安全性与身份管理：超越传统的密码

关键要点

组织的安全培训不能完全依赖于员工不犯错，安全策略需要考虑人为因素。身份和访问管理IAM变得越来越重要，确保只有合适的人士能够访问敏感数据。密码管理的趋势正在转向无密码认证和使用通行密钥。零信任架构提供了一种更加安全的身份管理方式，但仍被认为过度炒作。不仅是人类用户，非人类身份也需要管理，尤其是在API和物联网环境中。随着合规性要求的日益严格，组织必须展现其在身份认证和访问控制方面的努力。

在当今网络安全的环境中，Portnox的首席执行官Denny LeCompte指出，无论多少安全培训，如果你的计划仅仅依赖于人们的不犯错，那么这样的计划注定会失败。毕竟，人是人。LeCompte对此深有体会，因为在进入网络安全领域之前，他是一位认知心理学教授。

“我们终究不完美，”他表示。

对于安全公司而言，关键在于设计出产品，让人们不必做到完美。例如，LeCompte提到，当发生安全漏洞时，首席安全官CSO和首席信息安全官CISO首先考虑的就是员工的密码是否被泄露。Portnox Cloud的“应用条件访问”就获得了2024年SC大奖的最佳认证技术提名。

在员工可以从办公室或远程地点访问企业网络的时代，身份与访问管理IAM越来越重要，它确保合适的人拥有必要的权限，以访问敏感系统。

超越密码的管理

近期IAM领域的一个趋势是消除密码无密码认证，并引入通行密钥作为验证用户身份的方法。通行密钥利用生物识别技术如指纹或面部识别或设备密码来验证用户身份。

尽管多因素认证MFA比单独使用密码更为安全，但网络犯罪分子也在不断学习如何通过技术手段或社交工程来欺骗或绕过MFA。LeCompte补充道，通行密钥有助于解决这一问题，因为它能够识别用户的设备。

不过，依赖设备进行验证也有一个缺点，即员工可能会在例如姐姐的电脑上登录。LeCompte解释道：“信任我，你的安全团队一定不想让你这么做，因为他们不知道你姐姐是谁。”

通行密钥是一种更迅速、更便捷的用户验证方式，因为它的证书在设备上设置后就会存在，这在网络安全领域中仍属少见。

“大多数安全解决方案给你的生活增加了很多阻力，我们认为这是个问题，因为如果让安全变得困难，人们就会寻找各种方式绕过这些障碍。”LeCompte表示。

解决这些绕过措施的有效方法之一是零信任架构。顾名思义，零信任并不默认用户身份的可信度，而是不断要求提供证明。LeCompte表示，Portnox对安全领导者的调查显示，他们认为零信任被过度宣传，但实际上成果并不理想。

“他们仍然渴望这一点，但又认为现状并未达到，”他说。“这仍然是一个理想目标。”

https://一元机场.com

非人类用户的身份管理

除了人类用户，非人类身份NIH的管理同样重要，例如API密钥、认证令牌、物联网设备和秘密。

在组织逐步云化并利用软件即服务SaaS工具及持续集成/持续交付CI/CD的过程中，这些环境中的秘密可能会使组织面临风险。Aembit的首席营销官Apurva Dav表示，其公司的工作负载身份与访问管理的无密钥技术，作为两项类别的提名者，消除了长期存在的密钥，从而减少了攻击窗口。Aembit的工作负载身份与访问管理WIAM为这些非人类身份提供了集中身份控制。

合规性问题

随着来自各国政府尤其是欧洲的要求愈加严格，合规性问题也是组织需要注意的关键领域，必须展示他们在身份验证和访问控制方面的尽职调查。从网络安全保险的角度看，随着越来越多的组织被黑客攻击，保险公司会提高收费标准，并深入探查组织的安全状况。

“如果你曾经经历过一次