支招 | 如何解決身份驗證系統安全問題

對於身份驗證系統如何在本地和國際的不同部門之間提供信任、信任和互操作性，有許多不同的觀點。與此同時，這些解決方案應該確保一個體面的隱私水平。為了應對ID驗證系統中某些特權參與者濫用權力等威脅，需要使用安全防護工具。

目前的身份管理方法存在許多薄弱環節，這些薄弱環節構成了多種形式的網路犯罪。此外，由於這些孤立的系統沒有重疊，執法機構無法在國際一級進行協調行動。

關於這一點，ID驗證的方法正在進行轉換。安全專業人員提出了新的原則，開發了輔助技術，並指定了測試這些服務的新場景。

現代身份驗證服務的實施與行業各部門之間的互動程度密切相關。在企業和國家級別已經建立了高階解決方案，但其中大多數忽略了互操作性的需要。專家團體正在積極討論這些問題，試圖找到相關的解決方案。

下一代身份驗證系統可以應對相關領域的安全問題，比如透過人工智慧演算法進行身份欺騙。然而，新的風險仍在繼續出現。

企業和數字服務越來越緊密地聯絡在一起。數字交易需要不同系統之間有足夠的信任和機密性，這隻能透過統一的身份解決方案來實現。換言之，國際社會需要建立統一的數字身份模型，以降低安全風險。

安全身份驗證的風險

下一代身份驗證系統的發展將使社會在關鍵領域越來越依賴這項技術。因此，針對這種環境的網路攻擊將會升級。惡意參與者將試圖找到並利用裝置和識別機制中的漏洞來訪問敏感資料。

在此背景下,最嚴重的威脅以及破壞此類系統的動機往往來自以下幾個不同層面：

●內部威脅，主要以中斷服務或金錢為動機，入侵者透過偽裝成受信任的個人，可以透過繞過物理安全獲取訪問許可權;

●惡意競爭，主要動機是以此來獲得競爭優勢。犯罪分子可以讓內部人士和其他第三方協同完成攻擊;

●國家間的政治對抗，主要以政治和經濟收益為動機。這種型別包括間諜活動、帳戶接管、認證系統妥協和監視等;

●有組織犯罪，主要動機是獲取金錢。欺詐手段包括身份盜竊、賬戶接管、資料濫用、認證系統妥協、中間人攻擊和檔案偽造;

●駭客行為，以擾亂目標運作為動機，對目標造成聲譽損害。可以應用帳戶接管和模擬，以及身份驗證和授權洩漏。

接下來，讓我們瞭解下當前身份驗證系統的主要安全風險：

●隱私:犯罪者可能會獲得大量的個人資料，包括生物識別、行為和地理位置細節。

●完整性:破壞這些解決方案的完整性可能會降低生態系統參與者之間的信任。

●可用性:攻擊者可能試圖入侵身份驗證基礎架構，以破壞參與者嚴重依賴的服務，從而造成級聯效應。

資訊保安專業人員在構建安全的數字身份環境並確保這些服務的可用性和完整性時將面臨新的挑戰。違反可能會導致更嚴重的系統後果，破壞參與者之間的信任，從而破壞網路空間的有效執行。

安全解決方案

未來的ID驗證將由分散式和異構的基礎設施支援。信任和透明度，以及服務的可靠性，將在全球範圍內發揮重要作用。在這種模式下，減少安全風險是一項複雜的任務，它依賴於一種集體的方法。

由於所有的安全問題都以協調的方式解決，因此該技術無法充分發揮其潛力。資訊保安專家需要介入，開發一種數字身份驗證的防篡改技術。

以下是一些在不久的將來可能發生挑戰的應對方法：

●保證、信任和透明性:ID驗證基礎架構元件的彈性是透過參與者之間所有互動的透明性來實現的。社群需要了解這樣一個系統中的信任水平，並準確衡量信任差距。這將促進防禦的實施，以保持完整性;

●共享管理原則:協作國際標準化和認證身份驗證系統將為所有參與者提供基線水平的網路安全。例如，已經形成了支付交易安全(pcidss)和航空工業(SARPs, ICAO)的標準。這些基本原則將指定數字身份過程的技術要求和效能標準，同時還將解決隱私挑戰。

終端使用者需要控制個人資料，並瞭解其處理方式以及將資料傳輸給誰。開發針對企業和政治的其他激勵模型將鼓勵所有參與的實體支援ID驗證服務的互操作性和創新，並深刻了解誰負責確保分散式環境不同部分的安全性。

●聚集參與者：由不同行業參與者組成的大會將有助於探索其各個部門的互操作性，從而激勵人們制定管理原則以確保適當的安全性。這樣，就有可能在ID驗證區域中選出主要實體(政府，私營部門，社會)和關鍵參與者(銀行，電信服務提供商，技術公司)。這樣的聚集將為部門之間的合作提供新的機會，能夠及時找出並規避建立全球ID驗證基礎設施的主要障礙。

●合作運營安全性:資訊保安社群必然會迎接嚴峻的挑戰，保護未來分散式的、異構的和內在複雜的身份驗證系統免受駭客及其惡意程式碼的攻擊。這應該是數字身份領域所有安全專業人員採取的全新方法和協調行動。

隨著其他技術的發展和下一代身份驗證系統的部署，專家們需要考慮未來潛在的威脅。他們的待辦事項之一是確保分散式元件的量子密碼學達到適當的水平。雖然一些檢測、跟蹤和中和欺詐活動的方法可以用於獨立的身份驗證系統，但它們還沒有為這類端到端解決方案建立。建立系統風險和威脅模型，考慮不同行業參與者的特權很有必要。

通用的事件報告框架將是評估當前風險和最佳化事件響應率的關鍵。在資訊保安社群層面的協調努力以及國際身份驗證安全標準和資料共享的開發將會確保生態系統所有成員的安全水平，並釋放出下一代數字身份技術的真正潛力。