身份是計(jì)算機(jī)安全防御方面特別重要的安全機(jī)制。如果可以訪問(wèn)多個(gè)域的單個(gè)登錄憑證受到損害，那么不管是物理邊界、防火墻邊界、安全域、網(wǎng)絡(luò)驗(yàn)證域還是虛擬網(wǎng)絡(luò)等，全都不再重要。

[[228254]]

如今好的身份識(shí)別解決方案能夠使用單個(gè)憑證訪問(wèn)成千上萬(wàn)個(gè)不同的安全域，但令人驚訝的是，它可以在降低整體風(fēng)險(xiǎn)的同時(shí)實(shí)現(xiàn)這一目標(biāo)。這究竟是怎么做到的呢?

早期身份認(rèn)證技術(shù)

在計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的早期階段，大多數(shù)人都使用單一登錄名和密碼來(lái)訪問(wèn)全部資源。這種策略后來(lái)被證實(shí)是非常糟糕的，因?yàn)橹灰慌_(tái)計(jì)算機(jī)被感染，就可能會(huì)導(dǎo)致共享相同登錄憑證的其他所有計(jì)算機(jī)也遭到破壞。每個(gè)人都被建議為自己訪問(wèn)的每個(gè)不同的系統(tǒng)創(chuàng)建一個(gè)不同的密碼。

中期身份認(rèn)證技術(shù)

由于大多數(shù)人現(xiàn)在都可以訪問(wèn)數(shù)十到數(shù)百種不同的受密碼保護(hù)的資源，如果要對(duì)每種不同的資源使用不同的密碼，要么就需要借助密碼管理器把所有密碼存儲(chǔ)起來(lái)，并在訪問(wèn)所有不同的站點(diǎn)時(shí)自動(dòng)登入，要么就需要采用某種形式的單點(diǎn)登錄(SSO)解決方案。

SSO解決方案在企業(yè)中變得相當(dāng)盛行，而密碼管理器也在家庭用戶間日益普及。但是，這兩種類(lèi)型的解決方案都無(wú)法在全部的安全域和平臺(tái)中適用。一些廣泛應(yīng)用的SSO解決方案被創(chuàng)建出來(lái)(比如微軟的Passport服務(wù)和去中心化的OpenID標(biāo)準(zhǔn))，后來(lái)又在嘗試之后遭到摒棄。盡管它們都承諾可以“全球使用和接受”，但是所有中期SSO解決方案并沒(méi)有一個(gè)實(shí)現(xiàn)了真正意義上的成功。

如今的身份認(rèn)證技術(shù)

社交媒體殺手級(jí)應(yīng)用程序(例如Facebook和Twitter)在對(duì)其余的身份認(rèn)證競(jìng)爭(zhēng)失敗者進(jìn)行了殘忍碾壓之后，才奠定了如今的“王者地位”。它們所擁有的龐大用戶群，確保了他們無(wú)論使用哪種解決方案和協(xié)議最終都將成為全球性的通行方案。不過(guò)，新的解決方案并非總能獲得全球信任和認(rèn)可。它傷害了許多聰明而又敬業(yè)的人的感受，這些人花費(fèi)了很長(zhǎng)時(shí)間，一直以來(lái)都在研究其他可能更好的解決方案。但都不重要了，要么同化，要么淘汰。

最初的陣痛過(guò)去后，紛爭(zhēng)平息，強(qiáng)勢(shì)的新標(biāo)準(zhǔn)最終被認(rèn)為是不錯(cuò)的東西。最終的結(jié)果就是，我們擁有的SSO身份驗(yàn)證標(biāo)準(zhǔn)變得更少，但也變得更受歡迎。這些標(biāo)準(zhǔn)如今可以同時(shí)在企業(yè)和消費(fèi)者平臺(tái)上進(jìn)行應(yīng)用。

在談?wù)撊缃竦纳矸菡J(rèn)證解決方案時(shí)，你會(huì)聽(tīng)到以下協(xié)議和解決方案：Facebook的 Graph API、OAuth、OpenIDConnect、xAuth、SAML、RESTful以及FIDO聯(lián)盟。經(jīng)過(guò)數(shù)十年的努力，無(wú)處不在的身份認(rèn)證世界終于到來(lái)了。在很多網(wǎng)站上，你可以使用Facebook、Twitter或喜歡的 OAuth/xAuth SSO來(lái)進(jìn)行身份認(rèn)證。當(dāng)然，互操作性(interoperability)問(wèn)題依然存在，但這些障礙正在迅速瓦解。

現(xiàn)在，你可以使用密碼、手機(jī)、數(shù)字證書(shū)、生物識(shí)別身份驗(yàn)證、雙因子身份認(rèn)證(2FA)或是多因子身份認(rèn)證(MFA) SSO解決方案來(lái)登錄各種網(wǎng)站。每個(gè)身份認(rèn)證可以具有與其相關(guān)聯(lián)的不同“屬性”或“聲明”，關(guān)聯(lián)至一個(gè)或多個(gè)受信設(shè)備，且具有不同的保證級(jí)別，可用于你所選擇的不同站點(diǎn)。

當(dāng)然，現(xiàn)在，SSO解決方案并非在全部網(wǎng)站都有效，但我們距離這一目標(biāo)已經(jīng)越來(lái)越近了。而當(dāng)我們?nèi)找娼咏@一目標(biāo)時(shí)，可以肯定地說(shuō)，也許我們并不是真的想要它!

對(duì)于大多數(shù)人來(lái)說(shuō)，需要使用多個(gè)不同的身份認(rèn)證來(lái)應(yīng)對(duì)不同事務(wù)的需求。例如，我們大多數(shù)人都有工作和個(gè)人賬號(hào)。我的工作要求能夠隨時(shí)保留所有與工作相關(guān)內(nèi)容，甚至要能夠在雇傭關(guān)系終止時(shí)立即清除所有工作內(nèi)容。同時(shí)，絕大多數(shù)和人并不希望工作上的管理員可以訪問(wèn)家庭電腦上的個(gè)人內(nèi)容瀏覽記錄，也不希望自己的個(gè)人文檔以某種形式出現(xiàn)在工作計(jì)算機(jī)上，反之亦然。但是，這種情況在當(dāng)前這種更普遍的全局身份認(rèn)證大環(huán)境下還是會(huì)經(jīng)常發(fā)生的。比如，你家里的電腦上會(huì)出現(xiàn)工作文檔副本的現(xiàn)象，好多人并不陌生吧。

完美的單一身份認(rèn)證

在一個(gè)想像中的完美世界中，如果我們能擁有一個(gè)具有不同“身份”(例如工作和家庭)的單一全局身份認(rèn)證，就可以將其應(yīng)用到不同用例場(chǎng)景，并且確保不同內(nèi)容和資源各自隔離開(kāi)來(lái)，那這樣的世界就太完美了。也許未來(lái)能夠?qū)崿F(xiàn)這種形式，但目前我們還沒(méi)有能力實(shí)現(xiàn)。

單點(diǎn)登錄是否會(huì)引入更多風(fēng)險(xiǎn)?

你可能會(huì)擔(dān)心，如果擁有一個(gè)統(tǒng)一的身份認(rèn)證是否意味著一旦該單一身份認(rèn)證失效，那么將會(huì)造成更為糟糕的后果。畢竟，使用單點(diǎn)登錄跟使用同一個(gè)密碼登錄所有注冊(cè)網(wǎng)站太像了，不是嗎?難道我們繞這一大圈，只是為了走回原點(diǎn)?

是又不是!因?yàn)槿绻阕龅氖钦_的話，大多數(shù)情況下是不會(huì)繞一圈又繞回原點(diǎn)的。

如果你使用的全局身份認(rèn)證機(jī)制在其源頭處(即身份認(rèn)證服務(wù)提供商)受到了損害，那么受損的身份信息有可能會(huì)被用到更多地方，風(fēng)險(xiǎn)自然也就會(huì)更大。例如，如果一名黑客獲取到了你的微信或是微博的登錄名和密碼，那么他很可能會(huì)嘗試使用你的社交賬戶憑證訪問(wèn)你登錄的任何地方。

但這也正是大多數(shù)其他流行的社交網(wǎng)站和身份驗(yàn)證提供商都在力推更強(qiáng)大的雙因素身份認(rèn)證(2FA)和多因素身份認(rèn)證(MFA)解決方案，并建議你應(yīng)該使用它們的原因所在。這樣一來(lái)，即便黑客獲取了你的密碼信息，他也得不到(至少不能立即獲得)作為身份驗(yàn)證一部分所需的第二個(gè)因素或物理設(shè)備。

此外，大多數(shù)全局身份認(rèn)證解決方案并不會(huì)在所有參與站點(diǎn)上使用單一身份驗(yàn)證令牌。相反地，如果你的“全局令牌”被用來(lái)創(chuàng)建特定于單獨(dú)站點(diǎn)和會(huì)話的身份驗(yàn)證令牌，那么這些令牌間便不存在交叉使用的情況。這也就意味著，即使黑客侵入了你用全局身份驗(yàn)證令牌登錄的特定站點(diǎn)，該令牌也無(wú)法應(yīng)用到其他站點(diǎn)上。這是雙贏的解決方案。至少比共享密碼要好得多。

對(duì)于生物識(shí)別身份驗(yàn)證的隱憂

人們確實(shí)擔(dān)心生物識(shí)別技術(shù)會(huì)被濫用，或者它們哪一天就會(huì)被存儲(chǔ)到每個(gè)人的全局身份賬戶中。生物識(shí)別技術(shù)從來(lái)都沒(méi)有像它所宣傳得那般好用過(guò)，它們根本沒(méi)有宣傳的那么準(zhǔn)確，而且通常很容易被偽造，還經(jīng)常失靈(例如，手上有汗水或污垢時(shí)去按指紋讀卡機(jī)一定是沒(méi)反應(yīng)的)。

但是，假設(shè)你是一名生物識(shí)別指紋愛(ài)好者，并且希望能夠使用指紋訪問(wèn)任意網(wǎng)站，那么建議你選擇一個(gè)接受指紋的全局身份驗(yàn)證提供商。這聽(tīng)起來(lái)像個(gè)好主意，但是，一旦我們開(kāi)始在全局身份賬戶中存儲(chǔ)指紋，侵入了該身份認(rèn)證提供商的攻擊者就將永遠(yuǎn)擁有你的指紋信息。他們有可能以你的名義，在所有接受你指紋的其他網(wǎng)站上肆意妄為。

到目前為止，有兩件事在阻止生物識(shí)別身份盜竊問(wèn)題蔓延(除了生物識(shí)別技術(shù)并未在手機(jī)和筆記本電腦之外的許多用例中被接受的事實(shí))。首先，大多數(shù)生物識(shí)別技術(shù)都是在本地存儲(chǔ)和使用的。這就意味著，黑客必須訪問(wèn)并攻破你的物理設(shè)備才能訪問(wèn)你的生物識(shí)別身份信息，而且，即使他獲取了訪問(wèn)權(quán)限，該生物識(shí)別技術(shù)也無(wú)法跨越單一受感染的設(shè)備，運(yùn)用到其他設(shè)備上。

第二，也是最為相關(guān)的問(wèn)題，一旦你使用生物識(shí)別身份登錄，那么之后發(fā)生的身份驗(yàn)證就是：認(rèn)證系統(tǒng)會(huì)使用除了你的指紋之外的其他身份驗(yàn)證令牌。你的生物識(shí)別身份通常是不會(huì)離開(kāi)你的本地設(shè)備的。如果人們開(kāi)始過(guò)度依賴全局生物識(shí)別身份驗(yàn)證，這種情況就會(huì)發(fā)生改變。

結(jié)論

我們從來(lái)沒(méi)有像現(xiàn)在這樣接近無(wú)處不在的全局身份認(rèn)證。在全局身份認(rèn)證中啟用2FA/MFA選項(xiàng)，這樣才能實(shí)現(xiàn)利益最大化，以及風(fēng)險(xiǎn)最小化。