IAM的六种主流身份验证方法

身份验证是数据安全、网络安全和应用安全的第一步。而身份和访问管理（IAM）的目标是确保正确的人能够以正确方式访问正确的资源，未经授权的用户则会被拒之门外。

在选择身份验证类型时，企业需要兼顾用户体验和安全性。某些用户身份验证类型的安全性低于其他类型，但更高强度的身份验证可能会产生过多摩擦，导致员工实践不佳，并最终导致身份验证计划流产。

以下介绍和点评六种主流IAM身份验证方法，希望能帮助您选择最适合需求的身份验证协议。

6种主流IAM身份验证方法

身份验证方法包括用户知道的东西、用户拥有的东西和用户具有的东西。然而，并非每种身份验证类型都是为了保护网络而创建的。这些身份验证方法的范围从提供基本保护到更强的安全性。建议使用不止一种方法——多因素身份验证(MFA)。

01、基于密码的认证

也称为基于知识的身份验证，基于密码的身份验证依赖于用户名和密码或PIN。密码是最常见的身份验证方法，任何登录过计算机的人都知道如何使用密码。

基于密码的身份验证是攻击者最容易滥用的身份验证类型。人们经常重复使用密码并使用字典单词和公开的个人信息创建可猜测的密码。此外，员工需要为他们使用的每个应用程序和设备设置密码，这使他们难以记住，并导致员工尽可能简化密码（弱密码）。这使得帐户更容易受到网络钓鱼和暴力攻击。

公司应制定限制密码重复使用的密码策略。密码策略还可以要求用户定期更改密码并要求密码保持一定的复杂度。

02、双因素/多因素身份验证

双重身份验证(2FA)要求用户提供除密码之外的至少一个附加身份验证因素。MFA需要两个或多个因素。其他因素可以是本文提及的其他身份验证类型或通过文本或电子邮件发送给用户的一次性密码。“多因素”的涵义还包括带外身份验证，其中涉及第二个因素与原始设备位于不同的通道上，以减轻中间人攻击。这种身份验证类型增强了帐户的安全性，因为攻击者需要的不仅仅是访问凭据。

2FA的强度取决于次要因素。使用需要用户的生物识别信息或推送通知，可提供更强大的2FA。但是，在部署2FA或MFA时要小心，因为它会降低用户体验，制造摩擦。

03、生物特征认证

生物识别技术使用用户自身生物特征进行验证，较少依赖容易被盗的秘密（例如密码口令）来验证用户是否确实拥有帐户。生物识别身份也是唯一的，这使得破解帐户变得更加困难。

常见的生物识别类型包括：

• 指纹扫描根据用户的指纹验证身份验证；
• 面部识别使用人的面部特征进行验证；
• 虹膜识别使用红外线扫描用户的眼睛，将模式与保存的配置文件进行比较；
• 行为生物识别技术使用一个人走路、打字或处理设备的方式。

很多用户已经非常熟悉生物识别技术，因此该身份验证方法更容易在企业环境中部署。许多消费类设备都具有生物特征验证功能，包括Windows Hello、Apple的Face ID和Touch ID。生物特征身份验证体验通常更流畅、更快捷，因为它不需要用户回忆密码或密码。攻击者也更难进行欺骗。

技术问题仍然是生物识别技术的最大缺点。并非所有设备都以相同的方式处理生物特征。较旧的设备可能只使用被图片欺骗的已保存静态图像。较新的软件（例如Windows Hello）可能需要设备配备具有近红外成像功能的摄像头。这可能需要比其他身份验证类型更高的前期成本。用户还必须乐于与公司分享他们的生物特征数据，但没有公司能够保证不被黑客入侵。

04、单点登录

单点登录(SSO)使员工能够使用一组凭据访问多个应用程序或网站。用户拥有身份提供者(IdP)的帐户，该身份提供者是应用程序（服务提供者）的可信来源。服务提供商不保存密码。IdP通过用户通过它验证的cookie或令牌告诉站点或应用程序。

SSO减少了用户需要记住的凭据数量，从而增强了安全性。用户体验也得到了改进，因为只要他们（近期）通过了IdP的身份验证，就不必在每次访问每个帐户时都登录。SSO还有助于大大减少与密码问题有关的技术支持时间。

SSO的潜在问题是，一旦IdP遭受数据泄露，攻击者可以使用一组凭据访问多个帐户。SSO还需要IT部门在初始阶段投入大量时间来设置和连接其各种应用程序和网站。

05、基于令牌的认证

令牌身份验证使用户能够使用物理设备（例如智能手机、安全密钥或智能卡）登录帐户。它可以用作MFA的一部分或提供无密码体验。使用基于令牌的身份验证，用户在预定的时间段内验证一次凭据，以减少持续登录。

令牌使攻击者难以访问用户帐户。攻击者需要物理访问令牌和用户凭据才能渗透帐户。

必须信任员工，让他们保管自己的令牌，因为如果忘记或丢失令牌，用户将被锁定，无法访问账户。

06、基于证书的认证

证书身份验证使用证书颁发机构颁发的数字证书和公钥加密来验证用户身份。证书存储身份信息和公钥，而用户拥有虚拟存储的私钥。

基于证书的身份验证使用SSO。IT可以部署、管理和撤销证书。这种身份验证类型适用于雇用临时需要网络访问的承包商的公司。

基于证书的身份验证部署起来既昂贵又耗时。IT还必须创建一个重新注册流程，以防用户无法访问他们的密钥——例如，被盗或设备损坏。

流行的身份验证方法协议

身份验证过程涉及在远程客户端和服务器之间安全地发送通信数据。流行的身份验证协议包括以下内容：

• 轻量级目录访问协议(LDAP)用于身份验证，以使用目录服务验证凭据。使用LDAP时，客户端请求存储在数据库中的用户数据，并在凭据匹配时提供访问权限。
• 如果服务器无法处理更强的协议，则使用密码验证协议(PAP)。PAP以明文形式发送用户名和密码，因此很容易成为窥探目标。
• 质询握手身份验证协议(CHAP)提供比PAP更好的保护。CHAP使用质询/响应机制进行身份验证，而不是传输秘密，从而减少重放攻击的机会。
• 可扩展身份验证协议(EAP)用于无线连接，作为加密网络的点对点协议的一部分。EAP提供了一个支持和扩展多种身份验证方法的框架。
• Kerberos用于在包括Windows、macOS和Linux在内的操作系统中通过不安全的网络（例如Internet）进行身份验证。Kerberos与受信任的第三方合作以提供访问证书。
• OpenID是用于身份验证和SSO的开源协议，用作OAuth 2.0授权框架的身份层。用户无需直接登录到各个网站，而是被重定向到OpenID站点进行登录。
• 安全断言标记语言(SAML)是一种开源协议和SSO标准。SAML在IdP和服务提供商之间通过签名的XML文档传递信息。
• FIDO2是多家科技巨头联合推动的一种安全标准，使用Web身份验证API和客户端到身份验证器协议，通过来自本地设备（例如令牌或智能手机）的公钥加密对用户进行身份验证。
• SSL/TLS使用公钥加密和数字证书在用户和服务器之间进行身份验证。