雖然身分驗證方法只是網路安全的一個面向,但它是第一道防線。這個過程判定使用者是否真的是他們所聲稱的身分。不要搞混驗證與其後的授權步驟,驗證純粹是確認數位身分的方法,目的是要讓使用者擁有足夠的權限等級,以便存取或執行他們嘗試的任務。
我們可以使用從密碼到指紋等多種驗證方法,在允許使用者存取前確認其身分。這麼做可以多添加一層防護,也能防止發生資料外洩這類安全漏洞。不過通常必須結合使用不同類型的驗證方法,才能真正強化系統安全以防禦可能的威脅。
驗證方法
驗證可確保無效使用者無法接觸到資料庫、網路及其他資源。這類驗證會使用因子(驗證時使用的一種憑證類別)來確認使用者的身分。以下僅列舉幾種驗證方法。
單一因子 / 主要驗證
單一因子驗證是歷來最常見的驗證形式,也是最不安全的,因為只需要一個因子即可獲得完整的系統存取權。該因子可以是使用者名稱和密碼、PIN 碼或其他簡易代碼。雖然使用者用起來十分便捷,但單一因子驗證系統相對容易受到網路釣魚、鍵盤側錄或單純猜測的滲透。由於不需要通過其他驗證關卡,這種方法很容易被攻破。
雙重因子驗證 (Two-Factor Authenication , 2FA)
雙重因子驗證透過添加第二個驗證因子來強化安全措施。多加這一層防護本質上是為了要再次確認使用者是否真的是嘗試登入的使用者本人,藉此提高破解的難度。使用這種驗證方法時,使用者需先輸入其主要驗證憑證(如上述的使用者名稱/密碼),接著必須輸入第二種身分識別資訊。
第二個因子通常比較難以破解,因為它通常是有效使用者本人可以取用,但與指定系統無關的事物。第二個因子可能會是驗證應用程式產生的一次性密碼(One Time Password , OTP)、電話號碼或可收到推播通知或簡訊代碼的裝置,或者是指紋 (Touch ID)、臉部 (Face ID) 或語音辨識等生物辨識資料。
2FA 明顯降低了系統或資源遭到入侵的風險,因為無效使用者不太可能會同時知道或擁有兩個驗證因子。正因如此,雙重因子驗證現在受到更廣泛的採用,但它確實會對使用者造成一些不便,實行時仍需考慮到這一點。
單一登入 (Single Sign-On , SSO)
採用 SSO 驗證時,使用者只要登入單一應用程式,即可存取其他許多應用程式。這種方法對使用者來說更便利,因為它讓使用者不需再保留數組憑證,並在操作工作階段期間創造了更無縫的體驗。
組織可透過識別一個中心網域(最理想的是用 IAM(身份識別與存取管理 , Identity and Access Management) 系統),然後在資源間建立安全的 SSO 連結來做到這一點。此過程可進行網域監控使用者驗證,並藉由單一登出確保有效使用者結束工作階段時,他們會成功登出所有連結資源和應用程式。
多因子驗證 (Multi-Factor Authenication , MFA)
多因子驗證是一種高度保障方法,因為它使用更多與系統無關的因子來確保使用者身分的合法性。與 2FA 相同,MFA 會使用生物辨識資料、裝置型確認、額外密碼,甚至是位置或行為方面的資訊(如鍵盤輸入模式或輸入速度)等因子來確認使用者的身分。但不同的地方在於,2FA 始終只會利用兩個因子,MFA 卻可使用兩個或三個因子,且可在不同的工作階段間進行變換,為無效使用者增添難以捉摸的變數。
最常用的驗證通訊協定有哪些?
驗證通訊協定是端點(筆記型電腦、桌上型電腦、手機、伺服器等)或系統用於通訊的指定互動和驗證規則。使用者要存取的應用程式種類繁多,標準和協定也同樣多樣化。為貴組織選擇正確的驗證通訊協定.對於確保安全的運作和使用相容性至關重要。以下是幾種最常用的驗證通訊協定:
密碼驗證通訊協定 (Password Authentication Protocol , PAP)
雖然常見,但 PAP 是驗證使用者最不安全的通訊協定,主因在於它缺少加密功能。它基本上是一個常規登入過程,需要用使用者名稱和密碼的組合來存取指定系統,系統會驗證使用者提供的憑證。如今只有在不得已的情況下,才會選擇它作為伺服器與桌上型電腦或遠端裝置之間的通訊驗證協定。
詢問握手驗證通訊協定 (Challenge-Handshake Authentication Protocol , CHAP)
CHAP 是一種身分驗證通訊協定,使用三方交換「秘密」這種更高的加密標準,向指定網路驗證使用者的身分。首先,本地路由器會向遠端主機傳送一個「詢問」,然後遠端主機使用 MD5 雜湊函數傳送回應。路由器會將該回應與預期的回應(雜湊值)進行比對,若路由器判定比對結果為相符,則會建立已驗證的連線(即「握手」),反之則會拒絕存取。它比 PAP 本質上更安全,因為路由器可以在工作階段的任何時候傳送詢問,而 PAP 的運作僅限於初始的身分驗證核准。
可延伸的驗證通訊協定 (Extensible Authentication Protocol , EAP)
此通訊協定支援多種驗證方式,從一次性密碼到智慧卡皆可使用。用於無線通訊時,EAP 可提供最高等級的安全性,因為它允許指定的存取點和遠端裝置以內建加密進行雙向驗證。它將使用者連接到要求憑證的存取點,透過驗證伺服器確認身分,然後再提出另一種使用者身分識別形式的要求,並再次透過伺服器確認身分,且全程傳輸的所有訊息均採加密處理,直到完成整個流程。
瞭解 SailPoint 如何與正確的驗證供應商相整合。
