標(biāo)準(zhǔn)身份驗證方法和一次性密碼在受保護邊界的入口處充當(dāng)過濾器。但是，如果有人成功欺騙了這些過濾器或在成功登錄后更改了用戶，要怎么辦呢?網(wǎng)絡(luò)攻擊者可能使用惡意軟件和不同的網(wǎng)絡(luò)釣魚技術(shù)來竊取合法用戶的憑證，甚至是一次性更改密碼。在沒有特殊員工監(jiān)控軟件的公司中，員工通常會與同事無聊地共享其登錄名和密碼。最后，總是存在一些人擁有可完全訪問公司網(wǎng)絡(luò)，關(guān)鍵資源和應(yīng)用程序的公司設(shè)備的風(fēng)險。連續(xù)身份驗證似乎是解決此問題的正確方法。在本文中，我們將向您介紹有關(guān)該技術(shù)的更多信息以及通過連續(xù)身份驗證來提高安全性的一些最佳實踐。

　　連續(xù)身份驗證是確保數(shù)據(jù)訪問安全的關(guān)鍵

連續(xù)身份驗證基本上是旨在確保整個會話中用戶不斷進行重新驗證的一組方法和技術(shù)。換句話說，該技術(shù)將常規(guī)認證從一次事件轉(zhuǎn)變?yōu)檎谶M行的過程。

該技術(shù)旨在幫助您緩解一些網(wǎng)絡(luò)安全問題，包括：

· 網(wǎng)絡(luò)釣魚攻擊和憑據(jù)填充

· 共享的登錄憑據(jù)

· 共享設(shè)備

與傳統(tǒng)的身份驗證工具相比，連續(xù)身份和訪問管理借助行為生物識別技術(shù)來驗證用戶，行為生物識別技術(shù)是每個人所獨有的生理和行為模式，就像視網(wǎng)膜掃描或指紋識別一樣。機器學(xué)習(xí)是實現(xiàn)連續(xù)身份驗證并使其能夠不斷重新驗證用戶身份而又不中斷工作流程的技術(shù)之一。借助機器學(xué)習(xí)，連續(xù)的IAM可以及時收集和處理有關(guān)用戶的大量數(shù)據(jù)。

具有連續(xù)身份驗證功能的IAM解決方案應(yīng)該能夠完成以下三個任務(wù)：

· 收集信息-使用不同的傳感器，IAM解決方案應(yīng)不斷收集和更新有關(guān)特定用戶，其獨特的生理特征，行為方式等的數(shù)據(jù)。

· 處理數(shù)據(jù)并從中學(xué)習(xí)—連續(xù)身份驗證解決方案應(yīng)該能夠分析所收集的信息并為特定用戶建立行為配置文件。

· 管理訪問-基于構(gòu)建的行為配置文件，IAM解決方案應(yīng)該能夠?qū)⒑戏ㄓ脩襞c可能的入侵者區(qū)分開，并授予或拒絕對關(guān)鍵數(shù)據(jù)的訪問。

連續(xù)身份驗證解決方案不斷監(jiān)視和分析特定用戶與系統(tǒng)交互的方式，以計算該用戶成為其聲稱的身份的概率。該解決方案用于構(gòu)建質(zhì)量用戶行為配置文件的數(shù)據(jù)可以分為三類：

· 生理數(shù)據(jù)-用戶手臂的大小，他們用右手/左手按下鍵盤上的鍵的力等。

· 認知數(shù)據(jù)-握住手機的方式，在鍵盤上打字的速度，手眼協(xié)調(diào)性等。

· 上下文數(shù)據(jù)-用戶的位置，當(dāng)前時區(qū)等。

行為生物識別技術(shù)最常見的例子是擊鍵動態(tài)：您在鍵盤上鍵入的速度有多快，找到正確的鍵需要花費多長時間，按下鍵的力度等等。在智能手機上，這樣的解決方案可以分析您握住手機或點擊屏幕的方式。

現(xiàn)在，讓我們談?wù)勥B續(xù)身份驗證可以提高公司安全性的方法。

　　連續(xù)身份驗證的三大好處

實施連續(xù)身份驗證可以為您帶來很多好處，并可以幫助您大大提高公司的網(wǎng)絡(luò)安全性。這是這項技術(shù)的主要優(yōu)點：

· 正在進行的用戶身份驗證

· 快速檢測會話中的用戶更改

· 不間斷的工作流程

　　讓我們仔細看看這三個好處

正在進行的用戶身份驗證。連續(xù)身份驗證的主要思想是將用戶身份驗證變成一個持續(xù)不斷的過程。標(biāo)準(zhǔn)身份驗證工具只有兩個選項：授予用戶對系統(tǒng)的訪問權(quán)限或拒絕它。另一方面，連續(xù)身份驗證計算當(dāng)前用戶是其登錄帳戶的實際所有者的概率。

理想情況下，如果概率達到一定水平，例如50%，則應(yīng)初始化一個附加的驗證程序。如果概率水平進一步降低，則應(yīng)完全終止會話。

快速檢測會話中的用戶更改。 總是有機會讓其他人擁有您的手機，平板電腦，筆記本電腦甚至臺式機。員工可以借用同事的計算機來訪問他們不應(yīng)該訪問的數(shù)據(jù)或應(yīng)用程序。小孩可能開始玩父母的智能手機，不小心啟動了關(guān)鍵應(yīng)用程序，甚至更改甚至刪除了重要數(shù)據(jù)。連續(xù)身份驗證可以幫助您及時檢測到用戶的可能更改，因此，可以對其進行足夠快速的響應(yīng)以減輕可能的風(fēng)險。

不間斷的工作流程。 阻礙連續(xù)認證的主要障礙之一是需要限制可能的工作流中斷次數(shù)。人們討厭在工作過程中不斷被要求重新輸入密碼，回答一個秘密問題或提供其他驗證數(shù)據(jù)。但是由于使用了機器學(xué)習(xí)，連續(xù)身份驗證現(xiàn)在可以在后臺運行，而不會打擾用戶。

但是，這些好處是否足以使連續(xù)身份驗證取代諸如兩因素身份驗證或輔助身份驗證之類的安全黃金標(biāo)準(zhǔn)?這項網(wǎng)絡(luò)安全創(chuàng)新仍需應(yīng)對的主要挑戰(zhàn)是什么?

　　連續(xù)認證與MFA

的確，您可以通過連續(xù)的身份和訪問管理顯著提高安全性。但是，絕不能將此技術(shù)視為MFA，單點登錄，一次性密碼和輔助身份驗證之類的工具的替代品。如果有的話，這些工具應(yīng)一起使用，以彌補彼此的缺點。

您可能知道，MFA基于三個因素：

· 知識

· 擁有

· 繼承

網(wǎng)絡(luò)罪犯已經(jīng)發(fā)明了許多工具和技術(shù)來竊取這些數(shù)據(jù)，從而繞過MFA。因此，從理論上講，入侵者總是有可能以合法用戶身份進入公司網(wǎng)絡(luò)的受保護邊界。

另一方面，行為生物特征不能被攻擊者復(fù)制和重復(fù)使用，因為它可能發(fā)生在密碼，一次性代碼甚至是視網(wǎng)膜掃描中。因此，使用連續(xù)身份驗證，您可以為公司網(wǎng)絡(luò)增加一層保護。一旦攻擊者的行為開始偏離用戶的行為模式，就可以檢測到可能的入侵。

同時，連續(xù)認證是一項正在發(fā)展的技術(shù)，有很多問題需要解決。 為每個網(wǎng)絡(luò)用戶建立質(zhì)量基準(zhǔn)行為配置文件并減少誤報數(shù)量是該技術(shù)在不久的將來需要解決的主要挑戰(zhàn)。

　　結(jié)論

連續(xù)身份驗證是一種有前途的技術(shù)，可以彌補MFA留下的安全漏洞。使用此技術(shù)，身份驗證不再是在會話開始時進行的一次性身份驗證過程。現(xiàn)在，這是一個持續(xù)的過程，其中在整個會話過程中不斷檢查和評估用戶的身份。

持續(xù)身份驗證雖然在緩解網(wǎng)絡(luò)釣魚攻擊和解決共享密碼和借用設(shè)備問題方面具有巨大潛力，但不能替代其他IAM工具。這些工具都追求不同的目標(biāo)，理想情況下，應(yīng)將它們一起使用。想了解更多網(wǎng)絡(luò)安全的信息，請繼續(xù)關(guān)注中培偉業(yè)。