数字身份如何保护您的软件

触摸ID。用Facebook登录。ATM机。公司目录服务。有什么共同点？数字身份！我们生活在一个日益互联的世界中，我们不断消耗信息。从访问电子邮件，检查银行对账单到在线流式传输音乐，我们一直在寻找能够安全地从本地和云中检索数据的API。数字身份是个人，组织或机器的在线表示，它使我们能够访问日常使用的数据。无论是在工作中还是在家中，这都是我们生活的一部分。这是身份的简要概述，为什么它对信息安全至关重要，为什么您应该更多地了解它。

当时的身份

让我们回到2000年，那时大多数可以访问Internet的人仍在使用拨号。数以百万计的人第一次上网，互联网公司在股票市场上有了头个重要时刻。诸如Amazon和eBay之类的一些创新公司能够在新的在线市场中立足。其他人，例如WebVan和Pets.com，也许领先于他们的时代。

在这个时代，每个网站都有单独的数字身份。这要求您跟踪多个用户名和密码，以鼓励重复使用密码。如果仅其中之一被盗用，重用密码会危害所有网站的安全性。

 如果您恰好在拥有坚固网络的公司或机构中工作，则可以期望通过目录服务解决方案（例如Novell Directory Services）登录到计算机，该解决方案使您的公司身份可以访问本地文件和打印服务。区域网络（LAN）。网络边界和密码是保护本地公司数据的主要手段；当您在受信任的网络范围内访问应用程序和数据时，防火墙会将恶意分子拒之门外。但是，您的身份仅存在于您当前所在的空间中-一个网站或公司的有线局域网。 

2001年，由于虚假的收益报告和欺诈行为，安然的会计丑闻成为头条新闻。丑闻表明，安然公司内部控制薄弱，导致其员工不诚实行事。由于这一丑闻和其他丑闻，国会通过了《萨班斯-奥克斯利法案》（Sarbanes-Oxley Act），如果您是一家公开上市的公司，则其中包含的要求使高管对其员工的访问控制承担责任。该法规和其他法规鼓励采用身份和访问管理系统（IAM）来管理用户并分配对所需资源的访问。

现在的身份

90年代时代的需求是只需要访问本地应用程序和数据即可快速更改。在2000年代中期，托管在网络外部的应用程序的使用日益增加。诸如Concur（现为SAP Concur）之类的软件即服务（SaaS）应用程序，用于管理公司差旅和费用，已广受欢迎。在2006年，Amazon Web Services开始提供云计算服务，使您能够在服务器上运行应用程序并按需付费的方式存储数据，而所有信息均位于异地数据中心。如今，从初创企业到企业的公司都将其工作负载迁移到完全在云中运行。

在消费者方面，iPhone于2007年问世，掀开了智能手机和平板电脑的时代。突然之间，您可以通过移动浏览器或设备上可用的许多应用程序立即访问信息。随着员工使用IT无法控制的设备连接到内部网络，这些设备越来越成为企业IT部门的关注点。 

到2009年，社交登录才可用，这使您可以通过自己的社交身份（例如Twitter或Facebook）登录到您的应用和网站。OAuth使这成为可能，OAuth是一种标准，允许您在不共享密码的情况下授权对应用程序的访问。社交登录使您可以将消费者身份托管在您选择的提供者上，从而通过减少对密码的依赖来提高安全性。

SaaS，云计算和移动技术的出现意味着，当数据驻留在公司网络外部时，您的公司现在必须管理员工的访问权限，并且还可能管理公司客户的访问权限。在外围时，不能认为数据是安全的；网络钓鱼，社会工程学，恶意软件和内部威胁的日益普遍，进一步模糊了信任范围。

随着网络边界不再仅仅定义什么是安全的，并且随着越来越多的人接受和采用强身份验证，企业现在开始考虑零信任模型。零信任声明您数据的安全性不能仅依赖于网络的安全性。相反，数据安全性高度依赖于强大的身份验证控制和细粒度的授权-换句话说，我们相信他们是我们认为的人，并且仅具有访问所需的权限。

密码作为唯一的身份验证因素通常是不够的。攻击者越来越容易在几秒钟内破解一个弱密码，或者通过诸如网络钓鱼诈骗之类的聪明方法来获取它。因此，即使在银行和政府机构等高度安全的机构之外，多因素身份验证（MFA）的重要性也有所提高。MFA使某人绕过您的身份验证控制变得更加困难。 

例如，如果您的密码是您的第一要因，而虚拟或物理安全令牌是您的第二要因，那么攻击者将同时需要这两种才能破坏您的身份。通过使用生物特征因素（例如指纹），最近广泛引入了无密码认证，这使得可以完全避免使用密码。 

现在，在受支持的设备（例如智能手机，平板电脑和笔记本电脑）上，强身份验证甚至变得更加容易。MFA和无密码身份验证与“零信任”模型协调工作，可进一步保护您的机密数据，无论其位于何处。结合全面的身份和访问管理系统的兴起，您现在拥有了越来越安全的解决方案，用于管理身份，身份访问权限和需要保护的数据。

身份如何影响您

这些趋势并未减慢-我们可以使用的应用程序和数据的数量呈爆炸式增长，如果没有专用的身份和访问管理系统，则更难以跟踪对这些数据的访问。而且，由于全球大流行，整个公司（例如Twitter，Facebook和Slack）都宣布远程劳动力为新常态，因此零信任和身份身份甚至更为重要。 

如果您正在开发多用户消费者应用程序，则需要考虑从安全性和可用性的角度来看，为他们提供以其社交身份登录的功能是否有意义。好处是，它减少了注册过程中的摩擦，从而确保您将更多好奇的客户转换为全职用户。它还将身份管理和安全性的一些工作分担给资源丰富的大型公司。您还需要评估哪种客户身份和访问管理解决方案（CIAM）适合您，以帮助您管理可能使用您的应用的成千上万的用户的访问权限。Amazon Cognito和Auth0是CIAM领域中的一些解决方案，可帮助解决此问题。 

如果您有身份管理方面的工作，例如管理公司目录，那么迟早将不得不解决如何实现MFA的问题。而且，即使您的身份存储仍在本地，您也需要考虑员工如何访问云。而且，您必须深入研究身份联合，这意味着了解目录服务将如何与您的云提供商集成以及使员工能够完成工作所需的最低权限。

我从这里去哪里

由于身份认同是一个大而复杂的话题，因此，教育资源是您入门的理想之地！您需要熟悉基本知识。了解身份验证和授权非常重要，因为在学习身份和IAM解决方案时，始终会使用这些术语。IDPro是身份专业人员的一个非营利性协会，拥有教育资源，您可以在线访问该教育资源。如果您是开发人员，则还需要观看OAuth上的大师级视频，如果通过受支持的OAuth提供商（例如Google，Facebook或Github）启用社交登录到您的应用，则需要观看这些视频。如果您是IAM管理员或工程师，则需要阅读MFA，单点登录（SSO）和联合身份验证。