2024年身份与访问管理的主要趋势

关键要点

身份和特权访问管理的融合：传统IAM系统正在借鉴特权访问管理PAM系统的控制措施，二者之间的界限日趋模糊。密码的未来在于通行证：密码基于加密的通行证预计将被消费者和企业广泛采用，行业内普遍认为这是一个确定的发展趋势。深伪技术的威胁：AI驱动的深伪技术正在迅速发展，使得通过视频流辨识真实人与深伪内容变得愈加困难，企业面临更大的身份验证挑战。

在2024年，身份与访问管理IAM领域面临三大主要趋势。首先，传统的协调 IAM 解决方案正在借鉴特权访问管理PAM平台的访问控制机制，导致两者逐渐趋同。其次，身份行业基于密码的通行证会成为用户身份认证的新标准的信念日益加强，业内专家普遍认为只是在何时的问题。最后，AI推动的深伪技术的快速进步，使得人类在视频流中难以分辨真实人与深伪内容，这给身份核查提供商带来了巨大的挑战。

IAM新趋势：融入PAM控制

在许多组织中，高权限用户，例如网络管理员和财务官会面临比普通用户更多的访问控制措施。这些高权限用户可能使用普通的 IAM 接口登录到他们的端点和电子邮件账户，但在访问敏感领域时，可能需要使用 PAM 接口，有时需要不同的用户名和密码。

PAM系统在内部执行的政策往往比 IAM 系统更严格。用户行为受到更仔细的监视和记录，密码需要更复杂且可能需要更频繁地更换，而多因素认证MFA几乎总是必需的。为了完成特定任务，可能会授予特别权限，并在任务完成后收回，这种做法被称为按需访问JustinTime Access。

由于 COVID19 大流行期间远程工作的爆炸性增长以及云计算的迅速普及，普通用户与高权限用户之间的界限变得模糊， 并且创造了一些新的攻击途径。对手不需要破坏系统，如果他们能够使用被盗或破解的证书进行登录。与此同时，任何 IT 工作员工都可以轻易地创建新的云实例，错误配置及不清晰的访问控制可以使低权限员工获得访问敏感区域的权限。

因此， PAM 的许多做法和控制正在转移到 IAM 系统中。 强制 MFA 仅仅是开始，更新的 IAM 解决方案可能会严格监控和记录所有用户活动，要求用户在访问新区域时重新登录，并强制执行 最小权限原则，确保用户仅拥有完成其工作所需的权限。

小火箭账号购买

一些 IAM 部署正在实验按需访问，而另一些则更进一步，实施 零常驻权限，这意味着没有用户具备永久的特别权限所有对敏感区域的访问都是按需而来。组织也在鼓励所有员工使用硬件安全密钥这可能会带来成本或设备绑定的通行证，因为这与密码或较弱的 MFA 因子相比，难以被钓鱼攻击。

“密码不再是万能钥匙，登录会话也不再提供永久访问权限。”迪士尼身份安全部高级工程师 Sean ODell 在上个月的 Identiverse 2024 大会上说。

ODell 引用身份安全专家 Ian Glazer 的话补充道：“用户账户没有常驻访问权，他们应当仅能登录。”

对通行证的预期普及

在 Identiverse 上，FIDO 联盟执行董事兼首席执行官 Andrew Shikiar 宣告该组织的目标是“让通行证势不可挡”。在大会上，超过十位发言者探讨了通行证的问题，但没有任何人对通行证会成为主流认证标准表示怀疑。

发言的重点是通行证的适当管理，尤其是在企业环境中。苹果、谷歌和微软强调设备绑定通行证的消费者角度，然而诸如 Yubikey 或 Titan 密钥等 硬件安全键 也是符合 FIDO 20 的通行证，并已在企业中使用了多年。

设备绑定的通行