標準身份驗證方法和一次性密碼在受保護邊界的入口處充當過濾器。但是，如果有人成功欺騙了這些過濾器或在成功登錄后更改了用戶，要怎么辦呢?網絡攻擊者可能使用惡意軟件和不同的網絡釣魚技術來竊取合法用戶的憑證，甚至是一次性更改密碼。在沒有特殊員工監控軟件的公司中，員工通常會與同事無聊地共享其登錄名和密碼。最后，總是存在一些人擁有可完全訪問公司網絡，關鍵資源和應用程序的公司設備的風險。連續身份驗證似乎是解決此問題的正確方法。在本文中，我們將向您介紹有關該技術的更多信息以及通過連續身份驗證來提高安全性的一些最佳實踐。

　　連續身份驗證是確保數據訪問安全的關鍵

連續身份驗證基本上是旨在確保整個會話中用戶不斷進行重新驗證的一組方法和技術。換句話說，該技術將常規認證從一次事件轉變為正在進行的過程。

該技術旨在幫助您緩解一些網絡安全問題，包括：

· 網絡釣魚攻擊和憑據填充

· 共享的登錄憑據

· 共享設備

與傳統的身份驗證工具相比，連續身份和訪問管理借助行為生物識別技術來驗證用戶，行為生物識別技術是每個人所獨有的生理和行為模式，就像視網膜掃描或指紋識別一樣。機器學習是實現連續身份驗證并使其能夠不斷重新驗證用戶身份而又不中斷工作流程的技術之一。借助機器學習，連續的IAM可以及時收集和處理有關用戶的大量數據。

具有連續身份驗證功能的IAM解決方案應該能夠完成以下三個任務：

· 收集信息-使用不同的傳感器，IAM解決方案應不斷收集和更新有關特定用戶，其獨特的生理特征，行為方式等的數據。

· 處理數據并從中學習—連續身份驗證解決方案應該能夠分析所收集的信息并為特定用戶建立行為配置文件。

· 管理訪問-基于構建的行為配置文件，IAM解決方案應該能夠將合法用戶與可能的入侵者區分開，并授予或拒絕對關鍵數據的訪問。

連續身份驗證解決方案不斷監視和分析特定用戶與系統交互的方式，以計算該用戶成為其聲稱的身份的概率。該解決方案用于構建質量用戶行為配置文件的數據可以分為三類：

· 生理數據-用戶手臂的大小，他們用右手/左手按下鍵盤上的鍵的力等。

· 認知數據-握住手機的方式，在鍵盤上打字的速度，手眼協調性等。

· 上下文數據-用戶的位置，當前時區等。

行為生物識別技術最常見的例子是擊鍵動態：您在鍵盤上鍵入的速度有多快，找到正確的鍵需要花費多長時間，按下鍵的力度等等。在智能手機上，這樣的解決方案可以分析您握住手機或點擊屏幕的方式。

現在，讓我們談談連續身份驗證可以提高公司安全性的方法。

　　連續身份驗證的三大好處

實施連續身份驗證可以為您帶來很多好處，并可以幫助您大大提高公司的網絡安全性。這是這項技術的主要優點：

· 正在進行的用戶身份驗證

· 快速檢測會話中的用戶更改

· 不間斷的工作流程

　　讓我們仔細看看這三個好處

正在進行的用戶身份驗證。連續身份驗證的主要思想是將用戶身份驗證變成一個持續不斷的過程。標準身份驗證工具只有兩個選項：授予用戶對系統的訪問權限或拒絕它。另一方面，連續身份驗證計算當前用戶是其登錄帳戶的實際所有者的概率。

理想情況下，如果概率達到一定水平，例如50%，則應初始化一個附加的驗證程序。如果概率水平進一步降低，則應完全終止會話。

快速檢測會話中的用戶更改。 總是有機會讓其他人擁有您的手機，平板電腦，筆記本電腦甚至臺式機。員工可以借用同事的計算機來訪問他們不應該訪問的數據或應用程序。小孩可能開始玩父母的智能手機，不小心啟動了關鍵應用程序，甚至更改甚至刪除了重要數據。連續身份驗證可以幫助您及時檢測到用戶的可能更改，因此，可以對其進行足夠快速的響應以減輕可能的風險。

不間斷的工作流程。 阻礙連續認證的主要障礙之一是需要限制可能的工作流中斷次數。人們討厭在工作過程中不斷被要求重新輸入密碼，回答一個秘密問題或提供其他驗證數據。但是由于使用了機器學習，連續身份驗證現在可以在后臺運行，而不會打擾用戶。

但是，這些好處是否足以使連續身份驗證取代諸如兩因素身份驗證或輔助身份驗證之類的安全黃金標準?這項網絡安全創新仍需應對的主要挑戰是什么?

　　連續認證與MFA

的確，您可以通過連續的身份和訪問管理顯著提高安全性。但是，絕不能將此技術視為MFA，單點登錄，一次性密碼和輔助身份驗證之類的工具的替代品。如果有的話，這些工具應一起使用，以彌補彼此的缺點。

您可能知道，MFA基于三個因素：

· 知識

· 擁有

· 繼承

網絡罪犯已經發明了許多工具和技術來竊取這些數據，從而繞過MFA。因此，從理論上講，入侵者總是有可能以合法用戶身份進入公司網絡的受保護邊界。

另一方面，行為生物特征不能被攻擊者復制和重復使用，因為它可能發生在密碼，一次性代碼甚至是視網膜掃描中。因此，使用連續身份驗證，您可以為公司網絡增加一層保護。一旦攻擊者的行為開始偏離用戶的行為模式，就可以檢測到可能的入侵。

同時，連續認證是一項正在發展的技術，有很多問題需要解決。 為每個網絡用戶建立質量基準行為配置文件并減少誤報數量是該技術在不久的將來需要解決的主要挑戰。

　　結論

連續身份驗證是一種有前途的技術，可以彌補MFA留下的安全漏洞。使用此技術，身份驗證不再是在會話開始時進行的一次性身份驗證過程。現在，這是一個持續的過程，其中在整個會話過程中不斷檢查和評估用戶的身份。

持續身份驗證雖然在緩解網絡釣魚攻擊和解決共享密碼和借用設備問題方面具有巨大潛力，但不能替代其他IAM工具。這些工具都追求不同的目標，理想情況下，應將它們一起使用。想了解更多網絡安全的信息，請繼續關注中培偉業。