2024年,身份和访问管理(IAM)领域正在发生重大变化。在上个月举行的Identiverse2024大会上,与会专家总结了数字身份管理的三大发展趋势,包括IAM与PAM的融合、通行密钥(Passkey)的兴起以及对抗深度伪造,所有这些趋势都将对企业和个人产生重大影响。具体内容如下:
趋势一:IAM与PAM的融合
在许多组织中,网络管理员和财务主管等高级权限用户需要遵守额外的访问控制措施,这些措施是普通用户不需要遵循的。高级用户可能使用常规的IAM界面登录他们的终端和电子邮件账户。但是,当需要访问敏感区域时,他们可能需要登录到PAM界面,有时还需要使用不同的用户名和密码。
从本质上讲,PAM系统比IAM系统执行更严格的一套策略。它会更仔细地监控和记录用户行为。密码需要更强,并且可能更频繁地轮换,并且几乎总是需要多因素认证(MFA)。特殊的权限可能只授予完成特定任务,然后在任务完成后撤销,这种做法称为即时访问(JIT)。
新冠疫情期间远程办公的激增以及云计算的快速普及使得普通用户和高级权限用户之间的界限变得模糊,并创造了新的攻击途径。
攻击者无需攻破系统,只需使用窃取或破解的凭据登录即可。当任何IT员工都可以轻松启动新的云实例时,配置错误和混乱的访问控制可能会导致低权限员工进入敏感区域。
因此,许多PAM的做法和控制措施正在迁移到IAM。强制实施MFA仅仅是开始。更新的IAM解决方案可能会严格监控和记录所有用户活动,迫使用户在访问新区域时再次登录,并遵循最小权限原则,以便用户仅拥有完成工作所需的权限。
一些IAM部署正在尝试即时访问,其他一些部署甚至更进一步,实施零永久权限,即不授予任何用户永久的特殊权限-所有对敏感区域的访问都是即时的。
组织还鼓励所有员工使用硬件安全密钥(成本可能较高)或设备绑定的通行密钥,这些密钥与密码或较弱的MFA验证因素不同,无法被网络钓鱼窃取。
趋势二:通行密钥(Passkey)将取代密码并主导身份验证
在Identiverse大会上,FIDO联盟执行董事兼首席执行官Andrew Shikiar宣称该组织的目标是“让通行密钥成为必选项”。十几位与会发言人深入探讨了通行密钥,所有人都相信对通行密钥会很快成为身份验证的主导标准。
业界对通行密钥的关注重点是密钥管理,尤其是在企业环境中。苹果、谷歌和微软都强调设备绑定的通行密钥,但是像Yubikey或Titan key这样的硬件安全密钥也符合FIDO 2.0标准的通行密钥,并且已经在企业中使用了几年。
设备绑定的通行密钥是替代密码的便捷方式,并且在Windows上实施时可能足够强大到取代MFA。与硬件密钥一样,Windows笔记本电脑或台式机上的通行密钥的私钥部分不会同步,并且仅存在于设备上。
苹果或安卓设备上的通行密钥则并非如此。它们可以通过谷歌密码管理器或Apple Keychain在云端同步。这使丢失设备后可以恢复通行密钥,但尽管谷歌和苹果坚称其存储的通行密钥加密安全,但仍会引起安全问题(焦虑)。
AWS Identity的高级安全工程师、FIDO联盟企业部署工作组的联合主席Dean Saxe表示,“通行密钥比密码更安全。但通行密钥并非没有风险。”
在Identiverse 2024大会上,一家知名科技公司的发言人表示,苹果宣布Keychain通行密钥同步功能让他们的安全主管“吓出一身冷汗”。因此,该公司现在对通行密钥与任何其他形式的身份验证一样,会强制实施基于上下文的MFA验证。
其他发言人提到了不一致的通行密钥实施标准。一些要求身份验证的实体不要求用户声明打算使用通行密钥,这可能会让恶意行为者更容易使用窃取的通行密钥。
此外,一些通行密钥身份验证器会允许用户在迁移到不同的身份验证器时以纯文本导出通行密钥,从而产生泄密风险。并且目前没有技术手段可以判断通行密钥是否已被迁移或复制。
最后,虽然与会专家对通信密钥的普及信心十足,但现实中公众对通信密钥的了解非常有限,距离大规模采用密钥还有很长的路要走。数字身份行业需要更多关注对消费者和企业的密钥知识普及和教育工作。
趋势三:对抗深度伪造
随着深度伪造技术的快速发展,从税务局到企业雇主(更不用说普通人),越来越难以确定他们是否在与真人交谈。
不仅驾照图像可以轻松伪造,而且静止的人脸照片也可以低成本地嫁接到他人的照片上。iProov的一项研究发现,2023年通过远程验证绕过人脸替换深度伪造的尝试增长了700%以上。
今年早些时候,一家跨国公司的财务主管被骗向窃贼汇款2500万美元,此前骗子在直播电话会议上伪造了几位公司高管(的数字人形象)。
虽然深度伪造威胁日益增长,但值得注意的是,防御者也能从深度伪造采用的技术中受益。例如,iProov会使用对象的屏幕将随机模式的彩色光投射到对象的面部,然后通过iProov的验证算法进行真伪分析。
其他安全公司也推出类似的对抗深度伪造的技术,能够快速验证驾照和护照,方法是查询公共数据库或使用光谱分析来区分原始照片和副本。他们还可以汇总有关主题的数十个数据点,从地理位置到主题电子邮件地址的年龄,以构建配置文件并评估其有效性——微软的Copilot等人工智能助手可以在几秒钟内完成此类鉴别流程。