对于身份验证系统应如何发挥作用以提供本地和国际不同部门之间的信任和互操作性,业内人士存在一些不同的看法。同时,这些解决方案应确保适当的隐私级别。需要全面的安全工具和措施来应对威胁,例如身份验证生态系统中某些特权参与者滥用权力。问题的国际范围目前的身份管理方法有许多弱点,成为网络犯罪分子的目标。此外,这些孤立的系统没有整合或重叠,这阻碍了执法机构在国际层面进行协调。在这一点上,身份验证方法正在发生变化。安全专业人员提出新原则、开发辅助技术并指定新协议来测试这些服务。现代认证服务的实施与各行业各部门之间的互动程度密切相关。已经在企业和国家层面创建了高端解决方案,但其中大多数都忽略了互操作性的需求。一些行业专家正在积极讨论这些问题,试图找到相关的解决方案。下一代身份验证系统可以处理相关领域的安全问题,比如通过人工智能算法进行身份识别,但新的风险也在不断涌现。商业和数字服务正变得越来越相互关联。数字交易需要不同系统之间足够的信任和机密性,这只能通过统一的身份解决方案来实现。换句话说,全球的组织需要创建一个统一的数字身份模型来降低安全风险。安全认证的风险下一代认证系统的发展将使社会在关键领域越来越依赖这项技术。因此,针对这种环境的网络攻击将继续升级。恶意行为者将试图发现和利用设备和识别机制中的漏洞来获取对敏感数据的访问权限。也就是说,有必要了解在这种情况下面临的最大威胁的不同方面以及破坏此类系统的动机。内部威胁。动机:服务中断或利润。伪装成受信任个人的入侵者可以利用通过绕过物理安全获得的访问权限。不道德的竞争。动机:获得竞争优势。网络罪犯可以利用内部人员和其他第三方进行攻击。敌对国家的袭击。动机:政治和经济利益。这种类型包括间谍活动、帐户接管、身份验证系统黑客攻击和监视。有组织犯罪。动机:利润。这些不正当的措施和技术包括身份盗窃、帐户接管、数据滥用、身份验证系统妥协、中间人(MITM)攻击和文件伪造。黑客行动主义。动机:损害公司目标,造成声誉受损。帐户接管和模拟,以及身份验证和授权。下面概述了当前身份验证系统的主要安全风险。隐私:犯罪分子可能可以获得大量个人数据,包括生物识别、行为和地理位置详细信息。完整性:损害这些解决方案的完整性可能会降低生态系统参与者之间的信任。可用性:网络攻击者可能会试图破坏身份验证基础设施,破坏参与者严重依赖的服务,从而造成级联效应。在构建安全的数字身份环境并确保这些服务的可用性和完整性时,信息安全专业人员将面临新的挑战。违规可能会产生更严重的系统性后果,破坏参与者之间支持网络空间高效运作的信任。安全解决方案身份验证的未来将由分布式异构基础设施提供支持。服务的信任、透明度和可靠性将在全球范围内发挥基础性作用。在此模型中降低安全风险是一项复杂的任务,需要采取集体方法。除非以协调的方式解决所有安全问题,否则这项技术无法发挥其全部潜力。信息安全专家需要参与开发用于数字身份验证的防篡改技术。这里有一些可能的方法来应对您在不久的将来可能面临的挑战。(1)保证、信任和透明:认证基础设施组件的弹性是通过参与者之间所有交互的透明性实现的。社区将需要了解对此类系统的信任程度并准确衡量信任差距。这将有助于实施防御措施以保持完整性。尽管在区域和国家层面为自主身份验证服务制定方法和安全标准方面取得了重大进展,但分布式身份框架仍然没有统一的标准来确保来自不同网络空间部门的方法的兼容性并建立完善的信任。这些标准需要在国际上制定,借鉴以往的经验(开放源代码和FIDO或DID等联盟),并提供新的方法。(2)共享治理原则:共同努力在国际范围内对身份验证系统进行标准化和认证,将为所有参与者提供网络安全的基线水平。例如,已经为支付交易安全(PCIDSS)和航空业(SARP和ICAO)制定了此类标准。这些基本原则将规定数字身份认证过程的技术要求和性能标准,同时也应对隐私挑战。最终用户需要控制他们的个人数据并了解其处理方式和传输对象。为商业和政治开发额外的激励模型将鼓励所有相关实体支持身份验证服务的互操作性和创新,同时深入了解谁负责保护分布式环境的不同部分。(3)将参与者聚集在一起:将不同的行业参与者聚集在一起将有助于探索跨部门的互操作性,为制定管理原则以确保适当的安全性创造动力。通过这种方式,可以选择身份验证领域的主要实体(政府、私营部门、社会)和主要参与者(银行、电信服务提供商、技术公司)。这将为跨组织部门的合作开辟新的机会,不仅可以识别建立全球身份验证基础设施的主要障碍,还可以规避这些障碍。持续的冠状病毒爆发等经济、政治甚至危机因素都凸显了协调行动的必要性,自然而然地导致了下一代身份验证服务的出现。(4)协作操作安全(OPSEC):信息安全团队势必面临严峻挑战,以保护未来的分布式、异构和固有复杂的身份验证系统免受黑客及其恶意代码的侵害。这些应该是数字身份空间中所有安全专业人员的新方法和协调行动。随着其他技术的发展和下一代身份验证系统的部署,专家们将需要考虑潜在的未来威胁。待办事项清单上的一件事是确保适当级别的分布式组件量子加密。虽然某些检测、跟踪和消除欺诈活动的方法可用于隔离的身份验证系统,但尚未为此类端到端解决方案创建它们。需要系统的风险和威胁建模来考虑不同行业参与者的特权。一个共同的事件报告框架将是评估当前风险和优化事件响应率的关键。信息安全区层面的协调工作以及身份验证和数据共享国际安全标准的制定将确保生态系统所有成员的安全水平,并释放下一代数字身份技术的真正潜力。
