在选择身份验证类型时,企业需要兼顾用户体验和安全性。某些用户身份验证类型的安全性低于其他类型,但更高强度的身份验证可能会产生过多摩擦,导致员工实践不佳,并最终导致身份验证计划流产。
以下介绍和点评六种主流IAM身份验证方法,希望能帮助您选择最适合需求的身份验证协议。
6种主流IAM身份验证方法
身份验证方法包括用户知道的东西、用户拥有的东西和用户具有的东西。然而,并非每种身份验证类型都是为了保护网络而创建的。这些身份验证方法的范围从提供基本保护到更强的安全性。建议使用不止一种方法——多因素身份验证(MFA)。
1、基于密码的认证
基于密码的身份验证是攻击者最容易滥用的身份验证类型。人们经常重复使用密码并使用字典单词和公开的个人信息创建可猜测的密码。此外,员工需要为他们使用的每个应用程序和设备设置密码,这使他们难以记住,并导致员工尽可能简化密码(弱密码)。这使得帐户更容易受到网络钓鱼和暴力攻击。
公司应制定限制密码重复使用的密码策略。密码策略还可以要求用户定期更改密码并要求密码保持一定的复杂度。
2、双因素/多因素身份验证
双重身份验证(2FA)要求用户提供除密码之外的至少一个附加身份验证因素。MFA需要两个或多个因素。其他因素可以是本文提及的其他身份验证类型或通过文本或电子邮件发送给用户的一次性密码。“多因素”的涵义还包括带外身份验证,其中涉及第二个因素与原始设备位于不同的通道上,以减轻中间人攻击。这种身份验证类型增强了帐户的安全性,因为攻击者需要的不仅仅是访问凭据。
2FA的强度取决于次要因素。使用需要用户的生物识别信息或推送通知,可提供更强大的2FA。但是,在部署2FA或MFA时要小心,因为它会降低用户体验,制造摩擦。
3、生物特征认证
生物识别技术使用用户自身生物特征进行验证,较少依赖容易被盗的秘密(例如密码口令)来验证用户是否确实拥有帐户。生物识别身份也是唯一的,这使得破解帐户变得更加困难。
常见的生物识别类型包括:
·指纹扫描根据用户的指纹验证身份验证;
·面部识别使用人的面部特征进行验证;
·虹膜识别使用红外线扫描用户的眼睛,将模式与保存的配置文件进行比较;
·行为生物识别技术使用一个人走路、打字或处理设备的方式。
很多用户已经非常熟悉生物识别技术,因此该身份验证方法更容易在企业环境中部署。许多消费类设备都具有生物特征验证功能,包括WindowsHello、Apple的FaceID和TouchID。生物特征身份验证体验通常更流畅、更快捷,因为它不需要用户回忆密码或密码。攻击者也更难进行欺骗。
5、基于令牌的认证
令牌使攻击者难以访问用户帐户。攻击者需要物理访问令牌和用户凭据才能渗透帐户。
必须信任员工,让他们保管自己的令牌,因为如果忘记或丢失令牌,用户将被锁定,无法访问账户。
6、基于证书的认证
证书身份验证使用证书颁发机构颁发的数字证书和公钥加密来验证用户身份。证书存储身份信息和公钥,而用户拥有虚拟存储的私钥。
基于证书的身份验证使用SSO。IT可以部署、管理和撤销证书。这种身份验证类型适用于雇用临时需要网络访问的承包商的公司。
基于证书的身份验证部署起来既昂贵又耗时。IT还必须创建一个重新注册流程,以防用户无法访问他们的密钥——例如,被盗或设备损坏。
流行的身份验证方法协议
身份验证过程涉及在远程客户端和服务器之间安全地发送通信数据。流行的身份验证协议包括以下内容:
·轻量级目录访问协议(LDAP)用于身份验证,以使用目录服务验证凭据。使用LDAP时,客户端请求存储在数据库中的用户数据,并在凭据匹配时提供访问权限。
·如果服务器无法处理更强的协议,则使用密码验证协议(PAP)。PAP以明文形式发送用户名和密码,因此很容易成为窥探目标。
·质询握手身份验证协议(CHAP)提供比PAP更好的保护。CHAP使用质询/响应机制进行身份验证,而不是传输秘密,从而减少重放攻击的机会。
·可扩展身份验证协议(EAP)用于无线连接,作为加密网络的点对点协议的一部分。EAP提供了一个支持和扩展多种身份验证方法的框架。
·Kerberos用于在包括Windows、macOS和Linux在内的操作系统中通过不安全的网络(例如Internet)进行身份验证。Kerberos与受信任的第三方合作以提供访问证书。
·安全断言标记语言(SAML)是一种开源协议和SSO标准。SAML在IdP和服务提供商之间通过签名的XML文档传递信息。
·FIDO2是多家科技巨头联合推动的一种安全标准,使用Web身份验证API和客户端到身份验证器协议,通过来自本地设备(例如令牌或智能手机)的公钥加密对用户进行身份验证。
·SSL/TLS使用公钥加密和数字证书在用户和服务器之间进行身份验证。