洞悉身份认证 6000 年发展史，我们该警醒并学到什么？

Authing 官方2022.03.10阅读 804

2018 年 9 月 25 日，乌克兰独立记者杜宾斯基突然公开了乌克兰武装部队的第聂伯罗军事自动化控制系统的账号和密码。谁都没有想到，一个国家国防系统服务器网络的账号竟然是 admin，密码是 123456！这意味着，只要有电脑、能上网，任何人都能搜索该系统的内容，探知乌军的机密文件。

我们在震惊一个国家军方系统的账号和密码如此简单的同时，是否也应该稍微反思下自己一系列由姓名拼音、手机号等由字母或数字组成的简单密码呢？单一的账号/密码真的能在互联网技术层出不穷的今天保证我们的身份信息安全吗？

身份认证是连接世界的透明度和信任的关键点，目的是建立系统和网络的访问者的信任关系。从春秋战国时期商鞅推行的“照身贴”，到隋唐时期作为官员权利凭证的“鱼符”“龟符”，再到今天由初代身份证升级到的具有 IC 卡芯片的二代身份证，甚至是在 Web 3.0 时代数字化身份制度带来的「人」的在线，当数以亿计的人们与不计其数的相互关联的机器和设备相连时，他们的所有身份、联系、交易、数据完整性和隐私都必须得到最佳的管理和保护。如果没有身份认证的合法性，没有数据的保护和完整性，就没有可持续的业务。

数字革命方兴未艾，开展网络身份管理、确保网络主体身份可信、行为可追溯等数字化身份管理已成为网络空间治理的重要内容。我国《网络安全法》明确指出，“国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认”。

01

古代的“身份证”：奸人哪里逃

身份认证的历史，最早要追溯到先秦时期。公元前 359 年，秦孝公为了富国强兵，推行商鞅变法，其中有一条很重要的内容就是要求“编录户籍，什伍连坐，鼓励告奸，无户籍凭证者不得上路，不得留宿客舍”。户籍凭证，就是“照身帖”。为了确定身份，“照身帖”上刻有姓名、住所、生辰、籍贯、身高、样貌等信息，留宿、出关时人们必须出示“照身帖”才能被放行；否则，会被认为是外来人员或者在逃犯。如果有房东收留了“无证”人员，甚至会被车裂。

巧合的是，商鞅成也变法，死也变法。在秦孝公死后，商鞅被秦惠文王迫害，仓皇出逃。到了晚上，却因为没有“照身帖”，无法在旅店住宿。

“客官，请出具照身帖一观。”黑长衫边说边打着哈欠。

商鞅笑了：“照身帖？甚物事？”

黑长衫骤然来神，瞪大眼睛侃侃起来：“嘿嘿嘿，看模样你倒像个官人，如何连照身帖都不晓得？听好了，一方竹板，粘一方皮纸，画着你的头像，写着你的职事，盖着官府方方的大印。明白了？秦国新法，没有照身帖，不能住店！”

商鞅恍然，他从来没有过私事独行，哪里准备得照身帖？不禁笑道：“忒严苛了，但住一晚，天亮启程，又有何妨？”

“严苛？”黑长衫冷笑，“你是个山东士子，懂甚来？我大秦国，道不拾遗夜不闭户，凭甚来？奸人坏人没处躲藏！不严苛，国能治好么？亏你还是个士子，先到官府办好照身帖，再出来游学。”

——《大秦帝国》

“照身帖”，就是最早的身份认证。

到了隋唐时期，身份认证由“鱼符”代替，其主要用途是证明官员的身份，分为左右两半，一半在官员手里，一半由朝廷存放。并刻有凹凸的“同”字，在朝见皇帝、会见同僚、外出办事时，都需要先亮“鱼符”，如果“同”字准确对上，就验明了正身。左右符数量的多少，根据使用者的人数和实际用途确定，不一定完全一致。“符合”和“合同”正是由此而来。

除了上述以拥有的东西来证明身份的认证方式以外，密码的运用同样反映出古人高超的智慧和绝妙想象力，北宋时期就出现了真正意义上用于军事的密码。

据《武经总要》记载，曾公亮创建了一个编制军事密码的方法，他将各种情报内容（比如“被贼围”“将士叛”等）归为 40 项，编成 40 条短语，分别编码。传递军事情报时，后方司令部与前线部队将领需要约定一首 40 字（无重复）的五言律诗作为载体。

在一次战役中，后方司令部要前方部队固守城池，就曾经用《题破山寺后禅院》这首诗传递了这一情报。

“清晨入古寺，初日照高林。曲径通幽处，禅房花木深。山光悦鸟性，潭影空人心。万籁此都寂，但余钟磬音。”

按照设计的四十种军事命令，第十八种是请固守。发送情报的人员就在纸上写下这首诗，在第十八个字“花”上做了标记，然后把这封信送到了前方。前线的将领收到情报后，发现这首诗中第十八个字“花”是被做了标记的，便知道司令部是要求自己执行第十八条命令，固守城池。

这样，整个加密解密过程就完成了，用公开的信息包含了隐秘的信息来传递军情。

古时，人们以物品、密码作为身份证明，由于经济、文化、制度条件的不同，身份识别和认证方式各具特色。随着计算机信息技术的兴起，人们的生活、工作逐渐依赖于互联网。从按手印、支票签名，再到现在的安全密码认证、数字签名、生物识别等，我们见证了数字身份的兴起和发展。

02

现代的身份认证：第三方登录方式的崛起

互联网时代，身份认证是普通用户在访问各类应用的必经过程，而确保用户身份安全则是互联网业务开展的基石。早期，从 What you know （根据你所知道的信息来证明身份）的角度出发，人们采用创建账号/密码的方式访问网络以维护信息安全。

早期的企业数字平台在很大程度上是独立的，比如化学、物理实验室、财务管理等访问控制系统，导致员工需要为每个平台单独创建账号和密码。平台一多，账号和密码就会跟着增多，容易造成账号和密码的遗忘。

除了上述问题，从安全性出发，使用账号/密码登录也是一种极不安全的身份认证方式。由于密码是静态的数据，在验证过程中需要在计算机内存和网络中传输，而每次验证都是使用相同的验证信息，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。

基于密码的身份验证是黑客最容易攻破的身份验证类型，为了解决上述问题，一种可以减少账号/密码数量，确保用户账号安全，方便用户登录的身份认证方式——第三方登录诞生。

2005 年前后，淘宝、QQ、优酷等电子商务与社交平台兴起，以社交平台为基础的第三方登录方式乘势而上，如雨后春笋般大量涌现。2011 年，以 QQ 为首的第三方社交账号登录开始兴起。

第三方登录方式提高了用户操作的便捷性，用户只需要在第一次登录时通过第三方平台授权登录许可给应用，后续就能像注册用户一样使用应用内的所有服务，减少了记忆负担。简言之，一个社交身份，全网通用。

企业也可以通过支持社交媒体登录的软件或平台，获得基于用户允许的社交媒体数据（如年龄，性别，朋友，工作经历等），并利用这些数据，完善自身产品功能，为用户提供个性化的服务和体验。电商平台可以集成支付宝或者微信登录的基础能力和支付能力，使用户通过微信和支付宝账号直接登录，方便消费者线上支付。

2015 年，随着手机号实名认证政策的推出，以手机号为主的账号登录体系开始代替社交账号，成为登录的主流方式。但是仅仅通过手机号/验证码以及社交账号授权的登录方式，依旧不能确保账号安全。

2018 年 8 月 14 日，一个新型盗刷银行卡犯罪团伙落网，深圳龙岗警方抓获 10 名嫌疑人，查缴伪基站等电子设备，涉案金额逾百万元。据专家分析，犯罪分子通过“GSM 劫持+短信嗅探”技术截获受害人短信验证码，从而完成盗刷等操作。

可见，账号安全缺失所引发的数据泄露会造成严重的后果和不可估量的损失。

对个人来说，个人隐私的数据泄漏不仅会造成身份安全问题，还会给生活增加许多麻烦。别有用心的商家会通过个人隐私，推算用户的出生年代、生活经历、家庭财务、消费倾向等信息。这些信息都可以让商家针对性地发起电话轰炸销售。除此之外，隐私数据的泄漏会助长诈骗的猖獗气焰。诈骗分子通过各种渠道获得隐私数据，然后和目标建立信任关系，最终诈骗成功。

对企业来说，数据泄露的代价越发严重。一方面，企业会受到监管机构处罚，比如英国航空因数据泄露，被英国信息专员办公室 (ICO) 罚款 2.04 亿欧元。另一方面，一旦发生数据泄露，不仅会让企业失去客户和用户的信任，而且影响公司长期发展。企业发现数据泄露的平均时间是 197 天，控制住数据泄露还需要平均 69 天时间。发现和控制的时间越久，产生的损失也越高。

从各个行业来看，不论在国内还是国外，身份在安全领域中一直备受关注。随着企业内外部人员、合作伙伴和终端用户的安全威胁持续增长，企业需要拥有一个安全可靠的身份认证管理机制。除了提升企业整体安全系数的需求，如何实现 IT 运维效率的提升、大幅度降低运维成本也成为了各行各业急待解决的难题。

传统单一的身份认证方式已无法满足用户身份认证过程中对安全性、准确性、灵活性等方面的更高要求。因此，通过实施多因素身份验证（MFA）为帐户添加额外的安全层，成为防止数据泄露的最佳安全实践方法。

03

互联网安全守护神：多因素身份验证

多因素身份验证（下文统称为 MFA）是一种非常简单的安全实践方法，它能够在用户名称和密码之外再增加一层保护。启用多因素身份验证后，用户进行操作时，除了需要提供用户名和密码外（第一次身份验证），还需要进行第二次身份验证，多因素身份验证结合起来将为您的账号和资源提供更高的安全保护。

MFA 建立了一个多层次的防御，使没有被授权的人更难访问计算机系统或网络。MFA 由 2 个或 3 个独立的凭证进行验证，这些凭证主要包含以下三个要素：

所知道的内容：用户当前已经记忆的内容，最常见的如用户名密码等；

所拥有的物品：用户拥有的身份认证证明，最常见的方式有 ID 卡、U 盾、磁卡等；
所具备的特征：用户自身生物唯一特征，如用户的指纹、虹膜等。

在微软披露的最新复杂钓鱼活动中，攻击者运用了新技术，将自己的设备加入到企业网络中，以执行进一步的传播活动。一旦组织没有激活多因素身份验证，攻击者只要窃取凭证，就能通过自带设备（BYOD）注册自己的设备，并使用已窃取的组织凭证，发送组织内钓鱼信件扩展立足点，甚至还会发送外网邮件。

在这个案例中，设备注册进一步成为网络钓鱼的攻击对象。多因素身份验证可以有效防止攻击者在窃取凭证后，访问组织设备或网络，但未激活多因素验证的组织，攻击者则会在组织网络中畅通无阻。

因此，使用 MFA 成为企业防止数据泄露的基本手段，降低发生安全漏洞的风险，并确保数据安全。在过去，要求静态用户名和密码才能访问账户，似乎足以保证安全性。但是，弱密码或被盗密码作为唯一身份验证形式时，可用于执行欺诈攻击，造成数据泄露。在 2020 年 RSA 安全会议上，微软工程师提到，微软每月追踪到的 99.9% 受感染账户，都没有启用多因素身份验证。

通过对数据安全监管等技术的研究，Authing 提升了针对违法数据流动等安全隐患的监测发现与处理能力，采用全局 MFA 提升整体的安全性。Authing 多因素认证赋能 Authing 应用，即刻提升应用认证与访问安全等级。Authing 可提供包括手机令牌、短信/邮箱验证码、兼容第三方身份验证器、生物识别、图形锁、小程序认证等多种认证方式，提高企业身份安全性。