第13章 管理身份和身份验证

IAM grants and revokes privileges.

IAM 授予和撤销权限。

它管理主体能否访问数据、执行操作，以及访问后是否可追责。

第 13 章偏身份与认证，第 14 章继续讲授权和访问控制模型。

Assets include information, systems, devices, facilities, applications, and services.

资产包括信息、系统、设备、设施、应用和服务。

IAM 不是只管用户登录系统，还要管谁能访问哪些资产类型。

考题列资产类别时，不要漏掉服务和设施。

Assets may be tangible or intangible.

资产可以是有形或无形的。

服务器、门禁是有形；数据、知识产权、业务记录是无形。

访问控制既保护物理对象，也保护信息对象。

Physical controls protect facilities and devices.

物理控制保护设施和设备。

门锁、机房、围栏、保安、HVAC、消防都能影响资产访问。

物理安全是访问控制的一部分，不是单独孤立主题。

Logical controls protect systems and data.

逻辑控制保护系统和数据。

认证、授权、权限和配置限制共同防止未授权访问。

logical access controls 常对应技术控制。

Access controls protect CIA.

访问控制保护 CIA。

保密性看谁能读，完整性看谁能改，可用性看授权请求能否及时成功。

访问控制失败会导致 CIA 任一属性损失。

Authentication confirms claimed identity.

认证确认所声称的身份。

用户说自己是谁只是识别，拿密码、证书或生物特征证明才是认证。

Identification 是声明身份，Authentication 是证明身份。

Authorization grants allowed actions.

授权授予允许执行的操作。

认证成功不代表能做所有事，授权决定能读、写、执行或管理哪些对象。

认证之后才谈授权。

Accounting maintains an audit trail.

计账维护审计轨迹。

日志记录谁在何时做了什么，支撑问责、取证和合规。

Accountability 依赖有效识别和认证。

Subjects must have unique identities.

主体必须具有唯一身份。

如果多人共享同一个账号，就很难追责。

共享账号削弱 accountability。

A subject is an active entity.

主体是主动实体。

用户、进程、服务、设备都可以主动请求访问资源。

subject 主动访问 object。

An object is a passive entity.

客体是被动实体。

文件、数据库、打印机、应用、存储介质都可以提供信息。

有些实体可随场景在 subject 和 object 之间切换。

Access transfers information from object to subject.

访问把信息从客体传给主体。

用户读取文件，就是主体从客体获得数据。

理解 subject/object 是后续访问控制模型的基础。

Identity proofing uses appropriate documentation.

身份核验使用适当证明文件。

新员工可用护照、驾照、出生证明等材料证明现实身份。

proofing 是证明身份真实，不是日常登录。

Registration creates identity records.

注册创建身份记录。

HR 或管理员核验后，把身份录入系统并建立账户。

Registration 常与 enrollment、account creation 一起出现。

Registration may collect authentication factors.

注册可采集认证因素。

密码、智能卡、证书、生物模板、令牌都可能在注册阶段绑定。

生物识别注册比普通账号创建更复杂。

Session management controls active logins.

会话管理控制活动登录。

会话令牌、超时、重新认证、注销和防劫持都是会话管理内容。

Session timeout 可降低无人值守和令牌滥用风险。

Context can influence authentication.

上下文可影响认证。

地点、设备、网络、时间、风险评分和异常行为可触发更强验证。

Context-aware authentication 常出现在移动设备和零信任场景。

Authentication strength depends on environment.

认证强度取决于环境。

处理绝密材料的设施，比普通教室需要更强认证机制。

最佳控制要匹配风险，不是永远选最复杂方案。

Passwords are typically static.

密码通常是静态的。

用户反复使用同一个秘密，泄露后风险会持续存在。

单独密码属于较弱认证因素。

Passwords should never be stored or transmitted in cleartext.

密码不应明文存储或传输。

服务端应存储带盐的慢哈希，而不是保存可还原密码。

看到 cleartext password，基本是不安全。

Passwords face brute-force and dictionary attacks.

密码会遭受暴力和字典攻击。

还包括撞库、喷洒、钓鱼、键盘记录和数据库泄露。

不同攻击对应锁定、MFA、黑名单和监控。

Complexity counts character variety.

复杂度衡量字符种类。

大小写、数字、符号可增加搜索空间，但用户常用可预测替换。

复杂度不是万能，长度和泄露检查更重要。

Length is the number of password characters.

长度是密码字符数。

长密码短语通常比短而复杂的密码更好记也更强。

NIST 建议至少 8 字符，并鼓励更长。

Passwords should not expire regularly.

密码不应被强制定期过期。

频繁过期会诱导用户做 Password1 到 Password2 这种弱变化。

除非怀疑泄露，否则不应机械强制周期更换。

Users should be able to paste passwords.

用户应能粘贴密码。

允许复制粘贴有利于使用密码管理器生成长随机密码。

禁止粘贴密码不符合现代推荐方向。

Password systems should screen passwords.

密码系统应筛查密码。

拒绝常见、泄露、上下文相关或弱模式密码。

screening breached passwords 是高价值控制。

Smartcards support authentication.

智能卡支持身份认证。

用户插卡或感应卡片，再结合 PIN 或证书完成认证。

卡是 something you have，PIN 是 something you know。

One-time passwords are used once.

一次性密码只使用一次。

OTP 降低密码重放风险，常由硬件令牌或认证器应用生成。

OTP 仍需防钓鱼和中间人代理。

TOTP is time-based.

TOTP 基于时间。

密码随时间窗口变化，常见于手机认证器。

TOTP 依赖时间同步。

HOTP is HMAC-based.

HOTP 基于 HMAC。

它通常使用计数器，每次生成后计数推进。

TOTP 看时间，HOTP 看计数器。

Biometrics are something you are.

生物识别属于你本身。

指纹、虹膜、脸、声音、掌纹等都属于生物特征。

生物特征泄露后难以更换。

Biometrics can identify or authenticate.

生物识别可用于识别或认证。

一对多是识别，一对一比对已登记模板更偏认证。

identification 和 authentication 在生物识别题里要分清。

Biometrics have false acceptance and rejection.

生物识别有误受和拒真。

FAR 是误把坏人当好人，FRR 是把好人拒掉。

CER/EER 是 FAR 与 FRR 相交点。

Liveness checks reduce spoofing.

活体检测降低伪造。

检测眨眼、血流、深度或动作，防止照片和假指纹。

生物识别要考虑可接受度、错误率和欺骗风险。

MFA uses two or more factor types.

MFA 使用两种或更多因素类型。

密码加另一个密码不算强 MFA，密码加令牌或生物识别才更像 MFA。

multiple factors 必须是不同类别。

SMS sends users one-time codes.

短信向用户发送一次性码。

短信方便但有 SIM 换卡、拦截和钓鱼风险。

SMS MFA 好于单密码，但不是最强选择。

Passwordless authentication avoids traditional passwords.

无密码认证避免传统密码。

通行密钥、硬件密钥、生物本地解锁和公钥密码可替代输入密码。

无密码不等于无认证。

FIDO supports passwordless authentication.

FIDO 支持无密码认证。

FIDO/WebAuthn 使用公钥密码，私钥留在设备或安全密钥中。

服务器保存公钥，不保存可复用密码。

Devices can authenticate to systems.

设备可以向系统认证。

设备指纹、证书、TPM、MDM 合规状态都可参与设备信任判断。

零信任常同时验证用户和设备。

Services require authentication.

服务也需要认证。

服务账户、证书、API 密钥和密钥轮换用于服务到服务认证。

服务账户要有归属、最小权限和定期审查。

Mutual authentication verifies both parties.

双向认证验证双方。

客户端确认服务器，服务器也确认客户端，避免单向信任被滥用。

mTLS、EAP-TLS 都体现双向认证思路。

SSO authenticates once for many resources.

SSO 一次认证访问多个资源。

用户登录一次即可访问多个应用，减少重复输入密码。

SSO 提升便利，也扩大被攻破后的影响。

SSO improves convenience and management.

SSO 提升便利和管理。

减少密码疲劳、集中撤销、集中监控和统一策略。

SSO 仍需强认证和会话保护。

Compromised SSO affects many resources.

SSO 被攻破会影响许多资源。

一个主账号被盗，攻击者可能横向访问大量应用。

MFA、条件访问和异常检测是 SSO 保护重点。

LDAP supports directory services.

LDAP 支持目录服务。

目录像网络电话簿，保存用户、组、设备、服务和属性。

LDAP 是协议，目录服务是保存和查询身份数据的系统。

Directories support centralized access control.

目录支持集中访问控制。

Active Directory 等目录可集中管理身份、组和策略。

集中化有利管理，也需要保护域控和目录。

PKI may use LDAP for certificate information.

PKI 可用 LDAP 查询证书信息。

系统可通过目录查询 CA、证书或证书相关信息。

证书体系与目录服务常集成。

SSO relies on tokens or tickets.

SSO 依赖令牌或票据。

应用信任身份提供者发出的票据或令牌，而不是每次直接问密码。

票据生命周期和撤销能力很重要。

Federation shares identity information.

联合身份共享身份信息。

多个组织或服务建立信任关系，让用户可跨边界访问资源。

Federation 的核心是信任关系和身份断言。

Federation can be on-premises.

联合可以在本地实现。

组织内部系统之间共享身份和 SSO，常依赖现有目录。

on-premises 仍要保护目录和令牌服务。

Cloud federation supports SaaS.

云联合支持 SaaS。

用户用组织身份访问第三方云应用，不必给每个 SaaS 单独建密码。

云联合要审供应商、日志、隐私和退出方案。

Hybrid federation combines local and cloud.

混合联合结合本地和云。

员工既访问本地系统，也访问云服务，身份桥接更复杂。

混合环境要关注同步、延迟和故障影响。

IDaaS provides IAM as a service.

IDaaS 以服务形式提供 IAM。

第三方服务提供身份、认证、SSO 和访问策略能力。

IDaaS 是云 IAM 外包能力，但责任不能全部转移。

Credential systems store usernames and passwords.

凭据系统存储用户名和密码。

密码保险库、系统凭据管理器、浏览器凭据和 API 凭据都要保护。

凭据库要加密、访问控制、备份和审计。

Scripts can simulate SSO.

脚本可模拟 SSO。

脚本自动输入或传递凭据，但硬编码明文凭据风险很高。

脚本和自动化凭据要进保险库并最小权限。

Provisioning creates and grants accounts.

开通负责创建并授予账户。

入职时创建账号、发设备、绑定角色并赋予初始权限。

开通应基于审批和角色，而不是管理员随手加权限。

Onboarding adds users to the organization.

入职把用户加入组织。

身份、设备、培训、策略确认和初始访问都在入职流程中处理。

安全意识和政策确认也属于入职控制。

Roles change as people move.

人员变动时角色会变化。

调岗、升职、转部门后，应移除旧权限并授予新权限。

权限转移不是只加新权限，要收回旧权限。

Accounts require ongoing maintenance.

账户需要持续维护。

姓名、部门、角色、组成员、设备和认证因素都会变化。

IAM 是生命周期管理，不是一次性建号。

Reviews find excessive privileges.

访问审查发现过度权限。

定期让数据或业务负责人确认用户、系统和服务账户权限是否仍合理。

访问审查能发现孤儿账户、共享账户和权限漂移。

Deprovisioning removes access.

撤销配置移除访问。

离职或合同结束时要禁用账号、回收设备、撤销令牌和证书。

离职账号应及时禁用，尤其是特权账号。

Service accounts need management.

服务账户需要管理。

服务账户常长期存在、权限高、密码少变，必须有负责人和轮换。

服务账户应禁用交互登录、最小权限、密钥轮换和审查。

Just-in-time grants temporary access.

JIT 临时授予访问。

按需短时提升权限，用完自动收回，减少长期高权限暴露。

JIT 是降低常驻权限的现代 IAM 控制。