Trace Id is missing
跳到主要內容
Microsoft 安全性

什麼是驗證?

了解人員、應用程式及服務的身分在取得數位系統和資源存取權前進行驗證的方式。

探索 Microsoft Entra ID

驗證的定義

驗證是各家公司用來確認僅有具備正確權限的適當人員、服務及應用程式才能取得組織資源的程序。驗證是網路安全性中的重要一環,因為惡意執行者的首要目標就是在未經授權下存取系統。他們會透過竊取擁有權限的使用者的使用者名稱和密碼來得逞。驗證程序包含以下三個主要步驟:

  • 身分識別:使用者通常會透過使用者名稱來建立身分。
  • 驗證:使用者一般會透過輸入密碼 (僅使用者才應知道的資訊) 來證明真實身分,不過為了提高安全性,許多組織還會要求使用者以持有的物品 (手機或權杖裝置) 或呈現身體特徵 (指紋或臉部掃描) 來證明身分。
  • 授權:系統會驗證使用者是否擁有欲存取系統的權限。

驗證為何如此重要?

驗證程序非常重要,因為它有助於組織避免系統、資料、網路、網站及應用程式遭到攻擊。此外,驗證也有助於個人保密個人資料,並協助他們在風險更低的情況下於網路上從事商業活動 (例如辦理銀行帳戶事宜或投資)。驗證程序強度不足時,攻擊者就會更容易猜到個人的密碼或誘使人員交出認證,藉此入侵帳戶。這可能會導致以下風險:

驗證的運作方式

在人員方面,驗證程序包含設定使用者名稱、密碼及其他驗證方法 (例如臉部掃描、指紋或 PIN 碼)。為了保護身分識別,以上這些驗證方法都不會儲存到服務的資料庫中。密碼會經過雜湊處理 (非加密),而雜湊後的資料會儲存到資料庫中。使用者輸入密碼時,系統也會對該密碼進行雜湊,然後比較雜湊後的資料。若兩筆雜湊後的資料相符,使用者便會取得存取權。指紋和臉部掃描方面,這些資訊會進行編碼、加密,然後儲存到裝置上。

驗證方法的類型

新式驗證程序會委託給備受信任的獨立身分識別系統,不同於各個系統自行驗證身分識別的傳統驗證程序。此外,大家使用的驗證方法類型也有所轉變。大多數應用程式會要求輸入使用者名稱和密碼,不過隨著惡意執行者竊取密碼的技術越來越高明,安全性社群制定了幾種新的方法來協助保護身分識別的安全。

密碼驗證

密碼驗證是最常見的驗證形式。許多應用程式和服務都會要求人員以數字、字母及符號組合建立密碼,來降低惡意執行者猜中密碼的風險。不過,密碼也產生了安全性和可用性方面的難題。人們很難為每一個網路帳戶想出並記住一組專屬密碼,因此他們通常會重複使用密碼。攻擊者會透過許多策略來猜測或竊取密碼,或者誘使人員在不情願的情況下分享密碼。因此,各個組織逐漸不用密碼,改為使用其他更安全的驗證形式。

憑證式驗證

憑證式驗證是一種加密方法,可讓裝置和人員向其他裝置和系統表明身分。舉兩個常見的例子:一個是智慧型卡片,另一個則是讓員工的裝置向網路或伺服器傳送數位憑證。

生物特徵辨識驗證

在生物特徵辨識驗證中,人員會使用生物特徵來驗證身分。舉例來說,許多人會使用手指或拇指來解鎖手機,而部分電腦會掃描人的臉部或視網膜來驗證身分。此外,生物特徵辨識資料也會連結至特定裝置,因此攻擊者在未取得裝置存取權的情況下,會無法使用這些資料。這種驗證類型越來越受到歡迎,因為人們不需要記住任何資訊,所以很容易上手,而且惡意執行者很難竊取這類資訊,因此這會比密碼來得更安全。

權杖驗證

在權杖驗證中,裝置和系統每 30 秒都會產生一組新的唯一號碼,稱為基於時間的一次性 PIN 碼 (TOTP)。若號碼相符,系統便會驗證該使用者擁有該裝置。

一次性密碼

一次性密碼 (OTP) 是針對特定登入事件產生的代碼,這類代碼會在發出不久後失效。一次性密碼會經由簡訊、電子郵件或硬體權杖進行傳送。

推播通知

部分應用程式和服務會使用推播通知來驗證使用者。在這類情況下,人員會在手機上收到一則訊息,要求他們核准或拒絕存取要求。由於有時候人員會在嘗試登入發送推播通知的服務時不小心核准推播通知,因此這種方法有時會與 OTP 方法搭配使用。使用 OTP 方法後,系統會產生一組使用者必須輸入的唯一號碼,使驗證程序更不容易受到網路釣魚攻擊。

語音驗證

在語音驗證中,嘗試存取服務的人員會收到一通電話,要求他們輸入一組代碼,或以口頭方式驗證身分。

多重要素驗證

降低帳戶遭入侵機率的最佳方式之一是要求採用兩種以上的驗證方式 (可包含先前所列的任何方法)。有效的最佳做法是要求提供以下任兩種資訊:

  • 使用者知道的資訊 (通常是密碼)。
  • 使用者持有的物品,例如手機或硬體權杖等不易複製的受信任裝置。
  • 使用者的身體特徵,例如指紋或臉部掃描。

舉例來說,許多組織會要求輸入密碼 (使用者知道的資訊),並在允許存取前透過簡訊向受信任的裝置 (使用者持有的物品) 傳送 OTP。

雙重要素驗證

雙重要素驗證是一種多重要素驗證,會要求進行兩種形式的驗證。

驗證和授權

雖然驗證 (有時稱為 AuthN) 和授權 (有時稱為 AuthZ) 經常會交替使用,不過它們是兩種有關聯但又彼此獨立的程序。驗證程序會確認登入使用者的真實身分,而授權程序則會確認使用者是否擁有目標資訊的適當存取權限。舉例來說,人力資源部門的人員可能會擁有其他人無法查看的敏感性系統 (例如薪資或員工檔案) 的存取權。驗證和授權程序在提高生產力和保護敏感性資料、智慧財產權及隱私安全方面都扮演非常重要的角色。

驗證安全性最佳做法

由於入侵帳戶是攻擊者在未經授權下存取公司資源時經常使用的手段,因此請務必制定強大的驗證安全措施。您可以採取以下動作來保護組織的安全:

  • 實作多重要素驗證

    降低帳戶遭入侵風險的關鍵在於啟用多重要素驗證,並要求至少兩種驗證要素。攻擊者會較難竊取一種以上的驗證方法,尤其當其中一種方法屬於生物特徵辨識,或是使用者擁有的物品 (例如裝置),難度會更高。為了讓員工、客戶及合作夥伴能夠盡可能順利通過驗證程序,請提供多種不同要素供對方選擇。不過請注意,並非所有驗證方法皆具備相同效力。有些方法會比其他方法更加安全。舉例來說,雖然收到簡訊會比什麼都沒收到好,不過推播通知會更為安全。

  • 採用無密碼

    設定多重要素驗證後,您甚至可以選擇限制密碼的使用,並鼓勵人員使用兩種以上的其他驗證方法 (例如 PIN 碼和生物特徵辨識)。減少使用密碼並朝無密碼目標邁進有助於簡化登入程序,並降低帳戶遭入侵的風險。

  • 採用密碼保護

    除了員工教育外,您也可以透過一些工具來減少使用容易被猜到的密碼。 密碼保護 解決方案可讓您禁止使用常用的密碼 (例如 Password1)。此外,您也可以建立專屬於公司或區域的自訂清單,例如當地運動隊伍或地標的名稱。

  • 啟用風險型多重要素驗證

    部分驗證事件可視為 入侵指標,例如員工嘗試使用新裝置或在陌生地點存取您的網路。其他登入事件可能也很常見但風險較高,例如人力資源專業人員需要存取員工個人識別資訊的情況。為降低風險,請設定 身分識別和存取權管理 (IAM)  解決方案,在偵測到這類事件時,要求至少兩種驗證要素。

  • 排定可用性優先順序

    有效的安全措施需要員工和其他利害關係人的支持。安全性政策有時可防止人員涉及有風險的線上活動,不過若政策過於繁瑣,人員就會找到規避麻煩的方法。最理想的解決方案是迎合實際的人類行為。部署自助式密碼重設等功能,人員就不必在忘記密碼時求助於技術服務人員。此外,這也有助於鼓勵人員選擇使用強式密碼,因為他們知道之後萬一忘記密碼,重設起來也不會太難。讓人員選擇偏好使用的授權方法也是另一個讓他們輕鬆登入的絕佳方式。

  • 部署單一登入

     單一登入 (SSO) 是提升可用性和安全性的絕佳功能。沒有人喜歡在每次切換應用程式時被要求輸入密碼,且這可能會促使人員在不同帳戶中使用相同的密碼來節省時間。有了單一登入後,員工只需登入一次,即可存取大多數或所有工作時需使用的應用程式。單一登入能夠讓過程更為順利,並允許您將通用或條件式安全性政策 (例如多重要素驗證) 套用至員工所使用的所有軟體。

  • 採用最低權限準則

    根據角色限制特殊權限帳戶的數量,並授與完成工作所需的最低權限。建立存取控制,協助降低可存取最重要資料和系統的人員數量。有人員必須執行敏感性任務時,請使用特殊權限存取管理 (例如即時啟用並限定時間範圍) 來進一步降低風險。這還有助於要求管理活動僅在非常安全的裝置 (獨立於人員執行日常工作所使用的電腦) 上執行。

  • 假設有缺口並定期進行稽核

    在許多組織中,人員的角色和受僱狀態會定期發生變化。員工會離職或換到其他部門。合作夥伴會加入或退出專案。當存取規則跟不上現狀時,便會產生問題。請務必確保人員不會留有工作上不再需要的系統和檔案的存取權。為降低攻擊者取得敏感性資訊的風險,請使用身分識別控管解決方案來協助持續對帳戶和角色進行稽核。這類工具還有助於確保人員僅能存取所需資訊,且離職員工的帳戶將會被停用。

  • 保護身分識別免受威脅侵害

    身分識別和存取權管理 解決方案提供眾多工具,可協助您降低帳戶遭人入侵的風險,不過,仍建議您隨時準備好面對資料外洩狀況。即使是受過良好訓練的員工,有時也可能會遭到網路釣魚詐騙。若要及早發現帳戶遭到入侵的狀況,請採用身分識別威脅防護解決方案,並實作有助於找出和應對可疑活動的政策。 Microsoft Copilot for Security 等眾多新式解決方案不僅會使用 AI 技術偵測威脅,還會自動採取應對措施。

雲端驗證解決方案

驗證程序在強大的網路安全計畫和提高員工生產力方面都非常關鍵。Microsoft Entra 等全方位雲端式身分識別和存取權管理解決方案提供相關工具,協助人員輕鬆取得工作所需的資訊,同時套用強大的控制項來降低攻擊者入侵帳戶並取得敏感性資料的風險。

深入了解 Microsoft 安全性

Microsoft Entra ID

透過身分識別和存取權管理 (先前稱為 Azure Active Directory) 保護組織的安全。

深入了解

Microsoft Entra ID 控管

自動確保正確的人員在正確的時間能以正確的權限存取正確的應用程式。

深入了解

Microsoft Entra 權限管理

取得單一整合解決方案,在您的多雲端基礎結構中管理任何身分識別的權限。

深入了解

Microsoft Entra 驗證識別碼

以開放式標準為根據的受管理可驗認證服務分散身分識別。

深入了解

Microsoft Entra 工作負載 ID

管理和保護授與應用程式與服務的身分識別。

深入了解

常見問題集

  • 驗證程序有許多不同類型。以下提供一些範例:

    • 許多人會使用臉部辨識或指紋解鎖手機。 
    • 銀行或其他服務通常會要求人員使用密碼以及透過簡訊自動傳送的代碼進行登入。 
    • 雖然許多組織都轉為使用多重要素驗證來提升安全性,不過部分帳戶只會要求提供使用者名稱和密碼。
    • 員工經常會登入電腦並在同一時間存取多個不同的應用程式,而這又稱為單一登入。
    • 此外,還有帳戶會允許使用者透過 Facebook 或 Google 帳戶進行登入。在這種狀況下,Facebook、Google 或 Microsoft 必須負責對使用者進行驗證,並將授權傳遞給使用者欲存取的服務。

  • 雲端驗證服務會確認僅有擁有正確權限的適當人員和應用程式能夠存取雲端網路和資源。許多雲端應用程式內建雲端式驗證程序,不過市面上也有更廣泛的解決方案 (例如 Azure Active Directory),旨在處理多個雲端應用程式和服務的驗證程序。這類解決方案通常會使用 SAML 通訊協定來使單一項驗證服務能夠在多個帳戶中順利運作。

  • 雖然驗證和授權經常會交替使用,不過它們是兩種有關聯但又獨立於彼此的程序。驗證程序會確認登入使用者的真實身分,而授權程序則會確認使用者是否擁有目標資訊的適當存取權限。搭配使用兩種程序,便能降低攻擊者存取敏感性資料的風險。

  • 驗證程序驗證人員和實體的真實身分後,才會提供數位資源和網路的存取權。雖然新式驗證解決方案的主要目標是保護安全,不過提升可用性也是它的其中一個目的。舉例來說,許多組織會實作單一登入解決方案來讓員工能夠輕鬆找到工作所需的內容。消費者服務通常會允許人員使用 Facebook、Google 或 Microsoft 帳戶進行登入,藉此加快驗證程序。

關注 Microsoft