运营者身份验证(手把手教你认证流程)-众学网

新钛云服已为您服务1465天

身份验证是数据安全、网络安全和应用安全的第一步。而身份和访问管理（IAM）的目标是确保正确的人能够以正确方式访问正确的资源，未经授权的用户则会被拒之门外。在选择身份验证类型时，企业需要兼顾用户体验和安全性。某些用户身份验证类型的安全性低于其他类型，但更高强度的身份验证可能会产生过多摩擦，导致员工实践不佳，并最终导致身份验证计划流产。

以下介绍和点评六种主流IAM身份验证方法，希望能帮助您选择最适合需求的身份验证协议。

6种主流IAM身份验证方法

身份验证方法包括用户知道的东西、用户拥有的东西和用户具有的东西。然而，并非每种身份验证类型都是为了保护网络而创建的。这些身份验证方法的范围从提供基本保护到更强的安全性。建议使用不止一种方法——多因素身份验证(MFA)。1、基于密码的认证也称为基于知识的身份验证，基于密码的身份验证依赖于用户名和密码或PIN。密码是最常见的身份验证方法，任何登录过计算机的人都知道如何使用密码。基于密码的身份验证是攻击者最容易滥用的身份验证类型。人们经常重复使用密码并使用字典单词和公开的个人信息创建可猜测的密码。此外，员工需要为他们使用的每个应用程序和设备设置密码，这使他们难以记住，并导致员工尽可能简化密码（弱密码）。这使得帐户更容易受到网络钓鱼和暴力攻击。公司应制定限制密码重复使用的密码策略。密码策略还可以要求用户定期更改密码并要求密码保持一定的复杂度。2、双因素/多因素身份验证双重身份验证(2FA)要求用户提供除密码之外的至少一个附加身份验证因素。MFA需要两个或多个因素。其他因素可以是本文提及的其他身份验证类型或通过文本或电子邮件发送给用户的一次性密码。“多因素”的涵义还包括带外身份验证，其中涉及第二个因素与原始设备位于不同的通道上，以减轻中间人攻击。这种身份验证类型增强了帐户的安全性，因为攻击者需要的不仅仅是访问凭据。2FA的强度取决于次要因素。使用需要用户的生物识别信息或推送通知，可提供更强大的2FA。但是，在部署2FA或MFA时要小心，因为它会降低用户体验，制造摩擦。3、生物特征认证生物识别技术使用用户自身生物特征进行验证，较少依赖容易被盗的秘密（例如密码口令）来验证用户是否确实拥有帐户。生物识别身份也是唯一的，这使得破解帐户变得更加困难。

常见的生物识别类型包括：

·指纹扫描根据用户的指纹验证身份验证；

·面部识别使用人的面部特征进行验证；

·虹膜识别使用红外线扫描用户的眼睛，将模式与保存的配置文件进行比较；

·行为生物识别技术使用一个人走路、打字或处理设备的方式。

很多用户已经非常熟悉生物识别技术，因此该身份验证方法更容易在企业环境中部署。许多消费类设备都具有生物特征验证功能，包括Windows Hello、Apple的Face ID和Touch ID。生物特征身份验证体验通常更流畅、更快捷，因为它不需要用户回忆密码或密码。攻击者也更难进行欺骗。

身份验证过程涉及在远程客户端和服务器之间安全地发送通信数据。流行的身份验证协议包括以下内容：· 轻量级目录访问协议(LDAP)用于身份验证，以使用目录服务验证凭据。使用LDAP时，客户端请求存储在数据库中的用户数据，并在凭据匹配时提供访问权限。· 如果服务器无法处理更强的协议，则使用密码验证协议(PAP)。PAP以明文形式发送用户名和密码，因此很容易成为窥探目标。· 质询握手身份验证协议(CHAP)提供比PAP更好的保护。CHAP使用质询/响应机制进行身份验证，而不是传输秘密，从而减少重放攻击的机会。· 可扩展身份验证协议(EAP)用于无线连接，作为加密网络的点对点协议的一部分。EAP提供了一个支持和扩展多种身份验证方法的框架。· Kerberos用于在包括Windows、macOS和Linux在内的操作系统中通过不安全的网络（例如Internet）进行身份验证。Kerberos与受信任的第三方合作以提供访问证书。·OpenID是用于身份验证和SSO的开源协议，用作OAuth 2.0授权框架的身份层。用户无需直接登录到各个网站，而是被重定向到OpenID站点进行登录。· 安全断言标记语言(SAML)是一种开源协议和SSO标准。SAML在IdP和服务提供商之间通过签名的XML文档传递信息。·FIDO2是多家科技巨头联合推动的一种安全标准，使用Web身份验证API和客户端到身份验证器协议，通过来自本地设备（例如令牌或智能手机）的公钥加密对用户进行身份验证。· SSL/TLS使用公钥加密和数字证书在用户和服务器之间进行身份验证。