我們從未像現(xiàn)在這樣接近無(wú)處不在的全局身份(ID)。在雙因子身份驗(yàn)證(2FA)/多因子身份驗(yàn)證(MFA)的加持下，好處盡在掌握而風(fēng)險(xiǎn)得到控制。

ID，曾是計(jì)算機(jī)安全防御方面唯一重要的安全邊界。只要可訪問(wèn)多個(gè)域的1個(gè)登錄憑證被盜，物理邊界、防火墻邊界、安全域、虛擬網(wǎng)絡(luò)等等，全都不再重要了。

今天的ID解決方案，可以1個(gè)憑證就訪問(wèn)成百上千個(gè)不同的安全域，但同時(shí)又保持處于整體風(fēng)險(xiǎn)很低的狀態(tài)。這是怎么做到的呢?

ID技術(shù)早期

在計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)早期，大多數(shù)人都只用1個(gè)登錄名&口令對(duì)來(lái)訪問(wèn)全部資源。由于1臺(tái)計(jì)算機(jī)被感染，就會(huì)導(dǎo)致共享該相同登錄憑證的其他所有計(jì)算機(jī)也遭殃，這種1個(gè)憑證走天下的做法被證明是非常糟糕的策略。每個(gè)人都被建議為自己訪問(wèn)的各個(gè)系統(tǒng)創(chuàng)建不同的口令。

ID技術(shù)中期

隨著大多數(shù)人如今都需要用口令訪問(wèn)幾十上百個(gè)不同資源，若要每個(gè)資源用單獨(dú)的口令，就會(huì)要求要么把口令全都寫下來(lái)，要么用口令管理器把所有口令存儲(chǔ)下來(lái)，在訪問(wèn)時(shí)自動(dòng)登入，要么采用某種形式的單點(diǎn)登錄(SSO)解決方案。

SSO解決方案在企業(yè)里非常盛行，口令管理器則在家庭用戶中間非常普遍。但這兩種類型的解決方案無(wú)法在全部的安全域和平臺(tái)中適用。一些廣泛應(yīng)用的SSO解決方案被創(chuàng)建出來(lái)，比如微軟的Passport服務(wù)和去中心化的OpenID標(biāo)準(zhǔn)。盡管全球采用的承諾很誘人，所有中期SSO解決方案沒(méi)有一個(gè)真正成功了。

當(dāng)今的ID技術(shù)

社交媒體殺手級(jí)App，比如Facebook和推特，無(wú)情碾壓過(guò)其他ID競(jìng)爭(zhēng)失敗者，方產(chǎn)生了ID大戰(zhàn)中的新勝者。龐大的用戶數(shù)量，確保了他們無(wú)論使用哪種解決方案和協(xié)議，最終都會(huì)成為全球通行方案。新的全局ID標(biāo)準(zhǔn)和解決方案幾乎一夜之間冒頭。至少，在ID觀察者眼中是這樣的。

新解決方案并非總能獲得全球認(rèn)可。這個(gè)世界上，還有很多聰明專注的人，長(zhǎng)期以來(lái)都在磨礪其他可能更棒的解決方案，這部分人感受到了深深的傷害。但都不重要了。要么吸收，要么落后。

最初的陣痛過(guò)去后，紛爭(zhēng)平息，強(qiáng)勢(shì)的新標(biāo)準(zhǔn)最終被認(rèn)為是不錯(cuò)的東西。結(jié)果就是，我們可供選擇的SSO身份驗(yàn)證標(biāo)準(zhǔn)更少，但更廣為接受。而且這些標(biāo)準(zhǔn)在企業(yè)和消費(fèi)者兩種平臺(tái)中都能應(yīng)用。

說(shuō)到今天的ID解決方案，下列協(xié)議和解決方案簡(jiǎn)直信手拈來(lái)，沒(méi)用過(guò)也聽(tīng)過(guò)：Facebook的 Graph API、OAuth、OpenIDConnect、xAuth、SAML、RESTful和FIDO聯(lián)盟。數(shù)十年的嘗試過(guò)后，通用ID的世界終于達(dá)成。很多網(wǎng)站上，你可以用Facebook、推特或喜歡的 OAuth/xAuth SSO 來(lái)驗(yàn)證身份?；ゲ僮鲉?wèn)題依然存在，但這些障礙正飛速瓦解。

今天，你可以使用口令、手機(jī)、數(shù)字證書、生物識(shí)別特征、2FA或MFA SSO解決方案，來(lái)登錄各種網(wǎng)站。每個(gè)ID都有不同的“屬性”或相關(guān)“聲明”，關(guān)聯(lián)至1個(gè)或多個(gè)受信設(shè)備，有不同的保證級(jí)別，可用于不同的網(wǎng)站。

當(dāng)然，目前并非全部網(wǎng)站都接受了SSO，但我們距離這一將來(lái)并不太遠(yuǎn)。不過(guò)，我們真的想要嗎?

我們大多數(shù)人都會(huì)有用不同身份應(yīng)對(duì)不同事務(wù)的需求。比如說(shuō)，大部分人都有工作和私人賬號(hào)。我的工作要求能隨時(shí)保有所有工作相關(guān)內(nèi)容，甚至要能夠在雇傭終止時(shí)立即清除所有工作內(nèi)容。同時(shí)，我并不希望工作上的管理員可以訪問(wèn)我在家庭電腦上的個(gè)人內(nèi)容瀏覽歷史。我不想讓自己的個(gè)人文檔出現(xiàn)在工作計(jì)算機(jī)上，反之亦然。這種情況在當(dāng)前全局ID無(wú)孔不入的大環(huán)境下，還是經(jīng)常發(fā)生的。比如說(shuō)，家里小孩把iPod插入大人工作電腦充電，iTunes就自動(dòng)同步大人的工作文檔到小孩iPod上——很驚悚，很危險(xiǎn)，但經(jīng)常發(fā)生。

完美單一ID

如果能用1個(gè)全局ID暢行不同“身份”，比如“工作的你”、“家庭的你”……;能1個(gè)ID應(yīng)用到不同用例場(chǎng)景;能確保不同內(nèi)容和資源各自隔離;那世界就完美了?；蛟S未來(lái)能實(shí)現(xiàn)，但目前恐怕還沒(méi)走到這一步。

單點(diǎn)登錄引入更多風(fēng)險(xiǎn)?

或許你會(huì)擔(dān)憂，1個(gè)統(tǒng)一的ID(或者更少但更通行的ID)，會(huì)不會(huì)意味著一旦該ID被盜，所有內(nèi)容都曝光在黑客眼中，后果嚴(yán)重到不堪設(shè)想。畢竟，用單點(diǎn)登錄，跟用同一個(gè)口令登錄所有注冊(cè)網(wǎng)站，從哪方面看都太像了。難道我們繞這一大圈，只是為了走回原點(diǎn)?

只要做對(duì)了，多半是不會(huì)繞一圈又繞回老問(wèn)題的。

如果你用的全局ID從源頭就被黑了(比如ID提供商)，被黑ID有可能被用在更多地方，風(fēng)險(xiǎn)自然更大。舉個(gè)例子，壞人拿到了你的Facebook登錄名和口令，你所有用Facebook賬戶憑證登錄的地方他就都能訪問(wèn)了。

但這也正是Facebook，以及大多數(shù)其他流行社交站點(diǎn)和身份驗(yàn)證提供商，主推更強(qiáng)壯的2FA和MFA解決方案，而你也應(yīng)該使用2FA/MFA的原因所在。這樣一來(lái)，即便黑客獲取了你的口令，他也得不到(至少不會(huì)立即獲得)，你身份驗(yàn)證所需的第二個(gè)因子或物理設(shè)備。

另外，大多數(shù)全局ID解決方案，并不會(huì)在所有參與站點(diǎn)上使用單一身份驗(yàn)證令牌。相反，你的“全局令牌”被用來(lái)創(chuàng)建特定于各站點(diǎn)/會(huì)話的身份驗(yàn)證令牌，令牌間不存在交叉使用的情況。這意味著，即使你用全局身份驗(yàn)證令牌登錄的某個(gè)站點(diǎn)被黑客攻破，該令牌也無(wú)法應(yīng)用到其他站點(diǎn)上。這是雙贏解決方案，比共享口令好多了。

生物特征識(shí)別的隱憂

其實(shí)不擔(dān)心生物特征識(shí)別的隨意使用，或者無(wú)需擔(dān)心生物特征不定哪天就被存儲(chǔ)到每個(gè)人的全局ID賬戶中。生物特征識(shí)別技術(shù)從來(lái)都不像表現(xiàn)出來(lái)的那么神奇。它們根本沒(méi)有號(hào)稱的那么精確，很容易被偽造，還經(jīng)常罷工(手上有汗或者稍微臟點(diǎn)兒的時(shí)候去按按指紋打卡機(jī)試試，你老板會(huì)很樂(lè)意扣你全勤獎(jiǎng)的)。

但假設(shè)你是個(gè)指紋識(shí)別忠實(shí)粉絲，你想用指紋訪問(wèn)任意網(wǎng)站，然后你挑了個(gè)能接受指紋的全局身份驗(yàn)證提供商。聽(tīng)起來(lái)很棒的主意。但是，一旦我們開(kāi)始在全局ID中存儲(chǔ)指紋，攻破了該ID提供商的攻擊者就將獲得你的指紋——永久性的。他們有可能以你的名義，橫行在所有接受你指紋的其他網(wǎng)站上。畢竟，你又不可能把自己的指紋改掉。

目前為止，有兩樣?xùn)|西在阻止生物特征ID盜竊問(wèn)題蔓延(除了生物特征識(shí)別技術(shù)并未在手機(jī)和筆記本之外的很多用例中被接受的事實(shí))。其一，大多數(shù)生物特征都是本地存儲(chǔ)并使用的。這意味著黑客必須實(shí)地接觸到你的設(shè)備，才能破解并拿到你的生物特征ID。而且，即便他拿到了，該生物特征也用不到其他設(shè)備上。

其二，一旦你使用生物特征ID登錄，此后的身份驗(yàn)證就是：驗(yàn)證系統(tǒng)使用上述討論過(guò)的其他身份驗(yàn)證方式之一。除了你的指紋，還用一些其他身份驗(yàn)證令牌。你的生物特征ID一般是不離開(kāi)你的本地設(shè)備。而如果人們開(kāi)始過(guò)度依賴全局生物特征識(shí)別身份驗(yàn)證，這種情況就會(huì)發(fā)生變化了。

總結(jié)

我們從未像現(xiàn)在這樣接近無(wú)處不在的全局ID。目前的最佳實(shí)踐是：對(duì)全局ID啟用2FA/MFA。這樣才能利益最大化而風(fēng)險(xiǎn)最小化。