登录微信，微博。ATM取款。上淘宝京东买东西，这些贯穿在我们日常生活中的操作共性是什么?数字身份!我们生活在一个联系日益紧密的世界里，我们不断地消费信息。从访问电子邮件，查看银行对账单，到在线播放音乐，我们不断地访问api，这些api可以安全地从本地和云端检索我们的数据。数字身份是一个人、一个组织或一台机器的在线表现，它让我们能够访问我们每天使用的数据。它是我们生活的一部分，无论是在工作中还是在家里。以下是身份认证的简要概述，为什么它对信息安全至关重要，以及为什么你应该更多地了解它。

以前的身份识别

让我们回到2000年，那时大多数上网的人还在使用拨号上网。数百万人首次上网，互联网公司在股票市场上迎来了他们的第一个重大时刻。一些创新公司，如亚马逊和eBay，能够在新的在线市场上立足。其他网站，如WebVan和Pets.com，可能走在了时代的前面。

在这个时代，每个网站都有不同的数字身份。这需要您记住多个用户名和密码，这间接鼓励了密码的重用。如果你由一个网站密码泄露了，那会危及你的所有网站的安全。

如果您恰好在拥有庞大网络的公司或机构工作，那么您可以期望通过目录服务解决方案(例如Novell directory Services)登录到您的计算机，该解决方案使您的企业身份能够通过局域网访问文件和打印服务。网络边界和密码是您保护您的本地企业数据的主要手段;当你在你信任的网络范围内访问你的应用程序和数据时，防火墙将坏人挡在外面。但你的身份只存在于你当前所在的空间中——一个网站或一个公司的硬连线局域网。

2001年，由于夸大收益报告和欺诈，安然会计丑闻成为头条新闻。这一丑闻揭示了安然公司薄弱的内部控制，使其员工能够做出不诚实的行为。由于这些丑闻和其他丑闻，国会通过了萨班斯-奥克斯利法案(Sarbanes-Oxley Act)。如果你是一家上市公司，该法案包括要求高管对其员工的访问控制负责。这一规定和其他规定鼓励采用身份和访问管理系统(IAM)来管理用户并分配对所需资源的访问权。

现在的身份识别

90年代的要求只需要访问您的本地应用程序和数据变化，很快随着2000年代中期的到来，托管在网络之外的应用程序的使用越来越多。像Concur(现在是SAP Concur)这样管理企业差旅和费用的软件即服务(SaaS)应用程序开始流行起来。2006年，Amazon Web Services开始提供云计算服务，使您能够在服务器上运行应用程序，并按现收现付的方式存储数据，所有信息都基于离线数据中心。今天，从初创公司到企业的公司都在迁移他们的工作负载，以便完全在云中运行。

在消费者方面，iPhone于2007年面世，开启了智能手机和平板电脑的时代。突然之间，你可以通过移动浏览器或设备上的许多应用程序立即访问信息。这些设备越来越受到企业IT部门的关注，因为员工使用IT部门无法控制的设备连接到内部网络。

到2009年，你可以使用社交登录(social login)，通过Twitter或Facebook等社交身份登录你的应用程序和网站。这是通过OAuth实现的，OAuth是一个允许您授权访问应用程序而无需共享密码的标准。社交登录可以让你的消费者身份托管在你选择的提供商上，通过减少对密码的依赖来提高安全性。

SaaS、云计算和移动的出现意味着，当数据驻留在公司网络之外时，公司现在必须管理员工的访问——可能还包括公司客户的访问。在边界内，数据不能被认为是安全的;网络钓鱼、社会工程、恶意软件和内部威胁的日益流行，进一步模糊了信任的边界。

随着网络边界不再仅仅定义什么是安全的，以及越来越多的人接受和采用强认证，企业现在开始考虑零信任模型。零信任是指你的数据安全不能仅仅依赖于你的网络安全。相反，数据安全性高度依赖于强身份验证控制和细粒度授权——换句话说，我们确信它们就是我们所认为的那样，并且只有访问它们所需的权限。

密码作为身份验证的单一因素通常是不够的。攻击者越来越容易在几秒钟内破解一个弱密码，或者通过网络钓鱼等聪明的方法获取密码。因此，多因素认证(MFA)的重要性甚至在银行和政府机构等高度安全的机构之外也有所增加。MFA使某人更难绕过你的身份验证控制。

例如，如果您的密码是您的第一个因素，而一个虚拟或物理安全令牌是您的第二个因素，那么攻击者将需要这两个因素来破坏您的身份。最近，利用指纹等生物特征的无密码认证技术被广泛采用，这使得完全避免使用密码成为可能。

现在，在智能手机、平板电脑和笔记本电脑等受支持的设备上，强认证变得更加容易。MFA和无密码认证与零信任模型协调工作，进一步保护您的机密数据，无论它位于何处。结合综合身份和访问管理系统的兴起，您现在拥有越来越安全的解决方案来管理身份、访问权限和需要保护的数据。

身份是如何影响你的

这些趋势并没有放缓——我们可用的应用程序和数据数量正在激增，如果没有专用的身份和访问管理系统，就很难跟踪对这些数据的访问。由于全球疫情的影响，Twitter、Facebook和Slack等公司纷纷宣布远程员工成为新常态，因此，零信任和零身份显得更为重要。

如果您正在开发一个多用户消费者应用程序，您将考虑从安全性和可用性的角度来看，为用户提供使用其社会身份登录的能力是否有意义。这样做的好处在于，它减少了注册过程中的摩擦，确保你将更多好奇的用户转化为全职用户。它还把身份管理和安全方面的一些工作卸给了资源充足的大型公司。你还需要评估客户身份和访问管理解决方案(会议)是适合你,帮助你管理访问潜在的成千上万的用户将使用你的应用。亚马逊Cognito Auth0一些解决方案的会议空间,帮助。

如果你的工作是身份管理，比如管理你的企业名录，迟早你都会为如何实现MFA而纠结。你还需要考虑你的员工将如何访问云，即使你的身份商店仍然在本地。您还必须深入研究身份联合，这意味着了解您的目录服务将如何与云提供商集成，以及需要多少最低权限才能让员工完成他们的工作。

我该怎么办

因为身份是一个大而复杂的话题，你可以从教育资源开始。你需要熟悉这些基础知识。理解身份验证和授权是很重要的，因为在学习身份和IAM解决方案时，这些术语总是会用到。IDPro是一个非营利性的身份识别专家协会，你可以在网上获取教育资源来解决这个问题。如果你是一名开发者，你可以通过支持的OAuth提供商(如谷歌、Facebook或Github)登录你的应用，在OAuth上观看masterclass视频。如果你是一个IAM管理员或工程师，你会想要阅读MFA，单点登录(SSO)和联邦。