什麼是數位身分?

數位身分是電腦儲存外部人員或系統記錄的方式。它與驗證密切相關。

學習目標

閱讀本文後,您將能夠:

  • 在運算環境中定義身分
  • 瞭解驗證身分的三個主要驗證因素
  • 描述身分識別與存取管理 (IAM)

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是數位身分?

在存取管理中,數位身分是記錄的一組可測量特徵,電腦可以透過這些特徵識別外部實體。該實體可以是個人、組織、軟體程式或其他電腦。

數位身分依賴於電腦可識別的屬性。例如,電腦可能因某個人知道密碼或聲音在某些頻率上產生共鳴而識別這個人。一台電腦還可以透過其 IP 位址或媒體存取控制 (MAC) 位址來識別另一台電腦。

Jim 和 Sharon 作為同事,也許能透過視覺認出對方。但是電腦不知道「Jim」是誰或「Sharon」是誰。電腦為 Jim 和 Sharon 儲存了一個單獨的使用者設定檔,其中包括姓名、一組關於他們身分的事實和一組權限。它必須透過一些可衡量的方法來檢查他們是誰,例如他們是否輸入了正確的密碼。(如果 Jim 知道 Sharon 的使用者名稱和密碼,他可能能夠冒充她。)

請注意,字詞「數位身分」也可以指政府頒發的個人身分的電腦化等價物,有時這些被稱為「數位身分證」。但本文重點介紹存取管理系統環境中的數位身分。

誰擁有數位身分?

如今,幾乎每個使用電腦或存取網際網路的人都擁有某種形式的數位身分。這可能是電子郵件地址和密碼組合、他們的網際網路瀏覽歷程記錄、他們的購物歷程記錄和線上商店儲存的信用卡資訊,或者儲存在身分識別與存取管理 (IAM) 系統中的識別特徵。

電腦和運算裝置也具有某種身分形式。網路系統和通訊協定使用幾種不同的方法來識別這些裝置;例如,許多系統使用 IP 位址或 MAC 位址來實現此目的。組織也具有允許外部系統識別它們並與之互動的儲存特徵。甚至 API 端點*也可以說具有數位身分。使用適當保護的 API,端點需要證明它們是誰,才能傳出和接收 API 請求。

*API 是一個軟體程式從另一個軟體程式請求服務的一種方式。API 端點是此類請求的起點或接收點,例如軟體程式或 API 伺服器。

身分與存取控制有何關係?

存取控制定義使用者可以檢視、變更或複製哪些資料。作為一名會計師,Sharon 可以存取她公司的賬簿和工資系統。但作為銷售人員,Jim 只需要存取客戶資料庫和其他幾個系統,不應該存取賬簿或工資系統。他們的僱主使用存取控制來 1) 識別 Sharon 和 Jim,以及 2) 確保 Sharon 可以存取工資系統,而 Jim 不能。

如範例中所示,身分是確定存取權限的一部分。在此範例中,Sharon 和 Jim 的身分也與特定角色相關聯。如果不知道此人是誰以及他們的角色是什麼,就無法正確控制存取。因此,驗證是存取控制的重要組成部分。

什麼是認證?

驗證是驗證身分的過程。存取控制系統會檢查使用者或裝置的一個或多個特徵,以便對其進行驗證。

驗證可以評估三個主要特徵或「因素」:

  1. 知道的內容:這個驗證因素是指使用者知道的內容。例如,輸入密碼或回答安全性問題(例如,「您母親的本姓是什麼?」某些服務(如銀行和信用局)也可能提示其客戶提供其他個人資訊(如其郵寄地址或政府身分證號碼)來驗證其身分。
  2. 擁有的物品:此驗證因素是指使用者擁有的物品。換句話說,它檢查使用者是否擁有指派的實體或數位權杖。例如,系統可能會向使用者的智慧型手機傳送驗證碼以檢查他們是否擁有手機,或者可能會要求使用者將硬體權杖插入其 USB 連接埠。
  3. 固有特質:此驗證因素是指使用者身分;它檢查天然屬於使用者的特質。範例包括視網膜掃描、面部識別和語音識別。

通常,其中幾個因素將一起進行評估,就像在多重要素驗證 (MFA) 中一樣。

驗證與授權

驗證與授權不同,授權與每個人擁有的權限有關。但是,兩者都至少部分依賴於數位身分。一個人是誰通常有助於確定他(她)被允許做什麼。例如,公司的 CEO 可能有權存取比低層級員工更多的資料。詳細瞭解授權和驗證

使用者的數位身分如何影響他們的隱私?

數位身分通常依賴於儲存和驗證個人資訊,例如,他們的電子郵件位址、面部記錄(在面部識別中)或有關他們生活的事實(安全性問題的答案)。如果個人資料洩露、未經授權的人員能夠檢視資料或使用者不知道其個人資料被如何使用,這可能會成為資料隱私問題。

什麼是身分識別與存取管理 (IAM)?

身分識別與存取管理 (IAM) 包括許多技術,它們協同工作以管理和追蹤數位身分以及與每個身分關聯的權限。數位身分是 IAM 的基礎;如果沒有某種方法知道使用者是誰,組織就無法指派和限制其權限。

IAM 對於防止資料丟失、網路攻擊和其他威脅極為重要。強驗證有助於確保攻擊者無法冒充合法使用者。即使使用者帳戶實際上遭到入侵,正確設定的授權也能限制潛在的損害,因為攻擊者仍然只能存取某些資料,而不是組織中的每個系統。

Cloudflare Zero Trust 是一個安全性平台,使組織能夠採用身分感知的 Zero Trust 方法來防止威脅。它與各種單一登入 (SSO) 解決方案整合,以便在授予對應用程式的存取權限之前驗證使用者身分。瞭解有關 Cloudflare Zero Trust 的更多資訊。