MFA不再万能 如何守护网安第一道防线

MFA无法接受之重

身份认证被以为是网络安保的第一道防线，确保只要授权的用户能够访问敏感数据和资源，从而防止未经授权的访问和数据暴露。

近年来，网络攻打日益复杂和频繁，传统的身份认证方法如明码已难以提供足够的包全。Verizon的一项钻研发现，80%的数据暴露事情触及弱明码或被盗凭证，凸显了强化身份认证的关键性。为应答这一应战，多要素认证开局宽泛运行于企业和关键基础设备。美国网络安保与基础设备安保局(CISA)将MFA列为基本网络安保防护措施之一。

多要素认证经过结合两种或多种独立凭证来验证用户身份，为身份认证提供额外的安保层，旨在防止未经授权的访问。微软2020年的数据显示，启用MFA可以阻止99.9%的账户入侵尝试。不足MFA包全曾经成为很多网络攻打的指标。

但是，MFA并非十拿九稳。攻打者不时在寻觅新的方法来破坏MFA。英国国度网络安保核心（NCSC）指出，社会工程技术已被用于用来破坏MFA，并观察到针对启用MFA账户的攻打在过去几年中呈回升趋向。

Uber在2022年遭逢了一同针对MFA的重大网络安保事情。攻打者经过向员工发送虚伪的MFA通知，结合社会工程学手腕，诱骗其点击恶意链接并输入凭证，最终取得了外部系统的访问权限。可见，即使启用了MFA，员工的安保看法单薄也或许造成身份认证被破坏。

除了社会工程攻打外，MFA还面临其余局限性。传统的基于短信的MFA容易遭到SIM卡替换攻打和SS7破绽的影响。推送通知也或许被用户误以为是渣滓信息而疏忽。此外，MFA的实施与治理或许带来额外的复杂性和老本，特意是关于领有泛滥用户和遗留系统的大型企业而言。

正如NCSC所倡导的那样，企业须要从新扫视其MFA战略；不能将MFA视为与日俱增的处置打算，而应依据组织的特点微危险状况，选用适合的身份认证形式。

总而言之，随着网络要挟的不时演进，MFA 等传统身份认证方法曾经难以应答日益复杂的网络要挟，企业须要驳回更先进、多档次的认证手腕。

影响下一代身份认证的四项技术

在这种背景下，下一代身份认证技术正应运而生，其中人工智能、动物识别、区块链和后量子明码学等前沿技术备受关注。

人工智能在身份认证畛域大有可为

机器学习算法可以经过剖析海量数据，识别用户行为形式中的异常，实事实时要挟检测。例如，假设一个用户突然从一个生疏的天文位置登录，或许尝试访问往常不常访问的敏感资源，AI系统就可以标志这种行为并触发额外的验证步骤。此外，AI还可以依据用户的危险状况，灵活调整认证要求，成功自顺应认证。这种方法可以在提高安保性的同时，最大限制地缩小对用户体验的影响。

动物识别技术的提高为身份认证带来了新的或许性

传统的动物识别方法如指纹、面部识别等已获取宽泛运行，但多模态动物识别和行为动物识别有望进一步提高认证的准确性和安保性。多模态动物识别经过结合多种动物特色(如虹膜和指纹)来验证身份，大大降落了伪造的危险。行为动物识别则经过剖析用户的行为形式(如击键节拍、鼠标移动轨迹等)来继续验证用户身份，即使攻打者窃取了用户的静态凭证，也难以复制其共同的行为特色。

区块链技术为身份治理提供了一种去核心化的处置打算

基于区块链的身份认证系统准许用户对自己的身份信息启动掌控，选用性地与第三方共享必要的信息，而无需依赖核心化的身份提供商。这种自主身份(Self-Sovereign Identity， SSI)模型不只增强了隐衷包全，也使身份认证环节愈加透明和安保。智能合约作为区块链的关键个性，可以智能化访问控制流程，消弭人为失误，提高合规性。

后量子明码学为未来的身份认证提供了安保保证

随着量子计算的开展，传统加密算法面临被破解的危险。然后量子明码学努力于开发能够抵御量子计算攻打的明码算法，如格基明码和哈希签名等。量子密钥散发(QKD)应用量子力学原理在通讯双方之间建设共享的随秘密钥，通常上可以成功无条件安保的通讯。量子安保间接通讯(QSDC)更进一步，无需共享密钥即可间接传输安保信息。这些技术的提高有望彻底扭转身份认证的安保格式。

VCN有望重塑数字身份治理的格式

未来，身份认证技术将朝着愈加智能、无缝、安保的方向开展。

零信赖安保模型的兴起预示着身份认证的关键性将进一步优化。与传统的基于边界的安保模型不同，零信赖要求对每个用户和设备启动继续的身份验证和授权，确保只要受信赖的实体能力访问网络资源。在零信赖架构下，身份认证不再是一次性性的行为，而是贯通整个访问生命周期的灵活环节。

同时，身份认证也将变得愈加无缝和透明。随着人工智能和动物识别技术的提高，未来的身份认证将能够在不影响用户体验的状况下提供更高的安保性。延续身份认证和隐形认证等新兴技术可以继续监测用户行为和环境要素，实事实时危险评价和灵活访问控制。用户无需频繁输入明码或启动显式认证，系统会依据用户的行为形式和高低文信息智能判别其身份的可信度。

此外，身份认证的互操作性和规范化也将成为关键趋向。随着企业IT环境日益复杂，不同的身份认证系统须要成功无缝集成和互通，一方面可以最大限制地降落与跨各种平台存储多个凭证相关的危险，另一方面还可以缩小数据暴露和身份盗用的破绽。身份联盟和联结身份治理可以准许用户经常使用一个身份凭证访问多个运行程序和服务，简化身份治理流程。跨域身份认证和单点登录技术则可以成功跨组织、跨平台的身份共享与协作。

但是，构建未来的身份认证生态也面临诸多应战。隐衷包全和数据安保一直是备受关注的疑问。用户的动物识别数据和行为信息属于高度敏感的团体数据，一旦暴露或滥用，结果不堪想象。因此，在驳回新的身份认证技术时，必需严厉遵守隐衷法规，并采取强有力的数据包全措施。

值得一提的是，可验证凭证网络 （Verifiable Credentials Networks，VCN）或许会在这种背景下兴起。VCN是一种去核心化的系统，经过提供去核心化的凭证发行、存储和验证框架，增强用户控制、隐衷和安保性，同时降落欺诈危险。其中，可验证凭证（VC）是一种规范化的形式，用于数字化示意和共享身份信息，旨在安保、防窜改并易于验证·。VC 经常使用加密方法确保其中蕴含的信息可以被信赖，并且第三方无需间接咨询发行者即可启动验证。VCN代表了一种改革性的数字身份治理方法，使团体能够安保、私密地控制和分享自己的团体信息。这种方法合乎日益增长的隐衷疑问和法规要求。

有观念以为，VCN有望重塑数字身份治理的格式，使其愈加高效、安保和以用户为核心。，Badge 和 Cisco Duo 等协作同伴专一于经过可验证凭证明现无明码注册，让用户能够经过动物识别启出发份验证，无需传统的 MFA 方法，如令牌或重复的身份验证。

与此同时，多要素认证（MFA）与可验证凭证（VC）网络的融合正在成为增强数字安保的关键趋向。这种融合应用了两种技术的长处，提供弱小的身份验证和访问控制机制，岂但能够清楚降落未授权访问的危险，比如说，用户或许须要提供一个 VC并成功一 MFA 验证能力访问敏感信息或服务；还能简化用户体验：一旦用户的身份经过 VC 验证，他们可选用搅扰较小的MFA方法启出发份验证，如动物识别验证或推送通知。

在网络要挟不时演化的背景下，企业须要与时俱进，踊跃拥抱翻新技术，构建多档次、灵活顺应的身份认证体系。同时，身份认证的未来也离不开各方的通力协作。产业界、学术界、政府等不同主体应通力协作，携手推进身份认证相关规范和规范的建设,增强跨域互信与协作。