现在最好的身份管理建议 - 沐鸣新闻 - 沐鸣官网资讯 - 沐鸣网络电子科技有限公司 

全国统一热线:0755-29925678

沐鸣新闻

沐鸣平台资讯

行业动态

沐鸣相关新闻

现在最好的身份管理建议

浏览次数:1043日期:2019-06-10小编:沐鸣

  欢迎访问沐鸣平台网址,身份是计算机安全防御中唯一重要的安全边界。物理边界,防火墙边界,安全域,林,领域和虚拟网络......如果可以访问多个域的单个登录凭据受到损害,则无关紧要。


  今天的身份解决方案能够使用单一凭证访问数十万个不同的安全域,但令人惊讶的是,这可以降低整体风险。这怎么可能?


在早期的身份

  在计算机和网络的早期,大多数人使用单个登录名和密码来访问所有内容。这被证明是一个非常糟糕的策略,因为一台计算机的妥协可能导致共享相同登录凭据的每台其他计算机的妥协。每个人都被告知要为他们访问的每个不同系统创建不同的密码。


身份中期

  现在大多数人都可以访问数十种到数百种不同的受密码保护的资源,每种资源使用不同的密码要么全部写下来(大禁止),使用密码管理器(存储所有密码,也可能是自动密码)记录了访问所有不同站点的人员,或某种单点登录(SSO)解决方案。


  SSO解决方案在企业中变得相当流行,密码管理器在家庭用户领域变得相当普遍。但是这两种类型的解决方案从未在所有安全域和平台上运行,并且具有相当大的一致性。一些广泛应用的SSO解决方案被创建,尝试和放弃,例如微软的原始Passport和分散的OpenID标准。尽管他们承诺全球使用和接受,但中期的SSO解决方案都没有真正起飞。


今天的身份

  社交媒体杀手级应用程序(如Facebook和Twitter)对其他身份也采用粗暴措施,以便让新的赢家出现。他们庞大的用户群体确保他们使用的任何解决方案和协议最终都会变得全球化和普遍存在。新的全球身份标准和解决方案在一夜之间出现 - 或者似乎是观察者的身份。新解决方案并非总是受到全球信任和同意。它伤害了许多聪明,敬业的人们的感情,这些人一直致力于其他可能更好的解决方案。没关系。同化或落后。


  在最初被几百磅大猩猩推倒的痛苦消退后,强迫新标准最终成为一件好事。最终结果是我们有更少但更普遍接受的SSO认证标准可供选择。它们可以在企业和消费者平台上使用。


  在讨论今天的身份解决方案时,您将听到以下协议和解决方案:Facebook的Graph API,oAuth,OpenIDConnect,xAuth,SAML,RESTful和FIDO Alliance。经过几十年的尝试,无处不在的世界终于触手可及。在许多网站上,您可以使用您的Facebook,Twitter或最喜欢的oAuth或xAuth启用的SSO登录进行身份验证。仍存在互操作性问题,但这些障碍正在快速下降。


  今天,您可以使用密码,电话,数字证书,生物识别身份,双因素身份验证(2FA)或多因素身份验证(MFA)SSO解决方案登录到无数网站。每个身份可以具有与之关联的不同“属性”或“声明”,与一个或多个可信设备相关联,具有不同的保证级别,并且可以在您选择的不同站点上使用。


  当然,现在,我们没有普遍接受的SSO,它适用于所有站点,但我们越来越近了。现在我们离得更近了,我几乎可以肯定我们并不是真的想要它。


  我们大多数人都有一种独特的需求,即拥有与不同事物相关的多重身份。例如,我们大多数人都有工作和个人账户。我的工作希望能够随时保留所有与工作相关的内容,甚至能够在终止我的工作时立即删除所有工作内容。同时,我不希望我的工作管理员在我的家用计算机上访问我的个人内容浏览历史记录。我不希望我的个人文档以某种方式结束我的工作计算机,反之亦然,这有时会发生在我们更普遍的全球身份上。我记得当我的妻子将她的iPod插入我的工作电脑充电时,我有多么惊讶,突然她的iTunes上有我的工作文件的副本。



完美的单一身份

  在我完美的世界中,如果我拥有一个具有不同“角色”的单一全球身份,例如“工作罗杰”和“家庭罗杰”,我可以应用于不同的用例场景,这将是很好的保持不同的内容和资源分开。它可能会在未来以这种方式运作,但我们还没有完全实现。


单点登录是否会带来更多风险?

  您可能想知道是否拥有单一的统一身份(或者甚至更少但更普遍的身份),意味着单一身份泄露会导致由于单一故障导致的更糟糕的后果。毕竟,是不是使用单一身份登录就像使用单个密码进行所有网站一样?我们是否已经完全循环以最终遇到同样的问题?


  是的,不是,如果做正确的话,大多数情况下都没有。


  如果您使用的全局身份机制在其源头(即身份提供者)受到损害,那么受损身份可能会在更多地方使用的风险更大。例如,如果一个坏人破坏了您的Facebook帐户登录名和密码,那么他更有可能访问您使用Facebook帐户凭据登录的任何地方。


  但这就是为什么Facebook,以及大多数其他流行的社交网站和身份验证提供商正在推动更强大的2FA和MFA解决方案,你应该使用它们。这样,即使黑客获得了您的密码,他也不会(至少不是立即,如果有的话)获得身份验证所需的第二个因素或物理设备。


  此外,大多数全局身份解决方案不在参与站点上使用单个身份验证令牌。相反,您的“全局令牌”用于创建从未在其他站点使用的单独的特定于站点和会话的身份验证令牌。这意味着如果攻击者闯入依赖于您的全局身份验证令牌的特定站点,则无法在其他地方使用它。这是双赢的。比共享密码好多了。


生物识别问题

  我确实担心生物识别技术的偶然使用以及有朝一日它们如何存储在每个人的全球身份帐户中。生物识别技术永远不会像它们声称的那样伟大。它们不如声称的那么准确,通常容易伪造,并且通常不起作用(只需在指纹上留下少许汗水或污垢并尝试使用指纹读取器)。


  但是假设您是一个重要的生物识别指纹风扇,并且您希望能够使用它们访问任何网站,那么您选择一个接受您的指纹的全局身份验证提供程序。这听起来是个好主意。但是,一旦我们开始在全球身份中存储指纹,那些危害身份提供者的攻击者将永远拥有您的指纹。他们可能会在接受您指纹的所有其他网站上“成为您”。


  到目前为止,有两件事使我们免于生物识别身份盗窃是一个普遍存在的问题(超出了生物识别技术在手机和笔记本电脑之外的许多地方都不被接受的事实)。首先,大多数生物识别技术都是在本地存储和使用的。这意味着黑客必须访问并破坏您的设备才能访问您的生物识别身份,即使他获得访问权限,生物识别技术也无法超越该受损设备。


  第二个相关问题是,一旦您使用生物识别身份登录,从那时起身份验证的情况是身份验证系统使用其他先前讨论过的身份验证方法之一。除指纹外,它还使用其他一些身份验证令牌。您的生物识别身份(通常)不会离开您的本地设备。如果人们开始过度依赖全球生物识别身份验证,情况就会发生变化。


结论

  我们永远不会比现在更接近于获得普遍的全球身份。我的建议:启用并要求在您的全球身份中使用2FA / MFA选项。这样,您可以获得所有好处,同时降低风险。




如果你对我们的服务感兴趣,可以给我们留言,我们会第一时间联系您。

扫描关注微信

Copyright © 2017 沐鸣网络科技有限公司 版权所有