是时候重新考虑身份和身份认证了 ——
是时候重新考虑身份和身份认证了——传统的身份和认证系统不具备处理现代需求的能力。零信任的安全性、合规性、隐私性和访问的便利性都需要一种新的方法:无摩擦、基于身份的认证。身份是当今最值钱的数字货币。一旦得到验证,它就能让你获得几乎所有的东西。历史上,身份是由出生证明、政府颁发的身份证和密码来验证的,最近则是由移动设备和生物识别技术来验证。在网络犯罪分子的不断攻击下,我们看到如何定义身份和确保适当的认证的转变。传统的安全方法假定登录的人就是他们所说的人,但现代安全标准(如NIST800-63-3和FIDO2)必须关注身份证明,并摆脱传统的密码。这种安全方面的转变也必须包括用户的需求。由于需要记住多个账户和密码,安全问题是一个繁琐的过程,它仍然使用户面临很大的凭证泄露的风险。以下是当今可能需要以不同方式思考身份和认证问题的四种方式。1、身份和认证应合并在一起通常情况下,安全问题集中在身份证明或无密码解决方案上。在实施两个可能不兼容但又必要的系统时,这种分离会给组织和客户带来摩擦。保持身份信息和认证方式的分离有两个主要问题,特别是在处理员工和客户的时候。首先,对你的用户来说,认证永远不会是“无摩擦”的。他们将与多个密码和用户名打交道,这是一个漏洞。其次,如果你的员工因为个人原因以客户身份使用你的平台(想想看:银行员工也在你这里有账户吧),而你无法证明这是同一个人,只能证明这个人有正确的客户凭证。我们现在不再需要用户名和密码来认证个人。生物识别技术、移动设备和多因素认证是强有力的工具。在开始时将这些方法与明确的身份证明结合起来,可以减少用户的摩擦,提高整体安全性。2、用户必须能控制自己的身份每当个人泄露了身份信息,他们就会面临风险。因此,用户希望对谁、什么、何时提供这些信息有更多的控制。今天,有几种方法可以将认证权交还给用户:智能手机验证生物识别数据提供一次性密码(OTP)的应用程序和设备在计算机和移动设备中使用可信平台模块(TPM)芯片来存储加密密钥和其他数据使用区块链来存储可识别信息需要用户同意才能提供验证详细信息鉴于这些选择,用户对身份和认证的控制必须是一项要求。3、认证应与风险相对应尽管上面列出的技术很有前途,但大多数企业并没有利用它们。相反,他们继续投资于陈旧的认证形式,与日益复杂的风险不相适应。虽然双因素认证有帮助,但这并不是一个一刀切的解决方案。每个用户都有不同程度的风险,他们的认证也必须相应地匹配。认证应该支持多种方法,但它可以包括企业账户验证、电子邮件地址访问和生物识别技术——除了前面提到的SMS和OTP之外。企业不需要实施所有可用的因素,但应根据其组织和用户的风险,针对性确定其用途。考虑到用户希望控制自己的身份,以保持积极的体验,同样重要的是要意识到需要潜在地允许他们自己决定何时采用较新的认证方法。4、可管理的实施过渡到新的解决方案是一个微妙的过程。在没有确定你的企业的复杂需求或没有让你的员工和客户做好准备的情况下,过快地行动是很可能失败的。首先专注于如何最好地整合身份和认证,然后从那里开始建立。身份的概念已经存在了几十年,然而认证却没有赶上其先进的威胁——直到现在。现在是时候了,不要再寄希望于传统的系统,而要接受新的认证和存储信息的手段。这将创造更好的认证效率、用户体验和组织安全性。
