MFA不可承受之重

身份認(rèn)證被認(rèn)為是網(wǎng)絡(luò)安全的第一道防線(xiàn)，確保只有授權(quán)的用戶(hù)能夠訪(fǎng)問(wèn)敏感數(shù)據(jù)和資源，從而防止未經(jīng)授權(quán)的訪(fǎng)問(wèn)和數(shù)據(jù)泄露。

近年來(lái)，網(wǎng)絡(luò)攻擊日益復(fù)雜和頻繁，傳統(tǒng)的身份認(rèn)證方法如密碼已難以提供足夠的保護(hù)。Verizon的一項(xiàng)研究發(fā)現(xiàn)，80%的數(shù)據(jù)泄露事件涉及弱密碼或被盜憑證，凸顯了強(qiáng)化身份認(rèn)證的重要性。為應(yīng)對(duì)這一挑戰(zhàn)，多因素認(rèn)證開(kāi)始廣泛應(yīng)用于企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施。美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)將MFA列為基本網(wǎng)絡(luò)安全防護(hù)措施之一。

多因素認(rèn)證通過(guò)結(jié)合兩種或多種獨(dú)立憑證來(lái)驗(yàn)證用戶(hù)身份，為身份認(rèn)證提供額外的安全層，旨在防止未經(jīng)授權(quán)的訪(fǎng)問(wèn)。微軟2020年的數(shù)據(jù)顯示，啟用MFA可以阻止99.9%的賬戶(hù)入侵嘗試。缺乏MFA保護(hù)已經(jīng)成為很多網(wǎng)絡(luò)攻擊的目標(biāo)。

然而，MFA并非萬(wàn)無(wú)一失。攻擊者一直在尋找新的方法來(lái)破壞MFA。英國(guó)國(guó)家網(wǎng)絡(luò)安全中心（NCSC）指出，社會(huì)工程技術(shù)已被用于用來(lái)破壞MFA，并觀(guān)察到針對(duì)啟用MFA賬戶(hù)的攻擊在過(guò)去幾年中呈上升趨勢(shì)。

Uber在2022年遭遇了一起針對(duì)MFA的嚴(yán)重網(wǎng)絡(luò)安全事件。攻擊者通過(guò)向員工發(fā)送虛假的MFA通知，結(jié)合社會(huì)工程學(xué)手段，誘騙其點(diǎn)擊惡意鏈接并輸入憑證，最終獲得了內(nèi)部系統(tǒng)的訪(fǎng)問(wèn)權(quán)限。可見(jiàn)，即使啟用了MFA，員工的安全意識(shí)薄弱也可能導(dǎo)致身份認(rèn)證被破壞。

除了社會(huì)工程攻擊外，MFA還面臨其他局限性。傳統(tǒng)的基于短信的MFA容易受到SIM卡交換攻擊和SS7漏洞的影響。推送通知也可能被用戶(hù)誤認(rèn)為是垃圾信息而忽略。此外，MFA的實(shí)施與管理可能帶來(lái)額外的復(fù)雜性和成本，特別是對(duì)于擁有眾多用戶(hù)和遺留系統(tǒng)的大型企業(yè)而言。

正如NCSC所建議的那樣，企業(yè)需要重新審視其MFA策略；不能將MFA視為一勞永逸的解決方案，而應(yīng)根據(jù)組織的特點(diǎn)和風(fēng)險(xiǎn)狀況，選擇合適的身份認(rèn)證方式。

總而言之，隨著網(wǎng)絡(luò)威脅的不斷演進(jìn)，MFA 等傳統(tǒng)身份認(rèn)證方法已經(jīng)難以應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)威脅，企業(yè)需要采用更先進(jìn)、多層次的認(rèn)證手段。

影響下一代身份認(rèn)證的四項(xiàng)技術(shù)

在這種背景下，下一代身份認(rèn)證技術(shù)正應(yīng)運(yùn)而生，其中人工智能、生物識(shí)別、區(qū)塊鏈和后量子密碼學(xué)等前沿技術(shù)備受關(guān)注。

人工智能在身份認(rèn)證領(lǐng)域大有可為

機(jī)器學(xué)習(xí)算法可以通過(guò)分析海量數(shù)據(jù)，識(shí)別用戶(hù)行為模式中的異常，實(shí)現(xiàn)實(shí)時(shí)威脅檢測(cè)。例如，如果一個(gè)用戶(hù)突然從一個(gè)陌生的地理位置登錄，或者嘗試訪(fǎng)問(wèn)平時(shí)不常訪(fǎng)問(wèn)的敏感資源，AI系統(tǒng)就可以標(biāo)記這種行為并觸發(fā)額外的驗(yàn)證步驟。此外，AI還可以根據(jù)用戶(hù)的風(fēng)險(xiǎn)狀況，動(dòng)態(tài)調(diào)整認(rèn)證要求，實(shí)現(xiàn)自適應(yīng)認(rèn)證。這種方法可以在提高安全性的同時(shí)，最大限度地減少對(duì)用戶(hù)體驗(yàn)的影響。

生物識(shí)別技術(shù)的進(jìn)步為身份認(rèn)證帶來(lái)了新的可能性

傳統(tǒng)的生物識(shí)別方法如指紋、面部識(shí)別等已得到廣泛應(yīng)用，但多模態(tài)生物識(shí)別和行為生物識(shí)別有望進(jìn)一步提高認(rèn)證的準(zhǔn)確性和安全性。多模態(tài)生物識(shí)別通過(guò)結(jié)合多種生物特征(如虹膜和指紋)來(lái)驗(yàn)證身份，大大降低了偽造的風(fēng)險(xiǎn)。行為生物識(shí)別則通過(guò)分析用戶(hù)的行為模式(如擊鍵節(jié)奏、鼠標(biāo)移動(dòng)軌跡等)來(lái)持續(xù)驗(yàn)證用戶(hù)身份，即使攻擊者竊取了用戶(hù)的靜態(tài)憑證，也難以復(fù)制其獨(dú)特的行為特征。

區(qū)塊鏈技術(shù)為身份管理提供了一種去中心化的解決方案

基于區(qū)塊鏈的身份認(rèn)證系統(tǒng)允許用戶(hù)對(duì)自己的身份信息進(jìn)行掌控，選擇性地與第三方共享必要的信息，而無(wú)需依賴(lài)中心化的身份提供商。這種自主身份(Self-Sovereign Identity， SSI)模型不僅增強(qiáng)了隱私保護(hù)，也使身份認(rèn)證過(guò)程更加透明和安全。智能合約作為區(qū)塊鏈的重要特性，可以自動(dòng)化訪(fǎng)問(wèn)控制流程，消除人為錯(cuò)誤，提高合規(guī)性。

后量子密碼學(xué)為未來(lái)的身份認(rèn)證提供了安全保障

隨著量子計(jì)算的發(fā)展，傳統(tǒng)加密算法面臨被破解的風(fēng)險(xiǎn)。而后量子密碼學(xué)致力于開(kāi)發(fā)能夠抵御量子計(jì)算攻擊的密碼算法，如格基密碼和哈希簽名等。量子密鑰分發(fā)(QKD)利用量子力學(xué)原理在通信雙方之間建立共享的隨機(jī)密鑰，理論上可以實(shí)現(xiàn)無(wú)條件安全的通信。量子安全直接通信(QSDC)更進(jìn)一步，無(wú)需共享密鑰即可直接傳輸安全消息。這些技術(shù)的進(jìn)步有望徹底改變身份認(rèn)證的安全格局。

VCN有望重塑數(shù)字身份管理的格局

未來(lái)，身份認(rèn)證技術(shù)將朝著更加智能、無(wú)縫、安全的方向發(fā)展。

零信任安全模型的興起預(yù)示著身份認(rèn)證的重要性將進(jìn)一步提升。與傳統(tǒng)的基于邊界的安全模型不同，零信任要求對(duì)每個(gè)用戶(hù)和設(shè)備進(jìn)行持續(xù)的身份驗(yàn)證和授權(quán)，確保只有受信任的實(shí)體才能訪(fǎng)問(wèn)網(wǎng)絡(luò)資源。在零信任架構(gòu)下，身份認(rèn)證不再是一次性的行為，而是貫穿整個(gè)訪(fǎng)問(wèn)生命周期的動(dòng)態(tài)過(guò)程。

同時(shí)，身份認(rèn)證也將變得更加無(wú)縫和透明。隨著人工智能和生物識(shí)別技術(shù)的進(jìn)步，未來(lái)的身份認(rèn)證將能夠在不影響用戶(hù)體驗(yàn)的情況下提供更高的安全性。連續(xù)身份認(rèn)證和隱形認(rèn)證等新興技術(shù)可以持續(xù)監(jiān)測(cè)用戶(hù)行為和環(huán)境因素，實(shí)現(xiàn)實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估和動(dòng)態(tài)訪(fǎng)問(wèn)控制。用戶(hù)無(wú)需頻繁輸入密碼或進(jìn)行顯式認(rèn)證，系統(tǒng)會(huì)根據(jù)用戶(hù)的行為模式和上下文信息自動(dòng)判斷其身份的可信度。

此外，身份認(rèn)證的互操作性和標(biāo)準(zhǔn)化也將成為重要趨勢(shì)。隨著企業(yè)IT環(huán)境日益復(fù)雜，不同的身份認(rèn)證系統(tǒng)需要實(shí)現(xiàn)無(wú)縫集成和互通，一方面可以最大限度地降低與跨各種平臺(tái)存儲(chǔ)多個(gè)憑證相關(guān)的風(fēng)險(xiǎn)，另一方面還可以減少數(shù)據(jù)泄露和身份盜用的漏洞。身份聯(lián)盟和聯(lián)合身份管理可以允許用戶(hù)使用一個(gè)身份憑證訪(fǎng)問(wèn)多個(gè)應(yīng)用程序和服務(wù)，簡(jiǎn)化身份管理流程?？缬蛏矸菡J(rèn)證和單點(diǎn)登錄技術(shù)則可以實(shí)現(xiàn)跨組織、跨平臺(tái)的身份共享與協(xié)作。

然而，構(gòu)建未來(lái)的身份認(rèn)證生態(tài)也面臨諸多挑戰(zhàn)。隱私保護(hù)和數(shù)據(jù)安全始終是備受關(guān)注的問(wèn)題。用戶(hù)的生物識(shí)別數(shù)據(jù)和行為信息屬于高度敏感的個(gè)人數(shù)據(jù)，一旦泄露或?yàn)E用，后果不堪設(shè)想。因此，在采用新的身份認(rèn)證技術(shù)時(shí)，必須嚴(yán)格遵守隱私法規(guī)，并采取強(qiáng)有力的數(shù)據(jù)保護(hù)措施。

值得一提的是，可驗(yàn)證憑證網(wǎng)絡(luò) （Verifiable Credentials Networks，VCN）可能會(huì)在這種背景下興起。VCN是一種去中心化的系統(tǒng)，通過(guò)提供去中心化的憑證發(fā)行、存儲(chǔ)和驗(yàn)證框架，增強(qiáng)用戶(hù)控制、隱私和安全性，同時(shí)降低欺詐風(fēng)險(xiǎn)。其中，可驗(yàn)證憑證（VC）是一種標(biāo)準(zhǔn)化的方式，用于數(shù)字化表示和共享身份信息，旨在安全、防篡改并易于驗(yàn)證·。VC 使用加密方法確保其中包含的信息可以被信任，并且第三方無(wú)需直接聯(lián)系發(fā)行者即可進(jìn)行驗(yàn)證。VCN代表了一種變革性的數(shù)字身份管理方法，使個(gè)人能夠安全、私密地控制和分享自己的個(gè)人信息。這種方法符合日益增長(zhǎng)的隱私問(wèn)題和法規(guī)要求。

有觀(guān)點(diǎn)認(rèn)為，VCN有望重塑數(shù)字身份管理的格局，使其更加高效、安全和以用戶(hù)為中心。當(dāng)前，Badge 和 Cisco Duo 等合作伙伴專(zhuān)注于通過(guò)可驗(yàn)證憑證實(shí)現(xiàn)無(wú)密碼注冊(cè)，讓用戶(hù)能夠通過(guò)生物識(shí)別進(jìn)行身份驗(yàn)證，無(wú)需傳統(tǒng)的 MFA 方法，如令牌或重復(fù)的身份驗(yàn)證。

與此同時(shí)，多因素認(rèn)證（MFA）與可驗(yàn)證憑證（VC）網(wǎng)絡(luò)的融合正在成為增強(qiáng)數(shù)字安全的重要趨勢(shì)。這種融合利用了兩種技術(shù)的優(yōu)勢(shì)，提供強(qiáng)大的身份驗(yàn)證和訪(fǎng)問(wèn)控制機(jī)制，不但能夠顯著降低未授權(quán)訪(fǎng)問(wèn)的風(fēng)險(xiǎn)，比如說(shuō)，用戶(hù)可能需要提供一個(gè) VC并完成一 MFA 驗(yàn)證才能訪(fǎng)問(wèn)敏感信息或服務(wù)；還能簡(jiǎn)化用戶(hù)體驗(yàn)：一旦用戶(hù)的身份通過(guò) VC 驗(yàn)證，他們可選擇干擾較小的MFA方法進(jìn)行身份驗(yàn)證，如生物識(shí)別驗(yàn)證或推送通知。

在網(wǎng)絡(luò)威脅不斷演變的背景下，企業(yè)需要與時(shí)俱進(jìn)，積極擁抱創(chuàng)新技術(shù)，構(gòu)建多層次、動(dòng)態(tài)適應(yīng)的身份認(rèn)證體系。同時(shí)，身份認(rèn)證的未來(lái)也離不開(kāi)各方的通力合作。產(chǎn)業(yè)界、學(xué)術(shù)界、政府等不同主體應(yīng)通力合作，攜手推動(dòng)身份認(rèn)證相關(guān)標(biāo)準(zhǔn)和規(guī)范的建立,加強(qiáng)跨域互信與協(xié)作。