2018 年 9 月 25 日，乌克兰独立记者杜宾斯基突然公开了乌克兰武装部队的第聂伯罗军事自动化控制系统的账号和密码。谁都没有想到，一个国家国防系统服务器网络的账号竟然是 admin，密码是 123456！这意味着，只要有电脑、能上网，任何人都能搜索该系统的内容，探知乌军的机密文件。

我们在震惊一个国家军方系统的账号和密码如此简单的同时，是否也应该稍微反思下自己一系列由姓名拼音、手机号等由字母或数字组成的简单密码呢？单一的账号/密码真的能在互联网技术层出不穷的今天保证我们的身份信息安全吗？

身份认证是连接世界的透明度和信任的关键点，目的是建立系统和网络的访问者的信任关系。 从春秋战国时期商鞅推行的“照身贴”，到隋唐时期作为官员权利凭证的“鱼符”“龟符”，再到今天由初代身份证升级到的具有 IC 卡芯片的二代身份证，甚至是在 Web 3.0 时代数字化身份制度带来的 「人」的在线，当数以亿计的人们与不计其数的相互关联的机器和设备相连时，他们的所有身份、联系、交易、数据完整性和隐私都必须得到最佳的管理和保护。如果没有身份认证的合法性，没有数据的保护和完整性，就没有可持续的业务。

数字革命方兴未艾，开展网络身份管理、确保网络主体身份可信、行为可追溯等数字化身份管理已成为网络空间治理的重要内容。我国《网络安全法》明确指出，“国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认”。

01 古代的“身份证”：奸人哪里逃

身份认证的历史，最早要追溯到先秦时期。公元前 359 年，秦孝公为了富国强兵，推行商鞅变法，其中有一条很重要的内容就是要求“编录户籍，什伍连坐，鼓励告奸，无户籍凭证者不得上路，不得留宿客舍”。户籍凭证，就是“照身帖”。为了确定身份，“照身帖”上刻有姓名、住所、生辰、籍贯、身高、样貌等信息，留宿、出关时人们必须出示“照身帖”才能被放行；否则，会被认为是外来人员或者在逃犯。如果有房东收留了“无证”人员，甚至会被车裂。

巧合的是，商鞅成也变法，死也变法。在秦孝公死后，商鞅被秦惠文王迫害，仓皇出逃。到了晚上，却因为没有“照身帖”，无法在旅店住宿。

“客官，请出具照身帖一观。”黑长衫边说边打着哈欠。

商鞅笑了：“照身帖？甚物事？”

黑长衫骤然来神，瞪大眼睛侃侃起来：“嘿嘿嘿，看模样你倒像个官人，如何连照身帖都不晓得？听好了，一方竹板，粘一方皮纸，画着你的头像，写着你的职事，盖着官府方方的大印。明白了？秦国新法，没有照身帖，不能住店！”

商鞅恍然，他从来没有过私事独行，哪里准备得照身帖？不禁笑道：“忒严苛了，但住一晚，天亮启程，又有何妨？”

“严苛？”黑长衫冷笑，“你是个山东士子，懂甚来？我大秦国，道不拾遗夜不闭户，凭甚来？奸人坏人没处躲藏！不严苛，国能治好么？亏你还是个士子，先到官府办好照身帖，再出来游学。”

——《大秦帝国》

“照身帖”，就是最早的身份认证。

到了隋唐时期，身份认证由“鱼符”代替，其主要用途是证明官员的身份，分为左右两半，一半在官员手里，一半由朝廷存放。并刻有凹凸的“同”字，在朝见皇帝、会见同僚、外出办事时，都需要先亮“鱼符”，如果“同”字准确对上，就验明了正身。左右符数量的多少，根据使用者的人数和实际用途确定，不一定完全一致。“符合”和“合同”正是由此而来。

除了上述以拥有的东西来证明身份的认证方式以外，密码的运用同样反映出古人高超的智慧和绝妙想象力，北宋时期就出现了真正意义上用于军事的密码。

据《武经总要》记载，曾公亮创建了一个编制军事密码的方法，他将各种情报内容（比如“被贼围”“将士叛”等）归为 40 项，编成 40 条短语，分别编码。传递军事情报时，后方司令部与前线部队将领需要约定一首 40 字（无重复）的五言律诗作为载体。

在一次战役中，后方司令部要前方部队固守城池，就曾经用《题破山寺后禅院》这首诗传递了这一情报。

“清晨入古寺，初日照高林。曲径通幽处，禅房花木深。山光悦鸟性，潭影空人心。万籁此都寂，但余钟磬音。”

按照设计的四十种军事命令，第十八种是请固守。发送情报的人员就在纸上写下这首诗，在第十八个字“花”上做了标记，然后把这封信送到了前方。前线的将领收到情报后，发现这首诗中第十八个字“花”是被做了标记的，便知道司令部是要求自己执行第十八条命令，固守城池。

这样，整个加密解密过程就完成了，用公开的信息包含了隐秘的信息来传递军情。

古时，人们以物品、密码作为身份证明，由于经济、文化、制度条件的不同，身份识别和认证方式各具特色。随着计算机信息技术的兴起，人们的生活、工作逐渐依赖于互联网。从按手印、支票签名，再到现在的安全密码认证、数字签名、生物识别等，我们见证了数字身份的兴起和发展。

02 现代的身份认证：第三方登录方式的崛起

互联网时代，身份认证是普通用户在访问各类应用的必经过程，而确保用户身份安全则是互联网业务开展的基石。早期，从 What you know （根据你所知道的信息来证明身份）的角度出发，人们采用创建账号/密码的方式访问网络以维护信息安全。

早期的企业数字平台在很大程度上是独立的，比如化学、物理实验室、财务管理等访问控制系统，导致员工需要为每个平台单独创建账号和密码。平台一多，账号和密码就会跟着增多，容易造成账号和密码的遗忘。

除了上述问题，从安全性出发，使用账号/密码登录也是一种极不安全的身份认证方式。由于密码是静态的数据，在验证过程中需要在计算机内存和网络中传输，而每次验证都是使用相同的验证信息，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。

基于密码的身份验证是黑客最容易攻破的身份验证类型，为了解决上述问题，一种可以减少账号/密码数量，确保用户账号安全，方便用户登录的身份认证方式——第三方登录诞生。

2005 年前后，淘宝、QQ、优酷等电子商务与社交平台兴起，以社交平台为基础的第三方登录方式乘势而上，如雨后春笋般大量涌现。2011 年，以 QQ 为首的第三方社交账号登录开始兴起。

第三方登录方式提高了用户操作的便捷性，用户只需要在第一次登录时通过第三方平台授权登录许可给应用，后续就能像注册用户一样使用应用内的所有服务，减少了记忆负担。简言之，一个社交身份，全网通用。

企业也可以通过支持社交媒体登录的软件或平台，获得基于用户允许的社交媒体数据（如年龄，性别，朋友，工作经历等），并利用这些数据，完善自身产品功能，为用户提供个性化的服务和体验。电商平台可以集成支付宝或者微信登录的基础能力和支付能力，使用户通过微信和支付宝账号直接登录，方便消费者线上支付。

2015 年，随着手机号实名认证政策的推出，以手机号为主的账号登录体系开始代替社交账号，成为登录的主流方式。但是仅仅通过手机号/验证码以及社交账号授权的登录方式，依旧不能确保账号安全。

2018 年 8 月 14 日，一个新型盗刷银行卡犯罪团伙落网，深圳龙岗警方抓获 10 名嫌疑人，查缴伪基站等电子设备，涉案金额逾百万元。据专家分析，犯罪分子通过“GSM 劫持+短信嗅探”技术截获受害人短信验证码，从而完成盗刷等操作。

可见，账号安全缺失所引发的数据泄露会造成严重的后果和不可估量的损失。

对个人来说， 个人隐私的数据泄漏不仅会造成身份安全问题，还会给生活增加许多麻烦。别有用心的商家会通过个人隐私，推算用户的出生年代、生活经历、家庭财务、消费倾向等信息。这些信息都可以让商家针对性地发起电话轰炸销售。除此之外，隐私数据的泄漏会助长诈骗的猖獗气焰。诈骗分子通过各种渠道获得隐私数据，然后和目标建立信任关系，最终诈骗成功。

对企业来说， 数据泄露的代价越发严重。一方面，企业会受到监管机构处罚，比如英国航空因数据泄露，被英国信息专员办公室 (ICO) 罚款 2.04 亿欧元。另一方面，一旦发生数据泄露，不仅会让企业失去客户和用户的信任，而且影响公司长期发展。企业发现数据泄露的平均时间是 197 天，控制住数据泄露还需要平均 69 天时间。发现和控制的时间越久，产生的损失也越高。

从各个行业来看， 不论在国内还是国外，身份在安全领域中一直备受关注。随着企业内外部人员、合作伙伴和终端用户的安全威胁持续增长，企业需要拥有一个安全可靠的身份认证管理机制。除了提升企业整体安全系数的需求，如何实现 IT 运维效率的提升、大幅度降低运维成本也成为了各行各业急待解决的难题。

传统单一的身份认证方式已无法满足用户身份认证过程中对安全性、准确性、灵活性等方面的更高要求。因此，通过实施多因素身份验证（MFA）为帐户添加额外的安全层，成为防止数据泄露的最佳安全实践方法。

03 互联网安全守护神：多因素身份验证

多因素身份验证（下文统称为 MFA）是一种非常简单的安全实践方法，它能够在用户名称和密码之外再增加一层保护。启用多因素身份验证后，用户进行操作时，除了需要提供用户名和密码外（第一次身份验证），还需要进行第二次身份验证，多因素身份验证结合起来将为您的账号和资源提供更高的安全保护。

MFA 建立了一个多层次的防御，使没有被授权的人更难访问计算机系统或网络。MFA 由 2 个或 3 个独立的凭证进行验证，这些凭证主要包含以下三个要素：

所知道的内容：用户当前已经记忆的内容，最常见的如用户名密码等；
所拥有的物品：用户拥有的身份认证证明，最常见的方式有 ID 卡、U 盾、磁卡等；
所具备的特征：用户自身生物唯一特征，如用户的指纹、虹膜等。

在微软披露的最新复杂钓鱼活动中，攻击者运用了新技术，将自己的设备加入到企业网络中，以执行进一步的传播活动。一旦组织没有激活多因素身份验证，攻击者只要窃取凭证，就能通过自带设备（BYOD）注册自己的设备，并使用已窃取的组织凭证，发送组织内钓鱼信件扩展立足点，甚至还会发送外网邮件。

在这个案例中，设备注册进一步成为网络钓鱼的攻击对象。多因素身份验证可以有效防止攻击者在窃取凭证后，访问组织设备或网络，但未激活多因素验证的组织，攻击者则会在组织网络中畅通无阻。

因此，使用 MFA 成为企业防止数据泄露的基本手段，降低发生安全漏洞的风险，并确保数据安全。在过去，要求静态用户名和密码才能访问账户，似乎足以保证安全性。但是，弱密码或被盗密码作为唯一身份验证形式时，可用于执行欺诈攻击，造成数据泄露。在 2020 年 RSA 安全会议上，微软工程师提到，微软每月追踪到的 99.9% 受感染账户，都没有启用多因素身份验证。

通过对数据安全监管等技术的研究， Authing 提升了针对违法数据流动等安全隐患的监测发现与处理能力，采用全局 MFA 提升整体的安全性。Authing 多因素认证赋能 Authing 应用，即刻提升应用认证与访问安全等级。 Authing 可提供包括手机令牌、短信/邮箱验证码、兼容第三方身份验证器、生物识别、图形锁、小程序认证等多种认证方式，提高企业身份安全性。

04 落地实践：Authing 多因素认证

随着移动办公、远程办公的普及，制造业都需要更现代化的 MFA 来管理更为复杂的访问请求。在多因素身份验证提供多层保护的情况下，Authing 自适应多因素身份验证会评估企业用户在请求访问时呈现的风险，查看用户设备和位置等详细信息以了解上下文。让企业间的协作更高效，实现安全高效办公。

Authing 多因素认证核心功能

Authing 遵循 OAuth 2.0、OIDC、SAML、LDAP 等行业标准协议，提供多种认证方式，帮助提升企业业务安全性
认证流程自定义，一键开启，操作简单；
支持设备环境数据上报，多维度分析安全级别；
支持配置策略，实现环境风险自适应；
同时适用于应用内权限控制场景；
默认集成于通用登录组件（Guard）；
用户数据管理、行为日志查询；
提供 SDK 与开放接口，助力开发者快速调用相关能力，并构建自定义的用户管理页面。

多因素认证方式

Authing 提供多种认证方式，提高企业身份安全性。

1. 手机令牌

通过安全性强的动态 OTP 口令验证，帮助保护账户安全，避免恶意攻击。

2. 短信/邮箱验证码

操作简单
方便快捷
提高登录安全性

3. 兼容第三方身份验证器

兼容第三方身份验证器，包括但不限于：

Google Authenticator
Microsoft Authenticator
Authy

4. 生物识别

指纹/人脸作为人体特征的关键因素，在安全认证领域被广泛应用。

5. 图形锁

简单易上手；
可通过更复杂的图形增强安全性。

6. 小程序认证

将 Authing 移动令牌验证器集成至微信小程序，免去安装 APP 的流程，快捷使用移动端验证器。

Authing 多因素认证的优势

1. 开发者友好

提供开箱即用的端 SDK，方便端上开发者快速实现 MFA。

支持多端：Web、iOS、Android；
内置多种多因素认证端组件，如 OTP、验证码、指纹解锁、面部识别、图形锁等；
仅需调用一个方法，就可唤起 MFA 认证组件，拿到认证结果，完成认证流程。

2. 定制数据上报

定制数据上报，参与流程发起决策，覆盖更加复杂精细化场景。
支持在 Authing SDK 初始化时数据上报；
支持定时数据上报；
支持应用运行时主动数据上报；

3. 基于策略

多因素认证的触发条件基于自定义策略，策略系统简单、高效、完备、灵活。
简单：不想配复杂的策略，可以使用默认安全策略或预设好的命中条件；
高效：毫秒级判断策略命中，多因素认证即刻唤起；基于有好的用户界面；
完备：策略基于函数表达式描述，开发者可以获取到足够多的信息（包括但不限于用户信息、设备、网络、位置、行为、自定义上报数据等）来书写策略命中逻辑；
灵活：可同时基于多种方式进行命中判断。

4. 配置简单

基于友好的用户界面，快速配置具体应用的多因素认证。
一键开启/关闭多因素认证；
一键启用默认安全策略，不必理解策略配置，也能使应用安全性得到很大提高；
预设十几种重要且常用的策略命中条件，即选即生效，不是工程师也能使用。

Authing 最新动态

Authing 身份云 是以开发者为中心，基于云原生架构的 IDaaS 产品，是一个高安全、高可用、高生产力的身份基础设施，支持所有企业和开发者便捷灵活接入，满足各类场景化需求。
Authing 现已针对不同场景用户推出了 B2C、B2B、B2E 三种场景化的细分版本，更好地为不同类型的用户提供更加专业的服务。同时也对「费用管理」模块进行了全面升级，提供更加灵活、便捷的用量管理和费用管理体验。
Authing 以身份为中心，为客户构建适应未来的用户管理体系和安全访问控制策略。通过自动化生命周期管理解决方案，可以智能实时地控制用户的不同访问权限。

您可以即刻前往 Authing 官网了解价格详情～

洞悉身份认证 6000 年发展史，我们该警醒并学到什么？相关推荐

走进硬件时代的身份认证(三)：网银U盾安全认证原理解析
编者按:你是不是曾经疑惑,开通网银为什么一定要配发U盾呢?今天这篇推送或许可以回答你这个问题.U盾(USBkey),即银行系统在2003年推出并获得国家专利的客户证书USBkey的俗称,是银行提供的办 ...
声纹识别技术助力远程身份认证
作者简介: 李通旭,清华大学博士后,主要从事说话人识别方向的研究.现于清华大学与得意音通声纹识别联合实验室. 刘乐,得意音通研发部经理,主攻声纹识别及语音识别算法研究.有丰富的模式识别算法研发和工程实 ...
Shiro认证-身份认证加密
目录一.盐加密什么是盐加密? 数据库密码的发展史 1.1pom依赖 1.2web.xml配置 1.3密码工具类测试盐加密新增用户的操作流程: 二.shiro认证步骤 1.通过逆向工程将五张表 ...
动态口令身份认证技术的应用与发展
内容提要:本文概要地论述了动态口令(动态口令)的基本概念.工作原理和基本技术.详细地介绍了动态口令在银行.证券.办公自动化等系统中的应用.重点说明了动态口令地几中新的应用方式和技术.本文对从事信息安全 ...
Shiro01 功能点框图、架构图、身份认证逻辑、身份认证代码实现
基本功能点功能点框图功能点说明 1.Authentication:身份认证/登录,验证用户是不是拥有相应的身份: 2.Authorization:授权,即权限验证,验证某个已认证的用户是否拥有某个 ...
配置用户通过Telnet登录设备的身份认证（AAA本地认证）
背景信息用户通过Telnet登录设备时,设备上必须配置验证方式,否则用户无法成功登录设备.设备支持不认证.密码认证和AAA认证三种用户界面的验证方式,其中AAA认证方式安全性最高. 采用AAA本地认 ...
Delphi实现WebService带身份认证的数据传输
WebService使得不同开发工具开发出来的程序可以在网络连通的环境下相互通信,它最大的特点就是标准化(基于XML的一系列标准)带来的跨平台.跨开发工具的通用性,基于HTTP带来的畅通无阻的能力(跨 ...
生物识别最新进展：动态密码语音无监督身份认证系统通过科技成果鉴定
近日,由中国电子学会主持召开的"基于动态密码语音的无监督身份认证系统"科技成果鉴定会在清华大学举办,AI科技大本营受邀出席. 该成果由清华大学.北京得意音通技术有限责任公司共同完成 ...
labview的用户身份认证系统设计_elasticsearch 集群身份认证与用户鉴权
elasticsearch在默认安装后,没有提供任何安全保护. 在elasticsearch.yml配置了server.host=0.0.0.0导致公网可以访问es集群. 数据安全的基本需求: 1.身 ...
干货 | 清华大学郑方：语音技术用于身份认证的理论与实践
本讲座选自清华大学语音和语言技术中心主任郑方教授近期于清华大数据"技术·前沿"系列讲座上所做的题为<语音技术用于身份认证的理论与实践>的演讲. 以下为演讲的主要内容: ...

洞悉身份认证 6000 年发展史，我们该警醒并学到什么？

01

古代的“身份证”：奸人哪里逃

02

现代的身份认证：第三方登录方式的崛起

03

互联网安全守护神：多因素身份验证

04

落地实践：Authing 多因素认证

Authing 多因素认证核心功能

多因素认证方式

Authing 多因素认证的优势

Authing 最新动态

洞悉身份认证 6000 年发展史，我们该警醒并学到什么？相关推荐

最新文章

热门文章