巨頭安全策略：IBM、微軟為何青睞身份認證安全？

InAuth公司的首席戰略官邁克·林奇認為，無論是IBM還是微軟的願景，身份驗證和設備認證仍然是安全的一個重要因素。

作者：邁克·林奇（Michael Lynch），InAuth公司的首席戰略官，負責開發和領導公司的新產品戰略。在加入InAuth公司之前，林奇曾擔任美國銀行的高級副總裁。

每當一項新技術出現時，它自然就會在公司之間引發一場競爭，成為主導者。因此，區塊鏈作為支撐數字貨幣比特幣的新興技術，IBM和微軟現在正致力於成為主流的商業區塊鏈-服務(BaaS)平台。

為了追求這一目標，微軟自2015年以來一直在其雲平台Azure中增加區塊鏈模塊，而IBM在幾周前推出了第一個區塊鏈的商業應用。兩者的相似之處在於，它們都基於開源代碼，並在雲計算中運行，但仔細觀察就可以發現，他們對這項技術有兩種不同的看法。

在這兩者中，微軟部署的代碼更加公開。因此，它擁有更大的開發人員基礎和更多的互操作性，但是當代碼中發現潛在問題時，它們很快就會成為公眾的知識。IBM的BaaS提供的底層代碼具有更大的限製性，這使得開發人員基礎更小，並降低了互操作性，但問題並沒有公開披露。

誰將贏得這場競爭是一個懸而未決的問題，但這兩個係統都有兩個弱點:身份和安全。具有諷刺意味的是，在區塊鏈的所有承諾下，它本質上在接入點（數字設備）本身並不具有本質上的安全性，也沒有嵌入消費者的身份。

憑借其創新的開放分布式架構，區塊鏈在提高效率和減少涉及多方交易的某些欺詐行為方麵有著巨大的潛力。IBM和微軟的區塊鏈都在各自的部署中利用這些優勢。

但是，這兩個係統中的漏洞都是繼續困擾著所有支付係統的提供者——你如何知道參與交易的人是被授權執行該交易的人呢?

就像今天的開戶過程一樣，也就是金融帳戶或信用卡開戶，必須有全麵的流程來了解客戶(KYC)協議。在開戶時的身份驗證包括使用信用數據、文檔證據、基於知識的認證(KBA)、社交媒體數據、電話運營商數據和設備智能。

一旦確定了身份，就可以通過使用多因素身份驗證(MFA)來確認某人聲明的身份。在某人被授權之前，他們必須提供兩種或更多的屬性——要麼是他們知道的東西(例如，密碼)，要麼是他們擁有的東西(在區塊鏈的世界裏，這可能是他們的私鑰和設備)，或者是他們個人的內在屬性(比如指紋)。一旦將這些屬性組合在一起並進行驗證，就可以使用該服務。

如果沒有身份驗證和多因素身份驗證，區塊鏈技術不會阻止未經授權的人獲得對賬戶的訪問權。

使用正在訪問區塊鏈的設備作為MFA的唯一屬性，將成為一種至關重要的最佳做法。可以為用戶的設備創建永久設備ID的技術來驗證用戶是否可信或潛在的欺詐風險。

為了抵禦安全威脅和惡意攻擊，同樣的技術可以在授予訪問區塊鏈之前檢查設備，以查看是否“幹淨”——無惡意軟件，不被欺騙，不會通過一個惡意的應用程序進行交互，尚未被列入黑名單，尚未種植木馬或越獄，並執行許多其他層次的風險分析。

最重要的是，這種方法將使得訪問區塊鏈時不會出現問題，並增強用戶體驗，同時增強這一新興技術固有的安全性。

盡管IBM和微軟在創建商業區塊鏈應用程序方麵有兩種不同的願景，但人們希望他們能夠同意將這些安全最佳實踐的要素納入到它們各自的產品中。

-END-

本文由網安視界（網絡空間安全情報站和智庫）獨家創作整理，轉載請注明出處。