身份验证协议包括哪些内容
身份验证是数据安全、网络安全和应用安全的第一步。身份验证协议内容如下:
基于密码的认证:也称为基于知识的身份验证,基于密码的身份验证依赖于用户名和密码或PIN。密码是最常见的身份验证方法,任何登录过计算机的人都知道如何使用密码。基于密码的身份验证是攻击者最容易滥用的身份验证类型。人们经常重复使用密码并使用字典单词和公开的个人信息创建可猜测的密码。此外,员工需要为他们使用的每个应用程序和设备设置密码,这使他们难以记住,并导致员工尽可能简化密码(弱密码)。这使得帐户更容易受到网络钓鱼和暴力攻击。公司应制定限制密码重复使用的密码策略。密码策略还可以要求用户定期更改密码并要求密码保持一定的复杂度。
双因素/多因素身份验证:双重身份验证(2FA)要求用户提供除密码之外的至少一个附加身份验证因素。MFA需要两个或多个因素。其他因素可以是本文提及的其他身份验证类型或通过文本或电子邮件发送给用户的一次性密码。“多因素”的涵义还包括带外身份验证,其中涉及第二个因素与原始设备位于不同的通道上,以减轻中间人攻击。这种身份验证类型增强了帐户的安全性,因为攻击者需要的不仅仅是访问凭据。2FA的强度取决于次要因素。使用需要用户的生物识别信息或推送通知,可提供更强大的2FA。但是,在部署2FA或MFA时要小心,因为它会降低用户体验,制造摩擦。
生物特征认证:生物识别技术使用用户自身生物特征进行验证,较少依赖容易被盗的秘密(例如密码口令)来验证用户是否确实拥有帐户。生物识别身份也是唯一的,这使得破解帐户变得更加困难。很多用户已经非常熟悉生物识别技术,因此该身份验证方法更容易在企业环境中部署。技术问题仍然是生物识别技术的最大缺点。并非所有设备都以相同的方式处理生物特征。较旧的设备可能只使用被图片欺骗的已保存静态图像。较新的软件(例如Windows Hello)可能需要设备配备具有近红外成像功能的摄像头。这可能需要比其他身份验证类型更高的前期成本。用户还必须乐于与公司分享他们的生物特征数据,但没有公司能够保证不被黑客入侵。
单点登录:单点登录(SSO)使员工能够使用一组凭据访问多个应用程序或网站。用户拥有身份提供者(IdP)的帐户,该身份提供者是应用程序(服务提供者)的可信来源。服务提供商不保存密码。IdP通过用户通过它验证的cookie或令牌告诉站点或应用程序。SSO减少了用户需要记住的凭据数量,从而增强了安全性。用户体验也得到了改进,因为只要他们(近期)通过了IdP的身份验证,就不必在每次访问每个帐户时都登录。SSO还有助于大大减少与密码问题有关的技术支持时间。SSO的潜在问题是,一旦IdP遭受数据泄露,攻击者可以使用一组凭据访问多个帐户。SSO还需要IT部门在初始阶段投入大量时间来设置和连接其各种应用程序和网站。
基于令牌的认证:令牌身份验证使用户能够使用物理设备(例如智能手机、安全密钥或智能卡)登录帐户。它可以用作MFA的一部分或提供无密码体验。使用基于令牌的身份验证,用户在预定的时间段内验证一次凭据,以减少持续登录。令牌使攻击者难以访问用户帐户。攻击者需要物理访问令牌和用户凭据才能渗透帐户。必须信任员工,让他们保管自己的令牌,因为如果忘记或丢失令牌,用户将被锁定,无法访问账户。
基于证书的认证:证书身份验证使用证书颁发机构颁发的数字证书和公钥加密来验证用户身份。证书存储身份信息和公钥,而用户拥有虚拟存储的私钥。基于证书的身份验证使用SSO。IT可以部署、管理和撤销证书。这种身份验证类型适用于雇用临时需要网络访问的承包商的公司。基于证书的身份验证部署起来既昂贵又耗时。IT还必须创建一个重新注册流程,以防用户无法访问他们的密钥——例如,被盗或设备损坏。