企業(yè)和消費(fèi)者身份的融合,為黑客創(chuàng)建了一個(gè)巨大的攻擊界面。我們應(yīng)探討二者趨同的各種方式,以及安全社區(qū)應(yīng)做出的響應(yīng)。
多因子同化現(xiàn)象
一些雙因子身份驗(yàn)證方法,是為消費(fèi)者創(chuàng)建而隨后被企業(yè)采用的;另外一些,則是為企業(yè)創(chuàng)建而被個(gè)人用戶采納的。
1. 生物特征識(shí)別
包含嵌入原生App中的指紋掃描器和虹膜掃描器,供消費(fèi)者和企業(yè)身份驗(yàn)證使用。用心率驗(yàn)證身份的Nymi腕帶就是其中一個(gè)極好的例子。
2. 基于上下文的身份驗(yàn)證
最為消費(fèi)者熟知的,是“在此設(shè)備上記住我”勾選框,或者Visa驗(yàn)證和MasterCard安全碼(McSc)。從陌生設(shè)備登錄時(shí),用戶就會(huì)被要求用額外的因子(如一次性口令(OTP))驗(yàn)證自身身份。
3. 單擊身份驗(yàn)證
通過(guò)點(diǎn)擊移動(dòng)設(shè)備上的按鈕進(jìn)行用戶身份驗(yàn)證,消費(fèi)者服務(wù)和企業(yè)都有提供。
工作場(chǎng)所和家中的單點(diǎn)登錄
相信都聽(tīng)說(shuō)過(guò)口令疲勞吧?我們?nèi)粘I钪锌偸切枰涀『芏嗫诹?,登錄流行?yīng)用的時(shí)候難免焦慮。在任何可行的地方實(shí)現(xiàn)單點(diǎn)登錄解決方案(SSO),可以僅驗(yàn)證一次,后續(xù)就能在訪問(wèn)各種資源的時(shí)候自動(dòng)驗(yàn)證,有效消除這種沮喪和焦慮。
企業(yè)世界中,SSO體驗(yàn)通過(guò)使用口令存儲(chǔ)庫(kù)或聯(lián)合身份驗(yàn)證協(xié)議(如Kerberos、SAML和Open ID Connect)創(chuàng)建。消費(fèi)者世界中,盡管也有面向消費(fèi)者的口令存儲(chǔ)庫(kù),卻是SSO的前身——聯(lián)合身份驗(yàn)證協(xié)議,一統(tǒng)江湖。當(dāng)你點(diǎn)擊“用谷歌賬戶登錄”按鈕時(shí),就是 Open ID Connect 協(xié)議在將你的谷歌身份擴(kuò)展到新的非從屬網(wǎng)站,讓你無(wú)需創(chuàng)建新的身份并用新用戶名和口令來(lái)登錄。
統(tǒng)一身份的關(guān)鍵是什么?
如果我明天就到新單位上班,我可以用某個(gè)社交媒體賬號(hào)立即訪問(wèn)新工作的網(wǎng)絡(luò)、VPN和云應(yīng)用嗎?如果我的新工作實(shí)現(xiàn)了身份代理,那這個(gè)問(wèn)題的答案就是“可以”。
類似的,采用身份代理,你可以讓商業(yè)合作伙伴用他們已有的社交媒體身份,登錄你的合作伙伴門戶,省去他們?yōu)樵摲?wù)維護(hù)新身份的麻煩——很值得一試的做法,因?yàn)楹芏鄶?shù)據(jù)泄露都是利用供應(yīng)商和合作伙伴的登錄憑證犯案的,比如塔吉特?cái)?shù)據(jù)泄露事件。
身份代理,就是支持BYOI(自帶身份)的系統(tǒng),采用用戶已有身份在陌生網(wǎng)站進(jìn)行驗(yàn)證登錄。該系統(tǒng)中,單個(gè)用戶賬戶可與不同身份源的身份進(jìn)行關(guān)聯(lián),通常采用特別為代理場(chǎng)景設(shè)置的 SAML 2.0 或 Open ID Connect 協(xié)議實(shí)現(xiàn)。
未來(lái),我們將會(huì)看到越來(lái)越多的企業(yè)與消費(fèi)者身份都支持的身份提供商。此類提供商不僅支持隔離的企業(yè)身份,也充分支持各種各樣的外部身份。比如社交媒體賬戶、醫(yī)療智能卡、商業(yè)并購(gòu)帶來(lái)的身份,以及嵌入智能卡芯片的可穿戴設(shè)備產(chǎn)生的身份。
此類身份代理將讓我們的現(xiàn)有身份成為統(tǒng)一身份,在我們的消費(fèi)和企業(yè)生活中相互作用。FIDO聯(lián)盟的宗旨正在于此。該聯(lián)盟由PayPal、微軟、谷歌、ARM、聯(lián)想、MasterCard、美國(guó)銀行和美國(guó)運(yùn)通等業(yè)界領(lǐng)袖統(tǒng)領(lǐng),希望通過(guò)利用PKI身份驗(yàn)證,讓我們可以用同一個(gè)加密狗、生物眼紋或移動(dòng)設(shè)備,來(lái)登錄我們的銀行賬戶,訪問(wèn)云應(yīng)用和社交網(wǎng)絡(luò)。
加強(qiáng)防護(hù)
不幸的是,統(tǒng)一身份的創(chuàng)意也為普通消費(fèi)者帶來(lái)了一些隱憂。雖然信用卡可以很方便地更換,欺詐性消費(fèi)可以取消或追回,被盜身份和敏感個(gè)人信息的傷害卻是長(zhǎng)期而持久的——你的用戶和公司生活會(huì)面臨跨界風(fēng)險(xiǎn)。除非正確實(shí)現(xiàn),否則統(tǒng)一身份將成為攻擊的主要目標(biāo)。于是,焦點(diǎn)又轉(zhuǎn)回了對(duì)能更好地保護(hù)數(shù)據(jù)的安全防護(hù)策略的需求——比如細(xì)粒度訪問(wèn)控制和策略。