原標題:企業和消費者身份的融合表明統一身份時代的到來

企業和消費者身份的融合,為黑客創建了一個巨大的攻擊界面。我們應探討二者趨同的各種方式,以及安全社區應做出的響應。

企業和消費者身份的融合表明統一身份時代的到來

多因子同化現象

一些雙因子身份驗證方法,是為消費者創建而隨後被企業採用的;另外一些,則是為企業創建而被個人使用者採納的。

1. 生物特徵識別

包含嵌入原生App中的指紋掃描器和虹膜掃描器,供消費者和企業身份驗證使用。用心率驗證身份的Nymi腕帶就是其中一個極好的例子。

2. 基於上下文的身份驗證

最為消費者熟知的,是「在此設備上記住我」勾選框,或者Visa驗證和MasterCard安全碼(McSc)。從陌生設備登錄時,使用者就會被要求用額外的因子(如一次性口令(OTP))驗證自身身份。

3. 單擊身份驗證

通過點擊移動設備上的按鈕進行使用者身份驗證,消費者服務和企業都有提供。

工作場所和家中的單點登錄

相信都聽說過口令疲勞吧?我們日常生活中總是需要記住很多口令,登錄流行應用的時候難免焦慮。在任何可行的地方實現單點登錄解決方案(SSO),可以僅驗證一次,後續就能在訪問各種資源的時候自動驗證,有效消除這種沮喪和焦慮。

企業世界中,SSO體驗通過使用口令存儲庫或聯合身份驗證協議(如Kerberos、SAML和Open ID Connect)創建。消費者世界中,儘管也有面向消費者的口令存儲庫,卻是SSO的前身——聯合身份驗證協議,一統江湖。當你點擊「用谷歌賬戶登錄」按鈕時,就是 Open ID Connect 協議在將你的谷歌身份擴展到新的非從屬網站,讓你無需創建新的身份並用新使用者名和口令來登錄。

統一身份的關鍵是什麼?

如果我明天就到新單位上班,我可以用某個社交媒體賬號立即訪問新工作的網路、VPN和雲應用嗎?如果我的新工作實現了身份代理,那這個問題的答案就是「可以」。

類似的,採用身份代理,你可以讓商業合作夥伴用他們已有的社交媒體身份,登錄你的合作夥伴門戶,省去他們為該服務維護新身份的麻煩——很值得一試的做法,因為很多數據泄露都是利用供應商和合作夥伴的登錄憑證犯案的,比如塔吉特數據泄露事件。

身份代理,就是支持BYOI(自帶身份)的系統,採用使用者已有身份在陌生網站進行驗證登錄。該系統中,單個使用者賬戶可與不同身份源的身份進行關聯,通常採用特別為代理場景設置的 SAML 2.0 或 Open ID Connect 協議實現。

未來,我們將會看到越來越多的企業與消費者身份都支持的身份提供商。此類提供商不僅支持隔離的企業身份,也充分支持各種各樣的外部身份。比如社交媒體賬戶、醫療智能卡、商業併購帶來的身份,以及嵌入智能卡晶元的可穿戴設備產生的身份。

此類身份代理將讓我們的現有身份成為統一身份,在我們的消費和企業生活中相互作用。FIDO聯盟的宗旨正在於此。該聯盟由PayPal、微軟、谷歌、ARM、聯想、MasterCard、美國銀行和美國運通等業界領袖統領,希望通過利用PKI身份驗證,讓我們可以用同一個加密狗、生物眼紋或移動設備,來登錄我們的銀行賬戶,訪問雲應用和社交網路。

加強防護

不幸的是,統一身份的創意也為普通消費者帶來了一些隱憂。雖然信用卡可以很方便地更換,欺詐性消費可以取消或追回,被盜身份和敏感個人資訊的傷害卻是長期而持久的——你的使用者和公司生活會面臨跨界風險。除非正確實現,否則統一身份將成為攻擊的主要目標。於是,焦點又轉回了對能更好地保護數據的安全防護策略的需求——比如細粒度訪問控制和策略。