定义的身份验证
身份验证是公司用来确认只有具有适当权限的适当人员、服务和应用才能获得组织资源的过程。它是网络安全的重要组成部分,因为恶意操作者的首要任务是获得对系统的未经授权访问。他们通过窃取具有访问权限的用户的用户名和密码来做到这一点。身份验证过程包括三个主要步骤:
- 识别:用户通常通过用户名确定他们的身份。
- 身份验证:通常,用户通过输入密码(只有用户知道的内容)来证明他们的身份,但为了加强安全性,许多组织还要求他们使用他们拥有的东西(电话或令牌设备)或他们具备的特征(指纹或面部扫描)来证明他们的身份。
- 授权:系统验证用户是否有权访问他们尝试访问的系统。
身份验证的工作原理
对于用户而言,身份验证涉及设置用户名、密码和其他身份验证方法,例如面部扫描、指纹或 PIN。为了保护身份,这些身份验证方法都不会保存到服务的数据库中。系统会对密码进行哈希处理(未加密),然后将哈希值保存到数据库中。当用户输入密码时,也会对输入的密码进行哈希处理,然后比较哈希值。如果两个哈希值一致,则授予访问权限。对于指纹和面部扫描,系统会对信息进行编码、加密并保存到设备上。
身份验证方法的类型
在新式身份验证中,身份验证过程委托给受信任的单独标识系统,这与每个系统验证自身标识的传统身份验证相反。使用的身份验证方法类型也发生了变化。大多数应用程序都需要用户名和密码,但随着恶意操作者在窃取密码方面变得越来越精明,安全社区开发了几种新方法来帮助保护身份。
基于密码的身份验证
基于密码的身份验证是最常见的身份验证形式。许多应用和服务都要求用户创建使用数字、字母和符号组合的密码,以降低恶意操作者猜到它们的风险。然而,密码也带来了安全性和可用性挑战。人们很难为每个线上帐户想出并记住唯一的密码,这就是为什么他们经常重复使用密码的原因。攻击者使用许多手段来猜测或窃取密码,或诱骗人们非自愿地共享密码。出于这个原因,组织正在从密码转向其他更安全的身份验证形式。
基于证书的身份验证
基于证书的身份验证是一种加密方法,使设备和人员能够向其他设备和系统证明自己的身份。两个常见示例是智能卡或员工设备向网络或服务器发送数字证书。
生物特征身份验证
在生物特征身份验证中,人们使用生物特征验证他们的身份。例如,许多人使用手指或拇指登录手机,某些计算机扫描一个人的面部或视网膜以验证其身份。生物特征数据也链接到特定设备,攻击者如果不访问设备,就无法使用它们。这种类型的身份验证越来越受欢迎,因为它对人们来说很容易(他们不必记住任何内容),而且恶意操作者很难窃取,因此比密码更安全。
基于令牌的身份验证
在基于令牌的身份验证中,设备和系统每 30 秒生成一个新的唯一编号,称为基于时间的一次性 PIN (TOTP)。如果编号一致,则系统证实用户拥有设备。
一次性密码
一次性密码 (OTP) 是为特定登录事件生成的代码,在发出后不久过期。它们通过短信、电子邮件或硬件令牌传递。
推送通知
一些应用和服务使用推送通知来对用户进行身份验证。在这些情况下,人们会在手机上收到一条消息,要求他们批准或拒绝访问请求。由于有时人们会意外批准推送通知(即使他们尝试登录到发送通知的服务),因此,此方法有时与 OTP 方法结合使用。使用 OTP,系统会生成用户必须输入的唯一编号。这使得身份验证能够更好地抵御网络钓鱼。
语音身份验证
在语音身份验证中,尝试访问服务的人员会收到一个电话,要求他们输入代码或口头证明自己的身份。
多重身份验证
减少帐户泄露的其中一种最佳方法是要求两种或多种身份验证方法(可能包括前面列出的任何方法)。有效的最佳做法是要求满足以下任意两项要求:
- 用户知道的内容,通常是密码。
- 他们拥有的东西,例如手机或硬件令牌等不易复制的受信任设备。
- 用户具备的特征,如指纹或面部扫描。
例如,许多组织要求输入密码(用户知道的内容),并在允许访问之前通过短信向受信任的设备(用户拥有的设备)发送 OTP。
双重身份验证
尽管身份验证(有时称为 AuthN)和授权(有时称为 AuthZ)通常可以互换使用,但它们是两个相关但独立的概念。身份验证确认登录的用户是他们所声称的用户,而授权确认他们具有访问所需信息的适当权限。例如,人力资源部门的某个人可能有权访问其他人看不到的敏感系统(如工资单或员工文件)。身份验证和授权对于提高工作效率和保护敏感数据、知识产权和隐私都至关重要。
身份验证安全性的最佳做法
由于帐户泄露是攻击者未经授权访问公司资源的常见方式,因此建立强大的身份验证安全性非常重要。你可以采取以下措施来保护你的组织:
实施多重身份验证
为了降低帐户泄露的风险,你可以做的最重要的事情是启用多重身份验证,并至少要求两个身份验证因素。攻击者窃取多种身份验证方法要困难得多,特别是如果其中一种是生物特征或用户拥有的设备等。为了帮助员工、客户和合作伙伴尽可能简化此过程,请让他们选择几个不同的因素。但请务必注意,并非所有身份验证方法都是相同的。有些比其他更安全。例如,虽然收到短信总比没有好,但推送通知更安全。
采用无密码模式
设置多重身份验证后,你甚至可以选择限制密码的使用,并鼓励人们使用两种或多种其他身份验证方法,例如 PIN 和生物特征。减少密码的使用和采用无密码模式将简化登录过程并降低帐户泄露的风险。
应用密码保护
除了员工宣教之外,你还可以使用一些工具来减少易猜密码的使用。 密码保护解决方案使你能够禁止常用的密码,如 Password1。你可以创建特定于你的公司或区域的自定义列表,例如当地运动队或地标的名称。
启用基于风险的多重身份验证
一些身份验证事件是泄露的指标,例如当员工尝试从新设备或陌生位置访问你的网络时。其他登录事件可能不是非典型的,但风险较高,例如当人力资源专业人员需要访问员工个人身份信息时。为了降低风险,请将身份和访问管理 (IAM) 解决方案配置为在检测到这些类型的事件时至少需要两个身份验证因素。
优先考虑可用性
有效的安全性需要员工和其他利益相关者的支持。安全策略有时可以阻止人们从事有风险的线上活动,但如果策略过于繁琐,人们会寻找规避方法。最好的解决方案适应现实的人类行为。部署自助密码重置等功能,使人们在忘记密码时无需呼叫支持人员。这也可能鼓励他们选择一个强密码,因为他们知道如果以后忘记密码很容易进行重置。让人们选择他们喜欢的授权方法是使他们更容易登录的另一种好方法。
部署单一登录
增强可用性和提高安全性的一项重要功能是单一登录 (SSO)。没有人喜欢每次切换应用时都被要求输入密码,这可能导致人们为了节省时间而在多个帐户中使用同一密码。使用单一登录,员工只需登录一次即可访问工作所需的大部分或全部应用。这减少了摩擦,并使你能够将通用或条件安全策略(如多重身份验证)应用于员工使用的所有软件。
假定泄露并进行定期审核
在许多组织中,人们的角色和雇佣状况会定期变化。员工离开公司或更换部门。合作伙伴推出和关闭项目。当访问规则跟不上时,这可能成为问题。请务必确保人们不会保留对工作不再需要的系统和文件的访问权限。为了降低攻击者获取敏感信息的风险,请使用身份治理解决方案来帮助你一致地审核帐户和角色。这些工具还可以帮助你确保人员只能访问他们需要的内容,并且已离开组织的人员的帐户不再处于活动状态。
保护标识免受威胁
身份和访问管理解决方案提供了许多工具来帮助你降低帐户泄露的风险,但是,预测违规仍然是明智的。即使是受过良好教育的员工有时也会陷入网络钓鱼诈骗。为了及早发现帐户泄露,请投资身份威胁防护解决方案并实施策略,以帮助你发现和响应可疑活动。许多新式解决方案(如 智能 Microsoft Security Copilot 副驾驶®)都使用 AI,不仅可以检测威胁,还可以自动响应威胁。
云身份验证解决方案
身份验证对于强大的网络安全计划和提高员工工作效率都至关重要。基于云的全面身份和访问管理解决方案(如 Microsoft Entra)为你提供了多种工具来帮助人们轻松获得完成工作所需的内容,同时应用强大的控制来降低攻击者入侵帐户和访问敏感数据的风险。
常见问题解答
-
身份验证有许多不同的类型。以下是几个示例:
- 许多人使用面部识别或指纹登录手机。
- 银行和其他服务通常要求人们使用密码和通过短信自动发送的代码登录。
- 有些帐户只需要用户名和密码,尽管许多组织正在转向多重身份验证以提高安全性。
- 员工经常登录到其计算机并同时访问多个不同的应用,这称为单一登录。
- 还有一些帐户允许用户使用 Facebook 或 Google 帐户登录。在这种情况下,Facebook、Google 或 Microsoft 负责对用户进行身份验证,并将授权传递给用户想要访问的服务。
-
云身份验证是一种服务,用于确认只有具有适当权限的适当人员和应用才能访问云网络和资源。许多云应用具有基于云的内置身份验证,但也有更广泛的解决方案,例如 Microsoft Entra ID,旨在处理跨多个云应用和服务的身份验证。这些解决方案通常使用 SAML 协议,使一个身份验证服务能够跨多个帐户工作。
-
尽管身份验证和授权通常可以互换使用,但它们是两个相关但独立的概念。身份验证确认登录的用户是他们所声称的用户,而授权确认他们具有访问所需信息的适当权限。身份验证和授权结合使用有助于降低攻击者访问敏感数据的风险。
-
身份验证用于在为人员和实体提供对数字资源和网络的访问权限之前验证他们的身份。尽管主要目标是安全性,但新式身份验证解决方案也旨在提高可用性。例如,许多组织实施单一登录解决方案,使员工能够轻松找到完成工作所需的内容。消费者服务通常允许人们使用其 Facebook、Google 或 Microsoft 帐户登录,以加快身份验证过程。
关注 Microsoft 安全