什麼是認證?

驗證是驗證身分的過程。它需要使用密碼、硬體權杖或許多其他方法。

學習目標

閱讀本文後,您將能夠:

  • 定義驗證
  • 描述何時使用驗證及其運作原理
  • 識別不同類型的驗證

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是認證?

什麼是驗證?- 範例圖:使用者輸入密碼進行存取,第二個使用者輸入錯誤的密碼

在網路安全性中,驗證是驗證某人或某物身分的過程。驗證通常透過檢查密碼、硬體權杖或其他一些證明身分的資訊來進行。就像航空公司工作人員在登機時檢查護照或身分證以驗證一個人的身分一樣,電腦系統需要確保一個人真的是他們所說的那個人。在機場,此驗證過程確保只有持有機票的人才能登機;對於數位系統,這可確保只有正確的人員檢視和使用資料。

驗證不僅適用於驗證人類使用者。電腦系統還需要檢查伺服器、軟體、API 和其他電腦,以確保它們是所「聲稱」的身分。

如何在安全性環境中使用驗證?

驗證是身分識別與存取管理 (IAM) 的重要組成部分,它決定了誰可以查看資料以及他們可以對資料執行哪些操作。但它也適用於許多其他安全性領域,包括:

  • TLS:如今,幾乎所有主要網站都支援 Transport Layer Security (TLS)。除其他功能外,TLS 還驗證網頁伺服器的身分,以確保使用者裝置不會載入虛假網站。
  • API:大多數現代 Web 應用程式都依賴於 API 才能執行。適當保護的 API 對 API 整合的兩個端點進行驗證,以防止針對這些 API 的攻擊。
  • 電子郵件:電子郵件使用稱為網域金鑰識別郵件 (DKIM) 的過程進行驗證。DKIM 有助於確保電子郵件訊息來自允許使用電子郵件來源網域(例如@cloudflare.com)的伺服器。未經驗證的電子郵件訊息最終可能會進入垃圾郵件資料夾。

驗證如何運作?

由於電腦無法像人類那樣「識別」一個人或另一台電腦,因此驗證過程依賴於電腦可以測量的客觀準則。一種客觀準則涉及檢查相關人員或電腦已知具有的某些特質。另一個涉及使用一種稱為公開金鑰加密的技術來證明身分。

透過驗證因素驗證身分

這種類型的驗證涉及根據相應的數位記錄檢查身分的可測量特徵。驗證系統將檢查的特徵稱為「因素」。目前廣泛使用的三個常見驗證因素包括:

1. 這個人知道的內容

此驗證因素檢查只有真人才能擁有的秘密知識。此因素的典型範例為使用者名稱和密碼組合。安全性問題和 PIN 碼也屬於此類。

2. 這個人擁有的物品

此驗證因素檢查此人是否擁有向其簽發或已知擁有的實際物品。許多人每天都使用此驗證因素:他們用金屬鑰匙來打開所居住的房子或公寓。因此,擁有這把鑰匙證明他們有權進入該處所,並使他們能夠這樣做。

在數位系統中,這種驗證因素不依賴於老式的鎖和鑰匙。但它透過檢查實體權杖來使用類似的原理。有兩種類型的權杖:軟體權杖和軟體權杖。

軟體權杖:軟體權杖透過向裝置(如智慧型手機)傳送代碼並要求使用者輸入該代碼來驗證擁有該裝置。該代碼可以作為簡訊傳送,也可以透過產生隨機代碼的應用程式傳送。

硬體權杖:硬體權杖是透過藍牙、USB 連接埠或其他連接埠連接到電腦或行動裝置的小型實際物體。使用者必須將此權杖插入裝置以驗證其身分。

一些安全專家認為硬體權杖比軟體權杖更安全。攻擊者可以在代碼進入使用者手機的途中遠端攔截,並使用該代碼冒充使用者。但是竊取硬體權杖要困難得多:攻擊者需要實際接近權杖才能做到。

3. 這個人是誰

這個驗證因素評估一個人的內在特質。在現實生活中,人們總是這樣做——例如,兩個朋友可能會透過他們的外表或說話方式認出對方。電腦可以透過掃描一個人的面部或視網膜、驗證他們的指紋、測量他們的聲音頻率或查看血液檢查結果(儘管最後一個更罕見)來做同樣的事情。

其他驗證因素

除上面所列三個主要因素之外,安全性產業的一些成員還提出或使用了其他驗證因素。其中兩個其他因素是位置(使用者所在的位置)和時間(他們存取系統的時間)。

透過數位憑證驗證身分

除了使用上述驗證因素外,還可以向已知和受信任的實體頒發數位憑證。數位憑證是一個小型數位檔案,其中包含用於驗證身分的資訊,就像身分證包含用於驗證現實生活中個人身分的資訊一樣。

數位憑證從頒發它們的機構接收數位簽名以證明其真實性,類似於護照、身分證或紙幣可能帶有浮水印以證明其不是偽造的。

數位憑證還包含一串稱為公開金鑰的隨機值。公開金鑰對應於單獨儲存的私密金鑰。擁有憑證的實體可以使用這些金鑰對資料進行數位簽名,以證明它擁有私密金鑰,且因此是真實的。

目前,數位憑證不常用於驗證個人的身分。但大多數人每天都依賴於數位憑證,卻沒有意識到這一點。

每當有人載入使用 HTTPSHTTP 的安全版本)的網站時,TLS 通訊協定都會使用該網站的數位憑證(稱為 SSL 憑證或 TLS 憑證)對網站進行驗證。對電子郵件寄件者進行驗證的 DKIM,是使用此方法而不是檢查驗證因素的技術的另一個範例。DKIM 協助電子郵件提供者分類和封鎖垃圾郵件。

什麼是多重要素驗證 (MFA)?

多重要素驗證 (MFA) 是透過檢查兩個或多個驗證因素(而不僅僅是一個)來驗證人員身分的過程。MFA 是比單一要素驗證更強的驗證類型,因為偽造其中兩個因素比偽造其中一個因素要困難得多。

攻擊者可能能夠竊取 Bob 的使用者名稱和密碼(可能透過網路釣魚攻擊)。但是,如果 Bob 還必須掃描他的臉,那麼攻擊者將無法偽造 Bob 的身分,因為他們的臉看起來不像 Bob 的臉。或者,如果 Bob 除了輸入密碼外還必須將硬體權杖插入他的電腦,則攻擊者也需要竊取此權杖才能冒充 Bob 的身分。雖然有可能,但這種盜竊要困難得多,從而降低帳戶盜用的可能性。

對於真正的 MFA,必須檢查單獨的因素。評估一個因素的多個執行個體不是 MFA。例如,如果應用程式讓使用者輸入密碼並回答安全性問題進行驗證,這仍然是單一要素驗證。密碼輸入和安全性問題都評估「你知道的內容」因素。

MFA 提供了更高的安全性,因而是 Zero Trust 安全性的核心原則,Zero Trust 安全性是一種安全性模型,要求對存取私人網路的每個使用者和每台裝置進行驗證。

什麼是雙重驗證 (2FA)?

雙重驗證 (2FA)是 MFA 中恰好使用兩個因素的情況。最常見的雙重驗證類型是「你知道的內容」+「你擁有的物品」。例如,除了輸入密碼外,許多人都需要提供傳送至其手機的代碼才能存取他們的銀行賬戶(這個因素的「軟體權杖」版本的範例)。

如今,許多企業都在使用 2FA 來減少網路釣魚攻擊的影響。例如,Google 透過使用包含硬體權杖驗證的 2FA 來消除帳戶盜用攻擊

驗證和授權之間有何區別?

驗證涉及驗證身分,而授權涉及權限,或者某人在獲得對受保護系統或資源的存取權限后被允許執行的操作。

假設 Bob 在他公司的行銷部門工作。Bob 輸入他的密碼,掃描他的臉,然後插入他的硬體權杖以登入他的公司網路。此時,驗證已完成。

登入后,Bob 無法存取公司擁有的每個資料檔案。授權決定了 Bob 能夠查看和不能查看的內容。作為行銷人員,他有權查看一些資料,例如公司將向其傳送行銷訊息的潛在客戶清單,但不能查看其他資料,例如公司的主要程式碼庫或員工薪資清單。

請參閱我們關於驗證與授權的文章以瞭解更多資訊。

什麼是單一登入 (SSO)?

現代企業員工需要對許多不同雲端型應用程式進行驗證。這使得這些員工不得不建立多組驗證因素(每個應用程式一組),這會產生潛在的安全問題:

  • 攻擊者可能能夠入侵安全性較弱的一個應用程式,然後橫向移動,危害使用者的其他應用程式帳戶,並傳播到組織的其餘部分。
  • 要求使用者登入多個應用程式會促使他們不再遵循良好的安全做法。使用者可能會開始為每個應用程式使用弱密碼或相同的密碼,因為記住多個隨機 16 位密碼可能具有挑戰性。

單一登入 (SSO) 是一項服務,讓使用者僅需驗證一次。使用者登入到 SSO 服務,然後該服務根據需要向每個應用程式傳送數位驗證訊息,將此驗證傳遞給每個應用程式。

SSO 還為 IT 團隊提供了實施安全性原則的單一點。並非所有應用程式都支援 2FA,但如果 SSO 服務支援它,那麼就可以使用 2FA。IT 團隊還可以透過 SSO 服務強制實施密碼長度和複雜性要求,從而減輕使用者記住多個密碼的負擔。

什麼是安全性聲明標記語言 (SAML)?

SSO 驗證訊息使用稱為安全性聲明標記語言 (SAML) 的通訊協定。SAML 是一種標準化方法,用於告訴外部應用程式,使用者就是他們所聲稱的身分。

對使用者進行驗證的訊息稱為 SAML「宣告」。應用程式收到針對使用者的 SAML 宣告後,無需自行對使用者進行驗證,因為它知道 SSO 服務已經執行此操作。

SAML 與 OpenID Connect (OIDC)

OpenID Connect (OIDC) 是另一種驗證通訊協定,越來越多的 SSO 提供者使用該協定。OIDC 的功能與 SAML 類似,但它對資料進行格式設定的方式不同,還有一些其他區別;SAML 透過 XML 對資料進行格式設定,而 OIDC 使用 JSON。

Cloudflare 的 Zero Trust 平台如何幫助進行有效的驗證?

Cloudflare 提供了一個 Zero Trust 平台,可與所有主要的 SSO 提供者合作。使用者對其 SSO 服務進行驗證後,Cloudflare 會跨雲端和內部部署應用程式實施一致的存取控制。要瞭解有關此平台(包括瀏覽器隔離安全 Web 閘道DNS 篩選和其他 Zero Trust 功能)的詳細資訊,請參閱產品頁面