2024年，身份和訪問管理(IAM)領域正在發(fā)生重大變化。在上個月舉行的Identiverse2024大會上，與會專家總結了數(shù)字身份管理的三大發(fā)展趨勢，包括IAM與PAM的融合、通行密鑰（Passkey）的興起以及對抗深度偽造，所有這些趨勢都將對企業(yè)和個人產(chǎn)生重大影響。具體內(nèi)容如下：

趨勢一：IAM與PAM的融合

在許多組織中，網(wǎng)絡管理員和財務主管等高級權限用戶需要遵守額外的訪問控制措施，這些措施是普通用戶不需要遵循的。高級用戶可能使用常規(guī)的IAM界面登錄他們的終端和電子郵件賬戶。但是，當需要訪問敏感區(qū)域時，他們可能需要登錄到PAM界面，有時還需要使用不同的用戶名和密碼。

從本質(zhì)上講，PAM系統(tǒng)比IAM系統(tǒng)執(zhí)行更嚴格的一套策略。它會更仔細地監(jiān)控和記錄用戶行為。密碼需要更強，并且可能更頻繁地輪換，并且?guī)缀蹩偸切枰嘁蛩卣J證(MFA)。特殊的權限可能只授予完成特定任務，然后在任務完成后撤銷，這種做法稱為即時訪問(JIT)。

新冠疫情期間遠程辦公的激增以及云計算的快速普及使得普通用戶和高級權限用戶之間的界限變得模糊，并創(chuàng)造了新的攻擊途徑。

攻擊者無需攻破系統(tǒng)，只需使用竊取或破解的憑據(jù)登錄即可。當任何IT員工都可以輕松啟動新的云實例時，配置錯誤和混亂的訪問控制可能會導致低權限員工進入敏感區(qū)域。

因此，許多PAM的做法和控制措施正在遷移到IAM。強制實施MFA僅僅是開始。更新的IAM解決方案可能會嚴格監(jiān)控和記錄所有用戶活動，迫使用戶在訪問新區(qū)域時再次登錄，并遵循最小權限原則，以便用戶僅擁有完成工作所需的權限。

一些IAM部署正在嘗試即時訪問，其他一些部署甚至更進一步，實施零永久權限，即不授予任何用戶永久的特殊權限-所有對敏感區(qū)域的訪問都是即時的。

組織還鼓勵所有員工使用硬件安全密鑰（成本可能較高）或設備綁定的通行密鑰，這些密鑰與密碼或較弱的MFA驗證因素不同，無法被網(wǎng)絡釣魚竊取。

趨勢二：通行密鑰（Passkey）將取代密碼并主導身份驗證

在Identiverse大會上，F(xiàn)IDO聯(lián)盟執(zhí)行董事兼首席執(zhí)行官Andrew Shikiar宣稱該組織的目標是“讓通行密鑰成為必選項”。十幾位與會發(fā)言人深入探討了通行密鑰，所有人都相信對通行密鑰會很快成為身份驗證的主導標準。

業(yè)界對通行密鑰的關注重點是密鑰管理，尤其是在企業(yè)環(huán)境中。蘋果、谷歌和微軟都強調(diào)設備綁定的通行密鑰，但是像Yubikey或Titan key這樣的硬件安全密鑰也符合FIDO 2.0標準的通行密鑰，并且已經(jīng)在企業(yè)中使用了幾年。

設備綁定的通行密鑰是替代密碼的便捷方式，并且在Windows上實施時可能足夠強大到取代MFA。與硬件密鑰一樣，Windows筆記本電腦或臺式機上的通行密鑰的私鑰部分不會同步，并且僅存在于設備上。

蘋果或安卓設備上的通行密鑰則并非如此。它們可以通過谷歌密碼管理器或Apple Keychain在云端同步。這使丟失設備后可以恢復通行密鑰，但盡管谷歌和蘋果堅稱其存儲的通行密鑰加密安全，但仍會引起安全問題（焦慮）。

AWS Identity的高級安全工程師、FIDO聯(lián)盟企業(yè)部署工作組的聯(lián)合主席Dean Saxe表示，“通行密鑰比密碼更安全。但通行密鑰并非沒有風險?！?/p>

在Identiverse 2024大會上，一家知名科技公司的發(fā)言人表示，蘋果宣布Keychain通行密鑰同步功能讓他們的安全主管“嚇出一身冷汗”。因此，該公司現(xiàn)在對通行密鑰與任何其他形式的身份驗證一樣，會強制實施基于上下文的MFA驗證。

其他發(fā)言人提到了不一致的通行密鑰實施標準。一些要求身份驗證的實體不要求用戶聲明打算使用通行密鑰，這可能會讓惡意行為者更容易使用竊取的通行密鑰。

此外，一些通行密鑰身份驗證器會允許用戶在遷移到不同的身份驗證器時以純文本導出通行密鑰，從而產(chǎn)生泄密風險。并且目前沒有技術手段可以判斷通行密鑰是否已被遷移或復制。

最后，雖然與會專家對通信密鑰的普及信心十足，但現(xiàn)實中公眾對通信密鑰的了解非常有限，距離大規(guī)模采用密鑰還有很長的路要走。數(shù)字身份行業(yè)需要更多關注對消費者和企業(yè)的密鑰知識普及和教育工作。

趨勢三：對抗深度偽造

隨著深度偽造技術的快速發(fā)展，從稅務局到企業(yè)雇主（更不用說普通人），越來越難以確定他們是否在與真人交談。

不僅駕照圖像可以輕松偽造，而且靜止的人臉照片也可以低成本地嫁接到他人的照片上。iProov的一項研究發(fā)現(xiàn)，2023年通過遠程驗證繞過人臉替換深度偽造的嘗試增長了700%以上。

今年早些時候，一家跨國公司的財務主管被騙向竊賊匯款2500萬美元，此前騙子在直播電話會議上偽造了幾位公司高管（的數(shù)字人形象）。

雖然深度偽造威脅日益增長，但值得注意的是，防御者也能從深度偽造采用的技術中受益。例如，iProov會使用對象的屏幕將隨機模式的彩色光投射到對象的面部，然后通過iProov的驗證算法進行真?zhèn)畏治觥?/p>

其他安全公司也推出類似的對抗深度偽造的技術，能夠快速驗證駕照和護照，方法是查詢公共數(shù)據(jù)庫或使用光譜分析來區(qū)分原始照片和副本。他們還可以匯總有關主題的數(shù)十個數(shù)據(jù)點，從地理位置到主題電子郵件地址的年齡，以構建配置文件并評估其有效性——微軟的Copilot等人工智能助手可以在幾秒鐘內(nèi)完成此類鑒別流程。