解决身份认证难题的三个部分

远程确认一个人的身份的固有挑战并不新鲜。从写信的那一天起，企业就一直在努力寻找万无一失的方法，以确保与他们合作的人确实是他们声称的那个人。

曾几何时，签名、公证和电话都可以用来验证身份以防止欺诈。对于最重要的交易，这个过程是由个人管理的。技术改变了这一切。

今天，美国26%的业务是在线交易，超过2800万人远程工作。这使得身份和访问管理(IAM ),尤其是强身份认证，对于任何组织的运营都至关重要。

确保正确的人在正确的时间访问正确的数据可以建立公司安全感所需的信心。

当组织无法辨别谁在访问他们的网络、数据或系统时，他们就将自己暴露在欺诈、数据泄露以及勒索软件、网络钓鱼和帐户接管等攻击的面前。

企业如何才能真正知道屏幕背后是谁？

第一部分：增加安全层 

多因素身份认证(MFA)已成为大多数希望保护其数据和应用程序免受网络攻击的组织的标准做法。

通过要求不止一种身份认证方法，MFA防止了大约90%的违规行为。在实施强大的MFA策略时，将所有正确的层都部署到位非常重要。

身份验证方法分为三大类：您知道的、您拥有的和您是谁。

密码是您所知道的东西的主要例子，是用户与组织共享的用来证明其身份的秘密。但是密码很脆弱。下一层认证需要更加严格，不能轻易被黑客或网络钓鱼攻击。你有的东西是另一种方法。

这些方法需要有一个特定的设备，如智能手机，来验证用户。

大多数用户都熟悉一次性密码(OTP)。这些代码被直接发送到用户的设备上，以证明设备的所有者就是被认证的人。

您拥有的一些东西为基于密码的系统添加了一种更安全的身份验证方法，但最终确认的是设备的存在，而不是个人的身份。

这让我们知道了你的身份。像手掌扫描或指纹这样的生物特征使用某种东西进行身份验证，这种东西不会被网络钓鱼、窃取或移交。

当用作集中式架构和注册时，如在身份绑定生物识别(IBB)中，组织可以将文件上的模板直接与个人完全独特的内容配对。

这种对“你是什么样的人”的可见性为公司提供了一条关键信息：他们无疑知道哪个人在什么时候执行什么动作。

第二部分：环境为王 

拼凑健壮的身份验证策略的下一步是超越传统的MFA，进入身份验证尝试的上下文。

Adaptive authentication是一种基于风险的验证用户身份的方法。例如，如果用户在工作时间通过自己的设备在自己的家庭网络上进行身份验证，那么这很可能是员工访问公司网络的合法尝试。

然而，如果在地球另一端的午夜，在一个未知的设备上使用相同的登录方法，情况就不一样了。

在评估风险时，有一系列的指标需要衡量。地理定位允许组织按位置过滤身份认证，设备数据可以防止未知设备获得访问权限。

可用的最先进的方法之一是行为生物识别。这些跟踪行为，如击键动力学、鼠标使用特征和屏幕压力，可以检测被认证的人是否像他们自己一样，而不是像指纹一样。

通过在评估身份验证尝试时采用所有这些独特的因素，当异常情况发生时就变得非常清楚，并且可以促使采用更严格的方法来验证尝试的合法性。

这也消除了作为唯一降低风险层的身份认证方法类型所承受的压力。

第三部分：连续认证 

这个难题的最后一部分是用户首次登录后进行身份验证的频率。

使用上下文相关的方法，组织可以持续观察任何异常行为，从而在用户首次登录后重新检查其身份。

这使组织能够基于个人的操作和这些操作所造成的风险级别的变化进行动态身份认证。

如果一个人在芝加哥的办公室登录，然后突然从圣地亚哥完成一项操作，系统会提示进行另一次身份验证。

如果用户在使用密码和OTP登录后检查他们的银行帐户余额，这就足够了。

然而，如果他们决定开始转移资金，那么像使用身份绑定生物识别技术扫描他们的指纹这样的方法可能更合适，这种方法可以将行为直接与个人的身份联系起来，而不仅仅是他们的设备和密码。

随着组织对身份认证策略感到困惑，他们需要将操作风险与用于验证个人身份的严格方法相匹配。

这意味着准备好许多不同的身份验证方法，了解尝试的背景，并拥有一幅描绘安全行为和危险信号的数据图。

技术已经开辟了大量的方法来评估一个人的独特性，并将这些独特的品质与他们的数字身份联系起来。

把所有这些东西放在一起，就形成了一个不可改变的用户形象。

原文始发于微信公众号（网络研究院）：解决身份认证难题的三个部分