用户登录的演变(由FusionAuth赞助)

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/SEC102-S-The_evolution_of_user_logins__sponsored_by_FusionAuth___FusionAuth_-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 登录起初只需要一个包含用户名和密码两个字段的表单。如今,情况已经复杂得多。现在需要电子邮件地址、验证流程、多因素认证、生物识别、复杂密码以及保护用户数据的义务。随着互联网继续扩张并覆盖更多用户,认证和授权的概念必须进行适应。在这个闪电式演讲中,我们将从开发者的角度探讨当前登录状态以及未来发展趋势。本次演讲将提供见解,面向开发者和安全爱好者。本次演示由亚马逊云科技合作伙伴FusionAuth赞助。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共800字，阅读时间大约是4分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> 演讲者通过展示2000年的雅虎登录页面，阐述了登录安全方面的显著进步。当时的登录界面非常简单，仅包括一个请求用户名和密码的简单HTML表单，以及一些基本的JavaScript用于在将数据发送到雅虎服务器之前进行验证。然而，当时并未实现基本的TLS加密，导致凭据以明文形式传输，容易受到拦截。整个登录过程仅在用户的Netscape或Mozilla浏览器与雅虎的Web服务器之间进行。 相较之下，演讲者强调了现今一个简单的现代登录过程需要在多个复杂的层次上进行安全性协调。从网络层面开始，所有流量都需要使用TLS和HSTS进行加密，以强制实施HTTPS连接，从而在互联网中提供一个安全的隧道。但是，仅加密还不够，每个阶段的防火墙都会过滤进出数据包，检查威胁。全球负载均衡器高效地在全球服务器上分布流量以优化性能和冗余。 为了防范攻击，例如，每IP地址每小时最多允许500个请求，以防止机器人网络用数百万个虚假请求压倒服务器。网络应用防火墙类似地检查每个数据包是否有已知的攻击模式，立即阻止试图利用常见漏洞的流量。DDoS预防系统使用启发式方法来识别旨在使服务器崩溃的来自数千个IP地址的botnet流量。凭据填充防御会查找已被滥用的凭据，这些凭据来自大规模的3TB数据泄露。 加强基础设施本身同样重要。操作系统和服务器需要不断修补，有时每月需要补丁多次。服务应采用最小权限原则，只运行所需的最基本权限，而不是完整的根访问。零信任模型默认将所有远程请求视为不安全的。通过短信或电子邮件的多因素身份验证提供了额外的账户保护。 应用需整合诸如OpenID Connect和SAML等复杂的单点登录协议，以确保认证过程的安全性。这些协议有助于对令牌进行加密，并通过正确的验证、范围和刷新避免泄露。为了保护API，需要一个网关来验证机器对机器服务并核实身份。随着浏览器逐渐放弃不安全的第三方cookie，需要谨慎规划cookie范围并在多个域间保持一致性。例如，新的WebAuthn和FIDO标准允许在浏览器上进行直接的生物特征和公钥认证，但需要正确实施。 虽然采取了这些措施，但用户行为仍然是主要的安全漏洞。一项2017年的研究显示，65%的人在多个网站上使用相同的密码。这使得服务提供商不得不转向多因素认证，但这又带来了自己的挑战。通过一些策略，如请求母亲的婚姓等信息，社交工程攻击可以轻松地绕过技术手段。由于公众普遍缺乏安全意识，即使是简单的钓鱼攻击也能成功窃取账户。 演讲者提供了一个真实的案例，黑客冒充他的身份给银行打电话，并通过操纵一名客户服务代表来更改其账户上的电子邮件地址，从而绕过多因素认证。由于新的电子邮件地址成为了验证方式，黑客可以通过受影响的电子邮件重置密码并盗取约3000美元的300000奖励积分。这表明，对于有价值的账户功能，即使有额外的二次认证，通常也存在风险。 问题的根源在于，CSR（客户服务代表）更改账户电子邮件地址的同时也更改了多因素认证的电子邮件地址，从而导致验证码被拦截。演讲者解释道，与电子邮件或电话号码相关的多因素凭证应与其他用于常规访问的电子邮件分开关联。银行认证设计中的这一缺陷导致了一场简单但破坏性的攻击。 总的来说，登录安全性已经从一个简单的用户名和密码表单发展成了一个复杂的多层次网络，包括防火墙、负载均衡器、应用服务器、单点登录协议以及加密控制等。所有这些共同构成了在现今恶劣威胁环境中全面保护账户所必需的条件。没有一位工程师能够独立确保所有这些方面的安全性。如今，整个团队必须全面关注认证和授权问题，将其视为最重要的安全挑战之一。在设计今天的任何新在线服务时，都必须考虑所有这些相互关联的认证因素，以确保在没有漏洞的情况下安全地让用户进行登录。 **下面是一些演讲现场的精彩瞬间：** 一位领导者用了大约二十分钟的时间，以一种引人入胜的方式讲述了一段登录历史，带领观众们穿越时空。  领导者描述了现在保护数据变得越来越复杂，需要分析多个层面，例如开放的互联网，任何人都可以访问的网络。  领导者强调了在云端保护应用程序及其通信的重要性。  亚马逊云科技提供了强大的基础设施来应对全球流量、安全威胁和性能需求。  为了加强安全性，超越了简单的弱密码，应实施多因素认证。  政府正积极参与数字身份解决方案，美国正在研究Gov ID，欧洲国家也在开发可以加密存储在手机上的本国ID系统。  在构建下一个应用程序时，可以考虑使用亚马逊云科技的广泛的身份和访问管理服务。  ## 总结 这场演讲探讨了随着时代变迁，用户登录方式所经历的演变过程，从互联网早期简单的用户名和密码表单，到如今所使用的复杂、多层次的安全策略。演讲者首先以2000年Yahoo的一个登录页面为例，展示了当时仅包含用户名和密码字段的简单HTML表单。接着，他将这一情况与如今必须应对的各种安全问题进行了对比，这些问题涉及到网络、基础设施、应用、浏览器和用户等多个层面。 推动登录安全性提高的一些关键发展为广泛应用TLS加密、各级别的防火墙、强化的操作系统、用于单点登录的OAuth和OpenID Connect、生物识别技术，以及诸如凭据填充攻击等威胁。演讲者还详细讲述了自己亲身经历的一次漏洞利用事件，攻击者通过社会工程学手段欺骗客户服务代表，以更改他的电子邮件地址，并通过该电子邮件重置他的密码，从而绕过多因素认证。 总的来说，演讲者认为如今的登录安全已经变成一个跨学科的大问题，需要网络工程师、应用程序开发人员、基础设施团队等人员之间的协同合作。在当今构建登录系统时，不能仅仅考虑用户名和密码，还需要充分考虑诸多复杂的因素。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")