信息化觀察網(wǎng)

本文來自千家網(wǎng)。

盜用管理員憑證的冒充攻擊，證明了身份驗證現(xiàn)是網(wǎng)絡安全的核心要求。由于暗網(wǎng)上有數(shù)百萬個被盜密碼，而深度偽造（Deepfake）甚至威脅到生物識別，因此組織需要一種與風險相匹配的分層身份驗證方法。此外，整個過程必須盡可能順暢，以免阻礙運營。

密碼是組織的致命弱點，通常由用戶共享或被盜。為了防止利用被盜憑證的賬戶泄露攻擊，組織必須根據(jù)風險級別持續(xù)監(jiān)控身份和活動。

要實現(xiàn)身份驗證的連續(xù)性，就需要轉(zhuǎn)向更安全、更方便用戶使用的方法。傳統(tǒng)方法，例如依賴基于知識的信息，如姓氏或生日日期，越來越容易受到攻擊。相反，這些方法可以被數(shù)字身份錢包、身份驗證推送通知或?qū)崟r身份驗證所取代。

使用多層驗證方法對新老用戶進行身份驗證，可以更可靠地抵御不斷演變的威脅。在這種動態(tài)環(huán)境中，安全、效率和隱私之間的平衡至關重要。用戶不僅追求便利，還關心保護自己的個人信息，尤其是在《加州消費者隱私法案》（CCPA）和歐盟《通用數(shù)據(jù)保護條例》（GDPR）等法規(guī)的背景下。

利用新興技術(shù)解決隱私問題

因此，向身份驗證的過渡需要更好的隱私控制。同態(tài)加密和多方計算(MPC)等新興技術(shù)在解決數(shù)據(jù)處理中的隱私問題方面日益突出。同態(tài)加密允許對加密數(shù)據(jù)進行計算，提供結(jié)果而無需暴露底層數(shù)據(jù)。這有助于確保敏感數(shù)據(jù)可以在不冒隱私泄露風險的情況下進行分析和處理。多方計算促進了一種設置，其中多個方可以“聯(lián)合計算其輸入的函數(shù)，同時將這些輸入彼此保密”。當數(shù)據(jù)必須在競爭對手之間或具有嚴格數(shù)據(jù)保護法的司法管轄區(qū)之間共享時，這尤其有用。

使用先進的驗證方法打擊Deepfake威脅

生物特征認證的使用日益增多，再加上惡意攻擊者將深度偽造作為攻擊媒介，這加速了對強大身份驗證的需求。一種有效的對策是使用面部識別技術(shù)，結(jié)合注入攻擊防御和活體檢測算法?；铙w檢查有助于確保被驗證的實體是實際存在的，而不是視頻或數(shù)字處理的圖像。ISO/IEC30107-1標準就是為實現(xiàn)這種類型的演示攻擊檢測而制定的。

此外，對來自多個獨立來源的身份數(shù)據(jù)進行三角測量，例如結(jié)合生物特征數(shù)據(jù)、設備元數(shù)據(jù)和行為信號，可提高身份驗證的可靠性。這種多模式方法有助于區(qū)分合法用戶和冒名頂替者，并可顯著降低欺詐活動的可能性。

遵循CISO的最佳實踐

為了實施支持行業(yè)準則和零信任原則的身份優(yōu)先安全方法，組織應考慮以下最佳實踐：

●身份驗證的多層次方法

集成先進的生物識別認證方法，如指紋，面部識別和虹膜掃描，確保它們符合最新的ISO/IEC性能和安全性標準。采用人工智能文檔驗證系統(tǒng)，該系統(tǒng)可以檢測篡改、驗證真實性并使用OCR技術(shù)自動提取數(shù)據(jù)。與第三方驗證服務連接，可以根據(jù)公共和信用記錄數(shù)據(jù)庫驗證個人數(shù)據(jù)，以降低欺詐風險。

●了解行業(yè)標準和法規(guī)

定期審查NIST800-63-3標準和其他相關指南的更新。進行年度合規(guī)性審計，并參加行業(yè)研討會和培訓課程，以確保安全團隊及時了解最新的監(jiān)管變化。實施合規(guī)性跟蹤工具，以監(jiān)控對這些標準的持續(xù)遵守情況。

●投資靈活的身份驗證方法

開發(fā)一個集成各種身份驗證方法的身份驗證基礎設施，并可輕松更新以納入新興技術(shù)。利用自適應身份驗證技術(shù)，可根據(jù)與用戶活動相關的風險擴展安全措施。嘗試使用分散式身份解決方案，讓用戶無需依賴中央機構(gòu)即可控制和證明自己的身份。

要想領先攻擊者一步，就需要超越單一的身份驗證安全方法。相反，實施多層次、可定制的持續(xù)身份驗證方法可以平衡風險和用戶體驗，并有助于防止賬戶入侵攻擊、欺詐和身份泄露。