電腦那端到底是誰(shuí)？加固企業(yè)信息安全的第一道防線(xiàn)——身份認(rèn)證！

互聯(lián)網(wǎng)世界曾有個(gè)著名的說(shuō)法：你永遠(yuǎn)不知道電腦那端坐著的是一個(gè)人還是一只狗！

這句話(huà)最早出現(xiàn)在1993年《紐約客》刊登的一則由彼得·施泰納創(chuàng)作的漫畫(huà)中。時(shí)至今日，技術(shù)已經(jīng)繼續(xù)發(fā)展了30年。過(guò)去稱(chēng)之為互聯(lián)網(wǎng)世界也逐漸變成了現(xiàn)在所說(shuō)的數(shù)字世界。其內(nèi)涵與外延都進(jìn)一步擴(kuò)大，并持續(xù)擴(kuò)大中。

這時(shí)候的我們，不僅需要弄清楚電腦那端坐著的是一個(gè)人，還是一只狗，甚至是一個(gè)機(jī)器、一個(gè)接口、一個(gè)設(shè)備......而且，我們還需要清楚的知道這個(gè)人/狗/機(jī)器/設(shè)備等具體的身份屬性，從而確認(rèn)當(dāng)前所聲稱(chēng)為某種身份的用戶(hù)，確實(shí)是所聲稱(chēng)的用戶(hù)。這也就是我們所說(shuō)的企業(yè)信息安全的“第一道防線(xiàn)”——身份認(rèn)證。

01

身份認(rèn)證如何證明你是你？

身份認(rèn)證（Authentication）又稱(chēng)“鑒權(quán)”，是指通過(guò)一定的技術(shù)手段，完成對(duì)用戶(hù)身份的確認(rèn)，目的是確認(rèn)當(dāng)前所聲稱(chēng)為某種身份的用戶(hù)，確實(shí)是所聲稱(chēng)的用戶(hù)。其基本思想是通過(guò)驗(yàn)證被認(rèn)證對(duì)象的屬性來(lái)達(dá)到被認(rèn)證對(duì)象是否真實(shí)有效。

目前，身份認(rèn)證主要通過(guò)三種方式來(lái)判別：一是根據(jù)你所知道的信息證明你的身份（what you know）；二是根據(jù)你所擁有的東西證明你的身份(what you have)；三是直接根據(jù)你獨(dú)一無(wú)二的身體特征證明你的身份(who you are)。當(dāng)然，也可以綜合利用這三種方式來(lái)判別。

常見(jiàn)的身份認(rèn)證方法中，口令認(rèn)證是最常用的方式，包括靜態(tài)口令和動(dòng)態(tài)口令兩種。我們常用的賬號(hào)密碼就是一種靜態(tài)口令；智能卡、令牌是一種內(nèi)置集成電路的芯片，用來(lái)保存和用戶(hù)身份相關(guān)的數(shù)據(jù)；數(shù)字證書(shū)是利用可信第三方來(lái)證明用戶(hù)身份；生物特征認(rèn)證則以人體唯一的、可靠的、穩(wěn)定的生物特征為依據(jù)，如指紋識(shí)別、面容識(shí)別等；組合因子認(rèn)證是綜合利用多種認(rèn)證技術(shù)的優(yōu)點(diǎn)進(jìn)行組合認(rèn)證，也就是我們常說(shuō)的多因素認(rèn)證。

02

多因素認(rèn)證不只是多了一重保障

隨著企業(yè)和人們對(duì)數(shù)字世界的依賴(lài)程度越來(lái)越高，數(shù)字安全問(wèn)題日益凸顯。其中，又以身份安全危機(jī)最為顯著。

2024年，最新權(quán)威報(bào)告數(shù)據(jù)顯示，網(wǎng)絡(luò)犯罪分子正在想方設(shè)法規(guī)避或利用身份驗(yàn)證、核實(shí)和認(rèn)證過(guò)程中的弱點(diǎn)來(lái)進(jìn)行欺詐等非法活動(dòng)，加倍利用用戶(hù)身份信息攻擊全球企業(yè)，利用身份信息形成的網(wǎng)絡(luò)攻擊激增71%。

顯然，身份是造成企業(yè)安全危機(jī)的罪魁禍?zhǔn)?；但也正因如此，身份也是解決企業(yè)安全問(wèn)題的重要辦法。早在下面這篇文章中，派拉軟件就提出僅僅依靠“用戶(hù)名密碼”這樣的身份認(rèn)證方式存在諸多弊端。

所以，在上面這篇文章中，派拉軟件在提供清除企業(yè)弱密碼解決方案的基礎(chǔ)上，為企業(yè)提供了多因素認(rèn)證產(chǎn)品與方案。也就是說(shuō)，企業(yè)需要要求并確保一個(gè)人除了用戶(hù)名和密碼外，還能證明自己的身份，從而使威脅行為者更難進(jìn)入系統(tǒng)。

例如，采用生物識(shí)別、基于智能手機(jī)的無(wú)密碼身份認(rèn)證。這樣看似多一重身份認(rèn)證，卻極大增強(qiáng)了用戶(hù)的便利性。因?yàn)楸绕鹳~號(hào)密碼，用戶(hù)更愿意選擇這種認(rèn)證方式。與此同時(shí)，提高身份認(rèn)證安全性。

目前，國(guó)內(nèi)外各大政府、企業(yè)組織為了改善身份和身份驗(yàn)證安全，都在積極地實(shí)施多因素身份認(rèn)證（MFA）建設(shè)。盡管任何一種認(rèn)證方式都不是靈丹妙藥，不能阻止所有人，也不一定在任何情況下都有用。但多一重保障，企業(yè)安全危機(jī)卻可以明顯的下降幾個(gè)百分比。

03

基于風(fēng)險(xiǎn)的智能強(qiáng)認(rèn)證

隨著派拉軟件產(chǎn)品技術(shù)的持續(xù)深耕研究，以及AI技術(shù)的逐漸成熟與不斷應(yīng)用，派拉軟件身份認(rèn)證技術(shù)與產(chǎn)品服務(wù)能力也隨之升級(jí)。為了幫助企業(yè)更有效地應(yīng)對(duì)合成身份欺詐和深度偽造等問(wèn)題帶來(lái)的日益嚴(yán)峻的安全與挑戰(zhàn)，派拉軟件提出基于風(fēng)險(xiǎn)的智能強(qiáng)認(rèn)證解決方案。

整個(gè)方案基于用戶(hù)實(shí)體行為分析（UEBA）能力，結(jié)合AI大模型與大數(shù)據(jù)、算法算力等技術(shù)，以用戶(hù)實(shí)體行為為依據(jù)進(jìn)行安全認(rèn)證。其基本思想是：不同人的行為習(xí)慣及表現(xiàn)具有獨(dú)一無(wú)二的特性。而對(duì)于一個(gè)固定的用戶(hù)實(shí)體，其行為總是遵循一定的習(xí)慣，表現(xiàn)為在行動(dòng)操作中存在規(guī)律性，并以此來(lái)判斷用戶(hù)實(shí)體的身份。

這就要求認(rèn)證平臺(tái)跟蹤記錄每個(gè)用戶(hù)與實(shí)體的歷史行為習(xí)慣，并按照一定的算法從中抽取出規(guī)律，建立用戶(hù)實(shí)體行為大模型。當(dāng)用戶(hù)實(shí)體的行為習(xí)慣突然改變時(shí)，與行為模型庫(kù)中不匹配，系統(tǒng)就會(huì)自動(dòng)監(jiān)測(cè)出這種異常，并進(jìn)行強(qiáng)安全認(rèn)證或其他安全策略執(zhí)行。

此外，派拉軟件智能強(qiáng)認(rèn)證平臺(tái)還可以對(duì)常見(jiàn)的身份安全場(chǎng)景進(jìn)行監(jiān)測(cè)設(shè)置，例如利用15大維度檢測(cè)，判斷是否為機(jī)器人訪(fǎng)問(wèn)，從而杜絕機(jī)器人訪(fǎng)問(wèn)風(fēng)險(xiǎn)；采用5種檢測(cè)邏輯，解決批量注冊(cè)、虛假注冊(cè)風(fēng)險(xiǎn)等；

針對(duì)撞庫(kù)、非常態(tài)登錄、代理登錄、身份憑證盜取、異常違規(guī)操作等系列安全場(chǎng)景提供近實(shí)時(shí)、實(shí)時(shí)、離線(xiàn)等三種檢測(cè)方法，管理員可根據(jù)業(yè)務(wù)需求開(kāi)啟對(duì)應(yīng)的檢測(cè)場(chǎng)景與檢測(cè)規(guī)則，從而有效抵御各種假冒攻擊和入侵，保證身份識(shí)別的準(zhǔn)確。

未來(lái)，隨著移動(dòng)邊緣設(shè)備的持續(xù)瘋狂增長(zhǎng)、機(jī)器身份的日益增加，基于區(qū)塊鏈的去中心化認(rèn)證技術(shù)將成為下一個(gè)身份認(rèn)證技術(shù)的熱點(diǎn)。如何讓用戶(hù)自己控制自己的數(shù)字身份，保護(hù)身份安全的同時(shí)，加強(qiáng)個(gè)人隱私保護(hù)？派拉軟件將持續(xù)探索！