This is the Trace Id: 9ada5e68765d753c0154fcd88f4266e5
跳转至主内容 为什么选择 Microsoft 安全 AI 支持的网络安全 云安全 数据安全与治理 标识和网络访问 隐私和风险管理 AI 安全性 统一安全运营 零信任 Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Priva Microsoft Purview Microsoft Sentinel 智能 Microsoft Security Copilot 副驾驶® Microsoft Entra ID (Azure Active Directory) Microsoft Entra 智能体 ID Microsoft Entra 外部 ID Microsoft Entra ID 治理 Microsoft Entra ID 保护 Microsoft Entra Internet 访问 Microsoft Entra 专用访问 Microsoft Entra 权限管理 Microsoft Entra 验证 ID Microsoft Entra Workload ID Microsoft Entra 域服务 Azure Key Vault Microsoft Sentinel Microsoft Defender for Cloud Microsoft Defender XDR Microsoft Defender for Endpoint Microsoft Defender for Office 365 Microsoft Defender for Identity Microsoft Defender for Cloud Apps Microsoft 安全风险管理 Microsoft Defender 漏洞管理 Microsoft Defender 威胁智能 适用于商业高级版的 Microsoft Defender 套件 Microsoft Defender for Cloud Microsoft Defender 云安全状况管理 Microsoft Defender 外部攻击面管理 Azure 防火墙 Azure Web 应用防火墙 Azure DDoS 防护 GitHub 高级安全性 Microsoft Defender for Endpoint Microsoft Defender XDR Microsoft Defender 商业版 Microsoft Intune 核心功能 Microsoft Defender for IoT Microsoft Defender 漏洞管理 Microsoft Intune 高级分析 Microsoft Intune Endpoint Privilege Management Microsoft Intune 企业应用程序管理 Microsoft Intune 远程帮助 Microsoft 云 PKI Microsoft Purview 通信合规性 Microsoft Purview 合规性管理器 Microsoft Purview 数据生命周期管理 Microsoft Purview 电子数据展示 Microsoft Purview 审核 Microsoft Priva 风险管理 Microsoft Priva 主体权利请求 Microsoft Purview 数据治理 适用于商业高级版的 Microsoft Purview 套件 Microsoft Purview 数据安全功能 价格 服务 合作伙伴 网络安全意识 客户案例 安全性 101 产品试用 行业认可 安全响应中心 Microsoft 安全博客 Microsoft 安全活动 Microsoft 技术社区 文件 技术内容库 培训和认证 Microsoft Cloud 合规性计划 Microsoft 信任中心 服务信任门户 Microsoft 安全未来计划 业务解决方案中心 连络销售人员 开始免费试用 Microsoft 安全 Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space 混合现实 Microsoft HoloLens Microsoft Viva 量子计算 可持续发展 教育 汽车 金融服务 政府 医疗保健 制造业 零售业 查找合作伙伴 成为合作伙伴 合作伙伴网络 Microsoft Marketplace Marketplace Rewards 软件开发公司 博客 Microsoft Advertising 开发人员中心 文档 活动 许可 Microsoft Learn Microsoft Research 查看站点地图
两位专业人士一起站在办公大厅里,拿着平板电脑讨论工作。

什么是身份验证?

了解在向人员、应用和服务授予数字系统和资源访问权限之前如何验证其身份。
了解 Microsoft Entra ID

身份验证定义

身份验证是公司用于确认只有具有适当权限的适当人员、服务和应用才能获取组织资源的过程。它是网络安全的重要组成部分,因为恶意西东这的首要任务就是实现对系统的未经授权访问。他们通过窃取具有访问权限的用户的用户名和密码来实现此目的。身份验证过程包括三个主要步骤:
 

  • 识别:用户通常通过用户名确定他们的身份。
  • 身份验证:通常,用户通过输入密码(只有用户知道的内容)来证明他们的身份,但为了加强安全性,许多组织还要求他们使用他们拥有的东西(电话或令牌设备)或他们具备的特征(指纹或面部扫描)来证明他们的身份。
  • 授权:系统验证用户是否有权访问其尝试访问的系统。

为什么身份验证非常重要?

身份验证非常重要,因为它可以帮助组织保护其系统、数据、网络、网站和应用程序免受攻击。它还可以帮助个人对其个人数据保密,使他们能够以较低的风险在线上开展业务,例如银行业务或投资。当身份验证过程较弱时,攻击者更容易通过猜测单个密码或诱骗人们交出其凭据来破坏帐户。这可能会导致以下风险:
 

身份验证的工作原理

对于用户而言,身份验证涉及设置用户名、密码和其他身份验证方法,例如面部扫描、指纹或 PIN。为了保护身份,这些身份验证方法都不会保存到服务的数据库中。系统会对密码进行哈希处理(未加密),然后将哈希值保存到数据库中。当用户输入密码时,也会对输入的密码进行哈希处理,然后比较哈希值。如果两个哈希值一致,则授予访问权限。对于指纹和面部扫描,系统会对信息进行编码、加密并保存到设备上。

身份验证方法的类型

在新式身份验证中,身份验证过程委托给受信任的单独标识系统,这与每个系统自行验证标识的传统身份验证相反。使用的身份验证方法类型也发生了变化。大多数应用程序都需要用户名和密码,但随着恶意行动者在窃取密码方面变得越来越精明,安全社区开发了几种新方法来帮助保护身份。

基于密码的身份验证

基于密码的身份验证是最常见的身份验证形式。许多应用和服务都要求用户创建使用数字、字母和符号组合的密码,以降低恶意操作者猜到它们的风险。然而,密码也带来了安全性和可用性挑战。人们很难为每个线上帐户想出并记住唯一的密码,这就是为什么他们经常重复使用密码的原因。攻击者使用许多手段来猜测或窃取密码,或诱骗人们非自愿地共享密码。出于这一原因,组织正在从密码转向其他更安全的身份验证形式。

基于证书的身份验证

基于证书的身份验证是一种加密方法,它支持设备和人员向其他设备和系统证明自己的身份。两个常见示例是智能卡或员工设备向网络或服务器发送数字证书。

生物识别身份验证

在生物识别身份验证中,人们使用生物特征验证其身份。例如,许多人使用手指或拇指登录手机,某些计算机扫描一个人的面部或视网膜以验证其身份。生物特征数据也链接到特定设备,攻击者如果不访问设备,就无法使用它们。这种类型的身份验证日益受到欢迎,因为它对人们来说非常轻松(他们无需记住任何内容),而且恶意行动者很难窃取,因此比密码更为安全。

基于令牌的身份验证

在基于令牌的身份验证中,设备和系统都会每 30 秒生成一个新的唯一编号,称为基于时间的一次性 PIN (TOTP)。如果编号一致,则系统证实用户拥有设备。

一次性密码

一次性密码 (OTP) 是为特定登录事件生成的代码,它在发出后不久就会过期。它们通过短信、电子邮件或硬件令牌传递。

推送通知

部分应用和服务使用推送通知来对用户进行身份验证。在这些情况下,人们会在手机上收到一条消息,要求他们批准或拒绝访问请求。由于有时人们会意外批准推送通知(即使他们尝试登录到发送通知的服务),因此,此方法有时与 OTP 方法结合使用。使用 OTP,系统会生成用户必须输入的唯一编号。这增强了身份验证对网络钓鱼的防御能力。

语音身份验证

在语音身份验证中,尝试访问服务的人员会收到一个电话呼叫,要求他们输入代码或口头证明自己的身份。

多重身份验证

减少帐户泄露的最佳方法之一是要求使用两种或多种身份验证方法(可能包括前面列出的任何方法)。有效的最佳做法是要求满足以下任意两项要求:
 
  • 用户知道的内容,通常是密码。
  • 他们拥有的东西,例如手机或硬件令牌等不易复制的受信任设备。
  • 用户具备的特征,如指纹或面部扫描。
例如,许多组织要求输入密码(用户知道的内容),并在允许访问之前通过短信向受信任的设备(用户拥有的设备)发送 OTP。

双因素身份验证

双因素身份验证是一种需要两种身份验证形式的多重身份验证

身份验证与授权

尽管身份验证(有时称为 AuthN)和授权(有时称为 AuthZ)通常互换使用,但它们是两个相关但独立的概念。身份验证确认登录的用户是他们所声称的用户,而授权确认他们具有访问所需信息的适当权限。例如,人力资源部门的某个人可能有权访问其他人看不到的敏感系统(如工资单或员工文件)。身份验证和授权对于提高工作效率和保护敏感数据、知识产权和隐私都至关重要。
 

身份验证安全性的最佳做法

由于帐户泄露是攻击者未经授权访问公司资源的常见方式,因此建立强大的身份验证安全性非常重要。你可以采取以下措施来保护你的组织:

实施多重身份验证

为了降低帐户泄露的风险,你可以做的最重要的事情是启用多重身份验证,并至少要求两个身份验证因素。攻击者窃取多种身份验证方法要困难得多,特别是如果其中一种是生物特征或用户拥有的设备等。为了帮助员工、客户和合作伙伴尽可能简化此过程,请让他们选择几个不同的因素。但请务必注意,并非所有身份验证方法都是相同的。有些比其他更安全。例如,虽然收到短信总比没有好,但推送通知更安全。

采用无密码模式

设置多重身份验证后,你甚至可以选择限制密码的使用,并鼓励人们使用两种或多种其他身份验证方法,例如 PIN 和生物特征。减少密码的使用和采用无密码模式将简化登录过程并降低帐户泄露的风险。

应用密码保护

除了员工宣教之外,你还可以使用一些工具来减少易猜密码的使用。 密码保护解决方案使你能够禁止常用的密码,如 Password1。你可以创建特定于你的公司或区域的自定义列表,例如当地运动队或地标的名称。

启用基于风险的多重身份验证

部分身份验证事件是泄露的指标,例如当员工尝试从新设备或陌生位置访问你的网络时。其他登录事件可能不是非典型的,但风险较高,例如当人力资源专业人员需要访问员工个人身份信息时。为了降低风险,请将身份和访问管理 (IAM) 解决方案配置为在检测到这些类型的事件时至少需要两个身份验证因素。

优先考虑可用性

有效的安全性需要员工和其他利益干系人的认同。安全策略有时可以阻止人们从事有风险的线上活动,但如果策略过于繁琐,人们会寻找规避方法。最好的解决方案适应现实的人类行为。部署自助密码重置等功能,使人们在忘记密码时无需呼叫支持人员。这也可能鼓励他们选择一个强密码,因为他们知道如果以后忘记密码很容易进行重置。允许人们选择所喜欢的授权方法是简化其登录过程的另一种好方法。

部署单一登录

可增强可用性和提高安全性的一项重要功能是单一登录 (SSO)。没有人喜欢每次切换应用时都被要求输入密码,这可能导致人们为了节省时间而在多个帐户中使用同一密码。使用单一登录,员工只需登录一次即可访问工作所需的大部分或全部应用。这减少了摩擦,并且支持你将通用或条件安全策略(如多重身份验证)应用于员工使用的所有软件。

使用最低特权原则

根据角色限制特权帐户的数量,并为用户提供完成工作所需的最低特权。建立访问控制有助于确保减少可以访问最关键数据和系统的人数。当有人确实需要执行敏感任务时,请使用特权访问管理(例如具有持续时间的实时激活)来进一步降低风险。它还有助于要求仅在与用于执行日常任务分开的非常安全的设备上执行管理活动。

假定泄露并进行定期审核

在许多组织中,人们的角色和雇佣状况会定期变化。员工离开公司或更换部门。合作伙伴推出和关闭项目。当访问规则跟不上时,这可能成为问题。请务必确保人们不会保留对工作不再需要的系统和文件的访问权限。为了降低攻击者获取敏感信息的风险,请使用身份治理解决方案来帮助你一致地审核帐户和角色。这些工具还可以帮助你确保人员只能访问其需要的内容,并且已离开组织的人员的帐户不再处于活动状态。

保护标识免受威胁

身份和访问管理解决方案提供了许多工具来帮助你降低帐户泄露的风险,但预测违规仍然是明智的行为。即使是受过良好教育的员工有时也会陷入网络钓鱼诈骗。为了及早发现帐户泄露,请投资标识威胁防护解决方案并实施可帮助你发现和响应可疑活动的策略。许多新式解决方案(如智能 Microsoft Security Copilot 副驾驶®)都将 AI 不仅用于检测威胁,而且用于自动响应威胁。

云身份验证解决方案

身份验证对于强大的网络安全计划和提高员工工作效率都至关重要。基于云的全面身份和访问管理解决方案(如 Microsoft Entra)为你提供了多种工具,可帮助人们轻松获取完成工作所需的内容,同时应用强大的控制来降低攻击者入侵帐户和访问敏感数据的风险。
一位女士看着电脑。

Microsoft Entra ID

利用身份和访问管理来帮助保护组织。
了解详细信息
三个同事一起看笔记本电脑

Microsoft Entra ID 治理

自动确保适当的人员在适当的时间对适当的应用具有适当的访问权限。
了解详细信息
两位年轻女士在洒满阳光的办公室里:一个戴着眼镜在笔记本电脑上工作;另一个穿着牛仔外套看着手机微笑。

Microsoft Entra 验证 ID

使用基于开放标准的托管可验证凭据服务对你的身份进行分权管理。
了解详细信息
在监视器上审阅工作的同事

Microsoft Entra Workload ID

管理和保护授予应用和服务的标识。
了解详细信息
返回到“相关产品”部分
常见问题解答

常见问题解答

  • 身份验证存在许多不同的类型。以下是几个示例:
    • 许多人使用面部识别或指纹登录手机。 
    • 银行和其他服务通常要求人们使用密码和通过短信自动发送的代码登录。 
    • 有些帐户只需要用户名和密码,尽管许多组织正在转向多重身份验证以提高安全性。
    • 员工经常登录到其计算机并同时访问多个不同的应用,这称为单一登录。
    • 还有一些帐户允许用户使用 Facebook 或 Google 帐户登录。在这种情况下,Facebook、Google 或 Microsoft 负责对用户进行身份验证,并将授权传递给用户想要访问的服务。
  • 云身份验证是一种服务,用于确认只有具有适当权限的适当人员和应用才能访问云网络和资源。许多云应用具有基于云的内置身份验证,但还有更广泛的解决方案,例如 Microsoft Entra ID,它们旨在处理跨多个云应用和服务的身份验证。这些解决方案通常使用 SAML 协议,可支持一种身份验证服务跨多个帐户工作。
  • 尽管身份验证和授权通常可以互换使用,但它们是两个相关但独立的概念。身份验证确认登录的用户是他们所声称的用户,而授权确认他们具有访问所需信息的适当权限。身份验证和授权结合使用有助于降低攻击者访问敏感数据的风险。
  • 身份验证用于在为人员和实体提供对数字资源和网络的访问权限之前验证他们的身份。尽管主要目标是安全性,但新式身份验证解决方案也旨在提高可用性。例如,许多组织实施单一登录解决方案,使员工能够轻松找到完成工作所需的内容。借助消费者服务,人们通常可以使用其 Facebook、Google 或 Microsoft 帐户登录,以加快身份验证过程。

关注 Microsoft 安全

Surface Pro Surface Laptop 适用于组织的 Copilot Microsoft 365 探索 Microsoft 产品 Windows 11 应用程序 帐户个人资料 下载中心 订单跟踪 Microsoft 教育版 教育设备 Microsoft Teams 教育版 Microsoft 365 教育版 Office 教育版 教育工作者培训和开发 面向学生和家长的优惠 面向学生的 Azure
Microsoft AI Microsoft 安全 Azure Dynamics 365 Microsoft 365 Microsoft Advertising Microsoft 365 Copilot Microsoft Teams Microsoft 开发人员 Microsoft Learn 支持 AI 商城应用 Microsoft 技术社区 Microsoft Marketplace Microsoft Power Platform Marketplace Rewards Visual Studio 招贤纳士 关于 Microsoft 公司新闻 Microsoft 隐私 投资人 可持续发展
中文(中国) 消费者健康隐私 与 Microsoft 联系 隐私 管理 Cookie 使用条款 商标 关于我们的广告 京ICP备09042378号-6