹤。

• 攻擊手段：語(yǔ)音偽造、視頻偽造、社交平臺(tái)欺騙等。
  
• 風(fēng)險(xiǎn)影響：傳統(tǒng)依賴(lài)生物特征（人臉、語(yǔ)音）的身份認(rèn)證可能被繞過(guò)，進(jìn)一步導(dǎo)致電話詐騙或授權(quán)欺騙，遠(yuǎn)程開(kāi)戶(hù)、支付、合同簽署可能因虛假身份而失真等風(fēng)險(xiǎn)。
  

六、身份管理機(jī)制漏洞

利用企業(yè)在身份創(chuàng)建、變更、注銷(xiāo)等生命周期管理中的流程漏洞實(shí)施攻擊。

• 技術(shù)手段：不安全的身份生命周期管理、認(rèn)證與授權(quán)耦合錯(cuò)誤、弱Token/Session管理、賬戶(hù)同步不一致等。
  
• 風(fēng)險(xiǎn)影響：將導(dǎo)致僵尸賬戶(hù)，越權(quán)訪問(wèn)敏感資源，SSO/Federation 漏洞可能導(dǎo)致多個(gè)應(yīng)用同時(shí)失守，身份治理不完善違反SOX、GDPR等審計(jì)要求等等。
  

七、信任邊界缺陷攻擊

指攻擊者利用系統(tǒng)、網(wǎng)絡(luò)或身份管理中的信任邊界薄弱點(diǎn)，在不同安全域、系統(tǒng)或組織間濫用或突破信任關(guān)系，從而繞過(guò)訪問(wèn)控制或擴(kuò)大攻擊范圍的行為。該攻擊偏向架構(gòu)級(jí)風(fēng)險(xiǎn)，是一種企業(yè)/系統(tǒng)內(nèi)部攻擊，一旦失守，可能導(dǎo)致級(jí)聯(lián)失陷。

• 技術(shù)手段：API/微服務(wù)信任缺陷、跨域信任濫用、內(nèi)部網(wǎng)絡(luò)過(guò)度信任
  
• 風(fēng)險(xiǎn)影響：導(dǎo)致快速橫向滲透、跨系統(tǒng)失陷和級(jí)聯(lián)風(fēng)險(xiǎn)。
  

八、過(guò)度收集與隱私侵犯攻擊

指攻擊者或惡意服務(wù)在用戶(hù)不知情或未經(jīng)充分同意的情況下，收集、使用、共享或?yàn)E用個(gè)人身份信息（PII）或敏感數(shù)據(jù)，從而對(duì)個(gè)人或組織造成安全、隱私或合規(guī)風(fēng)險(xiǎn)的行為。這種攻擊可能發(fā)生在 應(yīng)用、服務(wù)、供應(yīng)商、第三方SDK或平臺(tái) 中，屬于身份與隱私安全的交叉威脅。過(guò)度收集與隱私侵犯攻擊的核心特點(diǎn)是“信息收集過(guò)度+用戶(hù)無(wú)感知”，風(fēng)險(xiǎn)不僅在數(shù)據(jù)泄露，更會(huì)成為后續(xù)身份濫用、社工攻擊和欺騙攻擊的基礎(chǔ)。

• 技術(shù)手段：超范圍數(shù)據(jù)收集、隱私數(shù)據(jù)濫用、數(shù)據(jù)泄露與濫傳、偽造身份信息或跟蹤等。
  
• 風(fēng)險(xiǎn)影響：將導(dǎo)致身份與賬戶(hù)風(fēng)險(xiǎn)，隱私泄露，違反GDPR、CCPA、PIPL等隱私法規(guī)，面臨巨額罰款和訴訟。此外，攻擊者利用收集到的個(gè)人信息進(jìn)行更精準(zhǔn)的釣魚(yú)、深度偽造和社工攻擊等。
  

九、供應(yīng)商依賴(lài)風(fēng)險(xiǎn)

企業(yè)依賴(lài)第三方供應(yīng)商提供的服務(wù)和產(chǎn)品，如果第三方供應(yīng)商出現(xiàn)數(shù)據(jù)泄漏、安全漏洞等問(wèn)題，攻擊者可以通過(guò)攻擊第三方供應(yīng)商來(lái)間接攻擊企業(yè)。該攻擊具有單點(diǎn)依賴(lài)、外包信任、可見(jiàn)性不足等特點(diǎn)，一旦攻擊發(fā)生，往往是高影響、跨系統(tǒng)、級(jí)聯(lián)式的失陷事件。

• 技術(shù)手段：供應(yīng)鏈攻擊、API/SDK 漏洞利用、更新與補(bǔ)丁投毒等；
  
• 風(fēng)險(xiǎn)影響：將導(dǎo)致下游用戶(hù)大規(guī)模身份接管、業(yè)務(wù)連續(xù)性中斷、數(shù)據(jù)泄露和信任鏈崩塌。
  

十、社會(huì)工程攻擊

攻擊者利用心理操縱和人性弱點(diǎn)，欺騙、誘導(dǎo)或施壓，獲取目標(biāo)的敏感信息、賬號(hào)憑證、訪問(wèn)權(quán)限等身份信息，是社會(huì)工程攻擊是數(shù)字身份安全的最大威脅之一。

• 攻擊手法：網(wǎng)絡(luò)中釣魚(yú)、尾隨/借口進(jìn)入；
  
• 攻擊影響：可能造成憑證泄露、賬戶(hù)接管、權(quán)限濫用，甚至破壞整個(gè)身份信任體系。

攻擊向量對(duì)照表

整體來(lái)看，攻擊復(fù)雜度整體處于中高水位，低復(fù)雜度攻擊仍然有效，在技術(shù)的驅(qū)動(dòng)下中高復(fù)雜度攻擊逐漸增多，高復(fù)雜度攻擊呈上升態(tài)勢(shì)；檢測(cè)難度整體處于高位水平，特別是高難度檢測(cè)場(chǎng)景快速增加，越來(lái)越多攻擊手段無(wú)法通過(guò)傳統(tǒng)日志/特征發(fā)現(xiàn)。

攻擊復(fù)雜度與檢測(cè)難度水位線

身份攻擊向量的本質(zhì)是：利用身份體系的漏洞或信任機(jī)制，以合法或偽造的身份為掩護(hù)實(shí)施攻擊。隨著數(shù)字化轉(zhuǎn)型中身份邊界的不斷擴(kuò)大（用戶(hù)、設(shè)備、應(yīng)用、API均需身份標(biāo)識(shí)），身份攻擊向量將更加復(fù)雜多樣。