2024年，身份和訪問管理(IAM)領(lǐng)域正在發(fā)生重大變化。在上個(gè)月舉行的Identiverse2024大會(huì)上，與會(huì)專家總結(jié)了數(shù)字身份管理的三大發(fā)展趨勢(shì)，包括IAM與PAM的融合、通行密鑰(Passkey)的興起以及對(duì)抗深度偽造，所有這些趨勢(shì)都將對(duì)企業(yè)和個(gè)人產(chǎn)生重大影響。具體內(nèi)容如下：

　　趨勢(shì)一：IAM與PAM的融合

　　在許多組織中，網(wǎng)絡(luò)管理員和財(cái)務(wù)主管等高級(jí)權(quán)限用戶需要遵守額外的訪問控制措施，這些措施是普通用戶不需要遵循的。高級(jí)用戶可能使用常規(guī)的IAM界面登錄他們的終端和電子郵件賬戶。但是，當(dāng)需要訪問敏感區(qū)域時(shí)，他們可能需要登錄到PAM界面，有時(shí)還需要使用不同的用戶名和密碼。

　　從本質(zhì)上講，PAM系統(tǒng)比IAM系統(tǒng)執(zhí)行更嚴(yán)格的一套策略。它會(huì)更仔細(xì)地監(jiān)控和記錄用戶行為。密碼需要更強(qiáng)，并且可能更頻繁地輪換，并且?guī)缀蹩偸切枰嘁蛩卣J(rèn)證(MFA)。特殊的權(quán)限可能只授予完成特定任務(wù)，然后在任務(wù)完成后撤銷，這種做法稱為即時(shí)訪問(JIT)。

　　新冠疫情期間遠(yuǎn)程辦公的激增以及云計(jì)算的快速普及使得普通用戶和高級(jí)權(quán)限用戶之間的界限變得模糊，并創(chuàng)造了新的攻擊途徑。

　　攻擊者無需攻破系統(tǒng)，只需使用竊取或破解的憑據(jù)登錄即可。當(dāng)任何IT員工都可以輕松啟動(dòng)新的云實(shí)例時(shí)，配置錯(cuò)誤和混亂的訪問控制可能會(huì)導(dǎo)致低權(quán)限員工進(jìn)入敏感區(qū)域。

　　因此，許多PAM的做法和控制措施正在遷移到IAM。強(qiáng)制實(shí)施MFA僅僅是開始。更新的IAM解決方案可能會(huì)嚴(yán)格監(jiān)控和記錄所有用戶活動(dòng)，迫使用戶在訪問新區(qū)域時(shí)再次登錄，并遵循最小權(quán)限原則，以便用戶僅擁有完成工作所需的權(quán)限。

　　一些IAM部署正在嘗試即時(shí)訪問，其他一些部署甚至更進(jìn)一步，實(shí)施零永久權(quán)限，即不授予任何用戶永久的特殊權(quán)限-所有對(duì)敏感區(qū)域的訪問都是即時(shí)的。

　　組織還鼓勵(lì)所有員工使用硬件安全密鑰(成本可能較高)或設(shè)備綁定的通行密鑰，這些密鑰與密碼或較弱的MFA驗(yàn)證因素不同，無法被網(wǎng)絡(luò)釣魚竊取。

　　趨勢(shì)二：通行密鑰(Passkey)將取代密碼并主導(dǎo)身份驗(yàn)證

　　在Identiverse大會(huì)上，F(xiàn)IDO聯(lián)盟執(zhí)行董事兼首席執(zhí)行官Andrew Shikiar宣稱該組織的目標(biāo)是“讓通行密鑰成為必選項(xiàng)”。十幾位與會(huì)發(fā)言人深入探討了通行密鑰，所有人都相信對(duì)通行密鑰會(huì)很快成為身份驗(yàn)證的主導(dǎo)標(biāo)準(zhǔn)。

　　業(yè)界對(duì)通行密鑰的關(guān)注重點(diǎn)是密鑰管理，尤其是在企業(yè)環(huán)境中。蘋果、谷歌和微軟都強(qiáng)調(diào)設(shè)備綁定的通行密鑰，但是像Yubikey或Titan key這樣的硬件安全密鑰也符合FIDO 2.0標(biāo)準(zhǔn)的通行密鑰，并且已經(jīng)在企業(yè)中使用了幾年。

　　設(shè)備綁定的通行密鑰是替代密碼的便捷方式，并且在Windows上實(shí)施時(shí)可能足夠強(qiáng)大到取代MFA。與硬件密鑰一樣，Windows筆記本電腦或臺(tái)式機(jī)上的通行密鑰的私鑰部分不會(huì)同步，并且僅存在于設(shè)備上。

　　蘋果或安卓設(shè)備上的通行密鑰則并非如此。它們可以通過谷歌密碼管理器或Apple Keychain在云端同步。這使丟失設(shè)備后可以恢復(fù)通行密鑰，但盡管谷歌和蘋果堅(jiān)稱其存儲(chǔ)的通行密鑰加密安全，但仍會(huì)引起安全問題(焦慮)。

　　AWS Identity的高級(jí)安全工程師、FIDO聯(lián)盟企業(yè)部署工作組的聯(lián)合主席Dean Saxe表示，“通行密鑰比密碼更安全。但通行密鑰并非沒有風(fēng)險(xiǎn)。”

　　在Identiverse 2024大會(huì)上，一家知名科技公司的發(fā)言人表示，蘋果宣布Keychain通行密鑰同步功能讓他們的安全主管“嚇出一身冷汗”。因此，該公司現(xiàn)在對(duì)通行密鑰與任何其他形式的身份驗(yàn)證一樣，會(huì)強(qiáng)制實(shí)施基于上下文的MFA驗(yàn)證。

　　其他發(fā)言人提到了不一致的通行密鑰實(shí)施標(biāo)準(zhǔn)。一些要求身份驗(yàn)證的實(shí)體不要求用戶聲明打算使用通行密鑰，這可能會(huì)讓惡意行為者更容易使用竊取的通行密鑰。

　　此外，一些通行密鑰身份驗(yàn)證器會(huì)允許用戶在遷移到不同的身份驗(yàn)證器時(shí)以純文本導(dǎo)出通行密鑰，從而產(chǎn)生泄密風(fēng)險(xiǎn)。并且目前沒有技術(shù)手段可以判斷通行密鑰是否已被遷移或復(fù)制。

　　最后，雖然與會(huì)專家對(duì)通信密鑰的普及信心十足，但現(xiàn)實(shí)中公眾對(duì)通信密鑰的了解非常有限，距離大規(guī)模采用密鑰還有很長(zhǎng)的路要走。數(shù)字身份行業(yè)需要更多關(guān)注對(duì)消費(fèi)者和企業(yè)的密鑰知識(shí)普及和教育工作。

　　趨勢(shì)三：對(duì)抗深度偽造

　　隨著深度偽造技術(shù)的快速發(fā)展，從稅務(wù)局到企業(yè)雇主(更不用說普通人)，越來越難以確定他們是否在與真人交談。

　　不僅駕照?qǐng)D像可以輕松偽造，而且靜止的人臉照片也可以低成本地嫁接到他人的照片上。iProov的一項(xiàng)研究發(fā)現(xiàn)，2023年通過遠(yuǎn)程驗(yàn)證繞過人臉替換深度偽造的嘗試增長(zhǎng)了700%以上。

　　今年早些時(shí)候，一家跨國(guó)公司的財(cái)務(wù)主管被騙向竊賊匯款2500萬美元，此前騙子在直播電話會(huì)議上偽造了幾位公司高管(的數(shù)字人形象)。

　　雖然深度偽造威脅日益增長(zhǎng)，但值得注意的是，防御者也能從深度偽造采用的技術(shù)中受益。例如，iProov會(huì)使用對(duì)象的屏幕將隨機(jī)模式的彩色光投射到對(duì)象的面部，然后通過iProov的驗(yàn)證算法進(jìn)行真?zhèn)畏治觥?/p>

　　其他安全公司也推出類似的對(duì)抗深度偽造的技術(shù)，能夠快速驗(yàn)證駕照和護(hù)照，方法是查詢公共數(shù)據(jù)庫(kù)或使用光譜分析來區(qū)分原始照片和副本。他們還可以匯總有關(guān)主題的數(shù)十個(gè)數(shù)據(jù)點(diǎn)，從地理位置到主題電子郵件地址的年齡，以構(gòu)建配置文件并評(píng)估其有效性——微軟的Copilot等人工智能助手可以在幾秒鐘內(nèi)完成此類鑒別流程。