企業(yè)和消費者身份的融合，為黑客創(chuàng)建了一個巨大的攻擊界面。我們應(yīng)探討二者趨同的各種方式，以及安全社區(qū)應(yīng)做出的響應(yīng)。

多因子同化現(xiàn)象

一些雙因子身份驗證方法，是為消費者創(chuàng)建而隨后被企業(yè)采用的;另外一些，則是為企業(yè)創(chuàng)建而被個人用戶采納的。

1. 生物特征識別

包含嵌入原生App中的指紋掃描器和虹膜掃描器，供消費者和企業(yè)身份驗證使用。用心率驗證身份的Nymi腕帶就是其中一個極好的例子。

2. 基于上下文的身份驗證

最為消費者熟知的，是“在此設(shè)備上記住我”勾選框，或者Visa驗證和MasterCard安全碼(McSc)。從陌生設(shè)備登錄時，用戶就會被要求用額外的因子(如一次性口令(OTP))驗證自身身份。

3. 單擊身份驗證

通過點擊移動設(shè)備上的按鈕進行用戶身份驗證，消費者服務(wù)和企業(yè)都有提供。

工作場所和家中的單點登錄

相信都聽說過口令疲勞吧?我們?nèi)粘Ｉ钪锌偸切枰涀『芏嗫诹睿卿浟餍袘?yīng)用的時候難免焦慮。在任何可行的地方實現(xiàn)單點登錄解決方案(SSO)，可以僅驗證一次，后續(xù)就能在訪問各種資源的時候自動驗證，有效消除這種沮喪和焦慮。

企業(yè)世界中，SSO體驗通過使用口令存儲庫或聯(lián)合身份驗證協(xié)議(如Kerberos、SAML和Open ID Connect)創(chuàng)建。消費者世界中，盡管也有面向消費者的口令存儲庫，卻是SSO的前身——聯(lián)合身份驗證協(xié)議，一統(tǒng)江湖。當你點擊“用谷歌賬戶登錄”按鈕時，就是 Open ID Connect 協(xié)議在將你的谷歌身份擴展到新的非從屬網(wǎng)站，讓你無需創(chuàng)建新的身份并用新用戶名和口令來登錄。

統(tǒng)一身份的關(guān)鍵是什么?

如果我明天就到新單位上班，我可以用某個社交媒體賬號立即訪問新工作的網(wǎng)絡(luò)、VPN和云應(yīng)用嗎?如果我的新工作實現(xiàn)了身份代理，那這個問題的答案就是“可以”。

類似的，采用身份代理，你可以讓商業(yè)合作伙伴用他們已有的社交媒體身份，登錄你的合作伙伴門戶，省去他們?yōu)樵摲?wù)維護新身份的麻煩——很值得一試的做法，因為很多數(shù)據(jù)泄露都是利用供應(yīng)商和合作伙伴的登錄憑證犯案的，比如塔吉特數(shù)據(jù)泄露事件。

身份代理，就是支持BYOI(自帶身份)的系統(tǒng)，采用用戶已有身份在陌生網(wǎng)站進行驗證登錄。該系統(tǒng)中，單個用戶賬戶可與不同身份源的身份進行關(guān)聯(lián)，通常采用特別為代理場景設(shè)置的 SAML 2.0 或 Open ID Connect 協(xié)議實現(xiàn)。

未來，我們將會看到越來越多的企業(yè)與消費者身份都支持的身份提供商。此類提供商不僅支持隔離的企業(yè)身份，也充分支持各種各樣的外部身份。比如社交媒體賬戶、醫(yī)療智能卡、商業(yè)并購帶來的身份，以及嵌入智能卡芯片的可穿戴設(shè)備產(chǎn)生的身份。

此類身份代理將讓我們的現(xiàn)有身份成為統(tǒng)一身份，在我們的消費和企業(yè)生活中相互作用。FIDO聯(lián)盟的宗旨正在于此。該聯(lián)盟由PayPal、微軟、谷歌、ARM、聯(lián)想、MasterCard、美國銀行和美國運通等業(yè)界領(lǐng)袖統(tǒng)領(lǐng)，希望通過利用PKI身份驗證，讓我們可以用同一個加密狗、生物眼紋或移動設(shè)備，來登錄我們的銀行賬戶，訪問云應(yīng)用和社交網(wǎng)絡(luò)。

加強防護

不幸的是，統(tǒng)一身份的創(chuàng)意也為普通消費者帶來了一些隱憂。雖然信用卡可以很方便地更換，欺詐性消費可以取消或追回，被盜身份和敏感個人信息的傷害卻是長期而持久的——你的用戶和公司生活會面臨跨界風(fēng)險。除非正確實現(xiàn)，否則統(tǒng)一身份將成為攻擊的主要目標。于是，焦點又轉(zhuǎn)回了對能更好地保護數(shù)據(jù)的安全防護策略的需求——比如細粒度訪問控制和策略。