身份是計(jì)算機(jī)安全防御方面特別重要的安全機(jī)制。如果可以訪問多個域的單個登錄憑證受到損害，那么不管是物理邊界、防火墻邊界、安全域、網(wǎng)絡(luò)驗(yàn)證域還是虛擬網(wǎng)絡(luò)等，全都不再重要。

[[228254]]

如今好的身份識別解決方案能夠使用單個憑證訪問成千上萬個不同的安全域，但令人驚訝的是，它可以在降低整體風(fēng)險的同時實(shí)現(xiàn)這一目標(biāo)。這究竟是怎么做到的呢?

早期身份認(rèn)證技術(shù)

在計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的早期階段，大多數(shù)人都使用單一登錄名和密碼來訪問全部資源。這種策略后來被證實(shí)是非常糟糕的，因?yàn)橹灰慌_計(jì)算機(jī)被感染，就可能會導(dǎo)致共享相同登錄憑證的其他所有計(jì)算機(jī)也遭到破壞。每個人都被建議為自己訪問的每個不同的系統(tǒng)創(chuàng)建一個不同的密碼。

中期身份認(rèn)證技術(shù)

由于大多數(shù)人現(xiàn)在都可以訪問數(shù)十到數(shù)百種不同的受密碼保護(hù)的資源，如果要對每種不同的資源使用不同的密碼，要么就需要借助密碼管理器把所有密碼存儲起來，并在訪問所有不同的站點(diǎn)時自動登入，要么就需要采用某種形式的單點(diǎn)登錄(SSO)解決方案。

SSO解決方案在企業(yè)中變得相當(dāng)盛行，而密碼管理器也在家庭用戶間日益普及。但是，這兩種類型的解決方案都無法在全部的安全域和平臺中適用。一些廣泛應(yīng)用的SSO解決方案被創(chuàng)建出來(比如微軟的Passport服務(wù)和去中心化的OpenID標(biāo)準(zhǔn))，后來又在嘗試之后遭到摒棄。盡管它們都承諾可以“全球使用和接受”，但是所有中期SSO解決方案并沒有一個實(shí)現(xiàn)了真正意義上的成功。

如今的身份認(rèn)證技術(shù)

社交媒體殺手級應(yīng)用程序(例如Facebook和Twitter)在對其余的身份認(rèn)證競爭失敗者進(jìn)行了殘忍碾壓之后，才奠定了如今的“王者地位”。它們所擁有的龐大用戶群，確保了他們無論使用哪種解決方案和協(xié)議最終都將成為全球性的通行方案。不過，新的解決方案并非總能獲得全球信任和認(rèn)可。它傷害了許多聰明而又敬業(yè)的人的感受，這些人花費(fèi)了很長時間，一直以來都在研究其他可能更好的解決方案。但都不重要了，要么同化，要么淘汰。

最初的陣痛過去后，紛爭平息，強(qiáng)勢的新標(biāo)準(zhǔn)最終被認(rèn)為是不錯的東西。最終的結(jié)果就是，我們擁有的SSO身份驗(yàn)證標(biāo)準(zhǔn)變得更少，但也變得更受歡迎。這些標(biāo)準(zhǔn)如今可以同時在企業(yè)和消費(fèi)者平臺上進(jìn)行應(yīng)用。

在談?wù)撊缃竦纳矸菡J(rèn)證解決方案時，你會聽到以下協(xié)議和解決方案：Facebook的 Graph API、OAuth、OpenIDConnect、xAuth、SAML、RESTful以及FIDO聯(lián)盟。經(jīng)過數(shù)十年的努力，無處不在的身份認(rèn)證世界終于到來了。在很多網(wǎng)站上，你可以使用Facebook、Twitter或喜歡的 OAuth/xAuth SSO來進(jìn)行身份認(rèn)證。當(dāng)然，互操作性(interoperability)問題依然存在，但這些障礙正在迅速瓦解。

現(xiàn)在，你可以使用密碼、手機(jī)、數(shù)字證書、生物識別身份驗(yàn)證、雙因子身份認(rèn)證(2FA)或是多因子身份認(rèn)證(MFA) SSO解決方案來登錄各種網(wǎng)站。每個身份認(rèn)證可以具有與其相關(guān)聯(lián)的不同“屬性”或“聲明”，關(guān)聯(lián)至一個或多個受信設(shè)備，且具有不同的保證級別，可用于你所選擇的不同站點(diǎn)。

當(dāng)然，現(xiàn)在，SSO解決方案并非在全部網(wǎng)站都有效，但我們距離這一目標(biāo)已經(jīng)越來越近了。而當(dāng)我們?nèi)找娼咏@一目標(biāo)時，可以肯定地說，也許我們并不是真的想要它!

對于大多數(shù)人來說，需要使用多個不同的身份認(rèn)證來應(yīng)對不同事務(wù)的需求。例如，我們大多數(shù)人都有工作和個人賬號。我的工作要求能夠隨時保留所有與工作相關(guān)內(nèi)容，甚至要能夠在雇傭關(guān)系終止時立即清除所有工作內(nèi)容。同時，絕大多數(shù)和人并不希望工作上的管理員可以訪問家庭電腦上的個人內(nèi)容瀏覽記錄，也不希望自己的個人文檔以某種形式出現(xiàn)在工作計(jì)算機(jī)上，反之亦然。但是，這種情況在當(dāng)前這種更普遍的全局身份認(rèn)證大環(huán)境下還是會經(jīng)常發(fā)生的。比如，你家里的電腦上會出現(xiàn)工作文檔副本的現(xiàn)象，好多人并不陌生吧。

完美的單一身份認(rèn)證

在一個想像中的完美世界中，如果我們能擁有一個具有不同“身份”(例如工作和家庭)的單一全局身份認(rèn)證，就可以將其應(yīng)用到不同用例場景，并且確保不同內(nèi)容和資源各自隔離開來，那這樣的世界就太完美了。也許未來能夠?qū)崿F(xiàn)這種形式，但目前我們還沒有能力實(shí)現(xiàn)。

單點(diǎn)登錄是否會引入更多風(fēng)險?

你可能會擔(dān)心，如果擁有一個統(tǒng)一的身份認(rèn)證是否意味著一旦該單一身份認(rèn)證失效，那么將會造成更為糟糕的后果。畢竟，使用單點(diǎn)登錄跟使用同一個密碼登錄所有注冊網(wǎng)站太像了，不是嗎?難道我們繞這一大圈，只是為了走回原點(diǎn)?

是又不是!因?yàn)槿绻阕龅氖钦_的話，大多數(shù)情況下是不會繞一圈又繞回原點(diǎn)的。

如果你使用的全局身份認(rèn)證機(jī)制在其源頭處(即身份認(rèn)證服務(wù)提供商)受到了損害，那么受損的身份信息有可能會被用到更多地方，風(fēng)險自然也就會更大。例如，如果一名黑客獲取到了你的微信或是微博的登錄名和密碼，那么他很可能會嘗試使用你的社交賬戶憑證訪問你登錄的任何地方。

但這也正是大多數(shù)其他流行的社交網(wǎng)站和身份驗(yàn)證提供商都在力推更強(qiáng)大的雙因素身份認(rèn)證(2FA)和多因素身份認(rèn)證(MFA)解決方案，并建議你應(yīng)該使用它們的原因所在。這樣一來，即便黑客獲取了你的密碼信息，他也得不到(至少不能立即獲得)作為身份驗(yàn)證一部分所需的第二個因素或物理設(shè)備。

此外，大多數(shù)全局身份認(rèn)證解決方案并不會在所有參與站點(diǎn)上使用單一身份驗(yàn)證令牌。相反地，如果你的“全局令牌”被用來創(chuàng)建特定于單獨(dú)站點(diǎn)和會話的身份驗(yàn)證令牌，那么這些令牌間便不存在交叉使用的情況。這也就意味著，即使黑客侵入了你用全局身份驗(yàn)證令牌登錄的特定站點(diǎn)，該令牌也無法應(yīng)用到其他站點(diǎn)上。這是雙贏的解決方案。至少比共享密碼要好得多。

對于生物識別身份驗(yàn)證的隱憂

人們確實(shí)擔(dān)心生物識別技術(shù)會被濫用，或者它們哪一天就會被存儲到每個人的全局身份賬戶中。生物識別技術(shù)從來都沒有像它所宣傳得那般好用過，它們根本沒有宣傳的那么準(zhǔn)確，而且通常很容易被偽造，還經(jīng)常失靈(例如，手上有汗水或污垢時去按指紋讀卡機(jī)一定是沒反應(yīng)的)。

但是，假設(shè)你是一名生物識別指紋愛好者，并且希望能夠使用指紋訪問任意網(wǎng)站，那么建議你選擇一個接受指紋的全局身份驗(yàn)證提供商。這聽起來像個好主意，但是，一旦我們開始在全局身份賬戶中存儲指紋，侵入了該身份認(rèn)證提供商的攻擊者就將永遠(yuǎn)擁有你的指紋信息。他們有可能以你的名義，在所有接受你指紋的其他網(wǎng)站上肆意妄為。

到目前為止，有兩件事在阻止生物識別身份盜竊問題蔓延(除了生物識別技術(shù)并未在手機(jī)和筆記本電腦之外的許多用例中被接受的事實(shí))。首先，大多數(shù)生物識別技術(shù)都是在本地存儲和使用的。這就意味著，黑客必須訪問并攻破你的物理設(shè)備才能訪問你的生物識別身份信息，而且，即使他獲取了訪問權(quán)限，該生物識別技術(shù)也無法跨越單一受感染的設(shè)備，運(yùn)用到其他設(shè)備上。

第二，也是最為相關(guān)的問題，一旦你使用生物識別身份登錄，那么之后發(fā)生的身份驗(yàn)證就是：認(rèn)證系統(tǒng)會使用除了你的指紋之外的其他身份驗(yàn)證令牌。你的生物識別身份通常是不會離開你的本地設(shè)備的。如果人們開始過度依賴全局生物識別身份驗(yàn)證，這種情況就會發(fā)生改變。

結(jié)論

我們從來沒有像現(xiàn)在這樣接近無處不在的全局身份認(rèn)證。在全局身份認(rèn)證中啟用2FA/MFA選項(xiàng)，這樣才能實(shí)現(xiàn)利益最大化，以及風(fēng)險最小化。