我們從未像現在這樣接近無處不在的全域性身份(id)。在雙因子身份驗證(2fa)/多因子身份驗證(mfa)的加持下,好處盡在掌握而風險得到控制。
id,曾是計算機安全防禦方面唯一重要的安全邊界。只要可訪問多個域的1個登入憑證被盜,物理邊界、防火牆邊界、安全域、虛擬網路等等,全都不再重要了。
今天的id解決方案,可以1個憑證就訪問成百上千個不同的安全域,但同時又保持處於整體風險很低的狀態。這是怎麼做到的呢?
id技術早期
在計算機和網路技術早期,大多數人都只用1個登入名&口令對來訪問全部資源。由於1臺計算機被感染,就會導致共享該相同登入憑證的其他所有計算機也遭殃,這種1個憑證走天下的做法被證明是非常糟糕的策略。每個人都被建議為自己訪問的各個系統建立不同的口令。
id技術中期
隨著大多數人如今都需要用口令訪問幾十上百個不同資源,若要每個資源用單獨的口令,就會要求要麼把口令全都寫下來,要麼用口令管理器把所有口令儲存下來,在訪問時自動登入,要麼採用某種形式的單點登入(sso)解決方案。
sso解決方案在企業裡非常盛行,口令管理器則在家庭使用者中間非常普遍。但這兩種型別的解決方案無法在全部的安全域和平台中適用。一些廣泛應用的sso解決方案被建立出來,比如微軟的passport服務和去中心化的openid標準。儘管全球採用的承諾很誘人,所有中期sso解決方案沒有乙個真正成功了。
當今的id技術
新解決方案並非總能獲得全球認可。這個世界上,還有很多聰明專注的人,長期以來都在磨礪其他可能更棒的解決方案,這部分人感受到了深深的傷害。但都不重要了。要麼吸收,要麼落後。
最初的陣痛過去後,紛爭平息,強勢的新標準最終被認為是不錯的東西。結果就是,我們可供選擇的sso身份驗證標準更少,但更廣為接受。而且這些標準在企業和消費者兩種平台中都能應用。
說到今天的id解決方案,下列協議和解決方案簡直信手拈來,沒用過也聽過:facebook的 graph api、oauth、openidconnect、xauth、saml、restful和fido聯盟。數十年的嘗試過後,通用id的世界終於達成。很多**上,你可以用facebook、推特或喜歡的 oauth/xauth sso 來驗證身份。互操作問題依然存在,但這些障礙正飛速瓦解。
今天,你可以使用口令、手機、數字證書、生物識別特徵、2fa或mfa sso解決方案,來登入各種**。每個id都有不同的「屬性」或相關「宣告」,關聯至1個或多個受信裝置,有不同的保證級別,可用於不同的**。
當然,目前並非全部**都接受了sso,但我們距離這一將來並不太遠。不過,我們真的想要嗎?
完美單一id
如果能用1個全域性id暢行不同「身份」,比如「工作的你」、「家庭的你」……;能1個id應用到不同用例場景;能確保不同內容和資源各自隔離;那世界就完美了。或許未來能實現,但目前恐怕還沒走到這一步。
單點登入引入更多風險?
或許你會擔憂,1個統一的id(或者更少但更通行的id),會不會意味著一旦該id被盜,所有內容都**在黑客眼中,後果嚴重到不堪設想。畢竟,用單點登入,跟用同乙個口令登入所有註冊**,從哪方面看都太像了。難道我們繞這一大圈,只是為了走回原點?
只要做對了,多半是不會繞一圈又繞回老問題的。
如果你用的全域性id從源頭就被黑了(比如id提供商),被黑id有可能被用在更多地方,風險自然更大。舉個例子,壞人拿到了你的facebook登入名和口令,你所有用facebook賬戶憑證登入的地方他就都能訪問了。
但這也正是facebook,以及大多數其他流行社交站點和身份驗證提供商,主推更強壯的2fa和mfa解決方案,而你也應該使用2fa/mfa的原因所在。這樣一來,即便黑客獲取了你的口令,他也得不到(至少不會立即獲得),你身份驗證所需的第二個因子或物理裝置。
另外,大多數全域性id解決方案,並不會在所有參與站點上使用單一身份驗證令牌。相反,你的「全域性令牌」被用來建立特定於各站點/會話的身份驗證令牌,令牌間不存在交叉使用的情況。這意味著,即使你用全域性身份驗證令牌登入的某個站點被黑客攻破,該令牌也無法應用到其他站點上。這是雙贏解決方案,比共享口令好多了。
生物特徵識別的隱憂
其實不擔心生物特徵識別的隨意使用,或者無需擔心生物特徵不定哪天就被儲存到每個人的全域性id賬戶中。生物特徵識別技術從來都不像表現出來的那麼神奇。它們根本沒有號稱的那麼精確,很容易被偽造,還經常罷工(手上有汗或者稍微髒點兒的時候去按按指紋打卡機試試,你老闆會很樂意扣你全勤獎的)。
但假設你是個指紋識別忠實粉絲,你想用指紋訪問任意**,然後你挑了個能接受指紋的全域性身份驗證提供商。聽起來很棒的主意。但是,一旦我們開始在全域性id中儲存指紋,攻破了該id提供商的攻擊者就將獲得你的指紋——永久性的。他們有可能以你的名義,橫行在所有接受你指紋的其他**上。畢竟,你又不可能把自己的指紋改掉。
目前為止,有兩樣東西在阻止生物特徵id盜竊問題蔓延(除了生物特徵識別技術並未在手機和筆記本之外的很多用例中被接受的事實)。其一,大多數生物特徵都是本地儲存並使用的。這意味著黑客必須實地接觸到你的裝置,才能破解並拿到你的生物特徵id。而且,即便他拿到了,該生物特徵也用不到其他裝置上。
其二,一旦你使用生物特徵id登入,此後的身份驗證就是:驗證系統使用上述討論過的其他身份驗證方式之一。除了你的指紋,還用一些其他身份驗證令牌。你的生物特徵id一般是不離開你的本地裝置。而如果人們開始過度依賴全域性生物特徵識別身份驗證,這種情況就會發生變化了。
總結我們從未像現在這樣接近無處不在的全域性id。目前的最佳實踐是:對全域性id啟用2fa/mfa。這樣才能利益最大化而風險最小化。
什麼是身份管理
什麼是身份管理?最近總算是有了一點空餘時間來回顧一下我的工作。從2007年開始做身份管理,到現在,九年時間過去。是應該好好回顧一下。在這裡,想把我對身份管理工作的一些想法,寫出來,與大家分享一下。同時,大家有什麼意見,也可以一起討論。什麼是身份管理?這個問題,我最初工作的時候,就在問,當時,大家跟我...
走進身份管理
iam idaas 身份訪問管理 身份認證即服務 通常代表乙個服務或平台,該平台可通過使用者角色或許可權控制,識別個體身份,進而控制其對系統資源的訪問,守護個體和組織的資料。身份管理對於企業安全很重要,通過統一登入系統可顯著提高企業效率,主要從以下兩個層面 據乙份 2015 年市場調研資料,資料洩露...
17使用者身份管理
一.使用者身份概述 設計linux系統的初衷之一就是為了滿足多個使用者同事工作的需求,因此linux系統必須具備很好的安全性。1.使用者id uid 在rhel7系統中,使用者身份有如下這些 管理員uid為0 系統的管理員使用者。系統使用者uid為1 999 linux系統為了避免因某個服務程式出現...