身份安全始終是資訊科技的基石,無論是最傳統的帳號 / 密碼,或是持續在熱度曝光的 FIDO 機制,都牽涉到身份認證 (Authentication)、授權 (Authorization)、資源保護與帳號權限與角色管,過程也牽涉到整體身份治理的全壽期管理,以及普遍導入的特權帳號管控等等,2024 年鐵人賽是投入賽事的第三年,從前面的 SIEM、DAM 到現在的 IAM,同時也代表在當前工作崗位的第三年學習累積,希望透過 30天 鐵人競賽分享在身份安全範疇的資安知識與經驗。
身份安全的核心主軸即認證與授權,認證 (Authentication) 確認當前是否為合法用戶;授權 (Authorization) 給予適當的系統存取權限,而...
身份安全的另個核心領域,即為身份治理與管理,Identity Governance and Administration, IGA,主要用於跨不同身份資料庫來源...
在系統中「權限」是指高於標準使用者的存取權限,普通使用者帳戶可能有權查看資料庫中的條目,但特權管理員則是能夠配置、新增、變更和刪除條目的特殊帳號。 獲得特權帳號...
在資訊科技中,編排是連接和協調不同工具的過程,目的是希望藉由把複雜的工作流程自動化的過程。例如在 SOAR 安全編排領域:可以將安全電子郵件閘道(Secure...
身份安全採用單一登入(SSO)作為串接所有資訊系統的核心基礎,透過預先整合的工具綁定、身份目錄服務的串接,讓使用者可以同時擁有存取各個資源系統的便利,也同時能有...
MFA 作為身份認證強化關鍵的措施,擁有適配現代系統的各個強化手段與應用,在最基本的身份驗證系統中,只需要密碼即可。而在 MFA 措施裡,使用者至少需要兩個證據...
驗證碼機器(CAPTCHA)是非常流程的人機驗證機制,也稱為圖靈測試,用以區分操作背後是人類或是機制,透過驗證碼機制,可防止詐騙者和垃圾郵件出於惡意使用機器人填...
身份安全管控的另一環即是 API 安全管控機制,透過保護應用程式介面(API) 免於濫用或遭到未授權的存取。API 安全通常座落於網站安全 (Web Secur...
歷經將近 20 天的身份安全系列連載,我們從身份目錄、認證、授權、治理、特權與編排等,從基本的功能概念與背後採用的技術細節作介紹, 身份目錄機制(Directo...
進入鐵人賽中後段,前期透過介紹身份安全的基本元素,以及各自在身份驗證、授權的重要核心做法與機制後,接著開始在這個篇章我們開始從攻擊者的角度,看看身份安全面臨著怎...