文章

數位身分

什麼是數位身分(Digital Identity)

數位身分是個人類比身分的數位版本,涵蓋了與其相關的多個帳戶、憑證、權限、行為及使用模式。

數位身分是以線上形式呈現並記錄的個人身分資訊,透過數位方式驗證並儲存一組與特定個體關聯的特徵。當線上服務或執行交易操作需要身分驗證才能使用時時,會使用數位身分來驗證使用者。

與類比身分類似,數位身分也需要確保其有效性。其三個主要特徵為:

數位身分必須是個人且不可轉讓的(亦即,僅限於該身分所屬個人存取與使用)。

數位身分必須是可重複使用的(亦即,一旦指派數位身分後,就可以在任何需要的地方使用它)。

數位身分應該易於使用(亦即,在需要時能隨時存取與使用,且不需具備技術專業知識)。

數位身分可用於:

  • 存取現有帳戶
  • 建立存取服務系統的信任度
  • 開設新帳戶

數位身分通常表示個人或實體在應用程式、網路、本地端系統或雲端環境中的存在。它可以是個人、組織、應用程式或裝置。

透過唯一識別碼與使用模式,來偵測數位身分,以達到資安目的。

網站所有者與廣告商也會利用數位身分來識別並追蹤使用者。在這些情況下,數位身分被用來進行個人化處理,進而推送高度精準的內容與廣告。

數位身分與使用者

使用者與數位身分之間在帳戶層面上呈現一對多的關係。然而,與數位身分(即構成個人線上身分的獨特特徵)不同,使用者是指操作或與資源互動的個人或實體,以及其相關的活動。

以雲端環境為例,身分持有密碼,而使用者則擁有名稱、電子郵件地址與其他屬性。在此情況下,使用者可以選擇建立關聯的數位身分。然而,如要存取大多數應用程式與服務,使用者仍需擁有或建立數位身分。

數位身分的類型

數位身分主要分為三類:人、機器和雲端。

人類數位身分

人類數位身分可用來存取各種資源。在企業環境中的人類數位身分範例包括:

  • 客戶
  • 員工
  • 合作夥伴
  • 廠商

機器數位身分

機器身分用於驗證非人類使用者,例如應用程式、伺服器、軟體,以及行動裝置、物聯網 (IoT , Internet of Things) 與其他裝置,以連接至網路或系統。

雲端數位身分

雲端數位身分用於存取雲端運算資源與服務。雲端數位身分可用於機器或人類使用者。

根據所執行的活動,可以使用不同的數位身分。範例包括:

  • 民眾數位身分: 這是政府發給民眾用的,讓大家可以上網使用各種政府服務。例如,你可以用它來: 
    • E化作業文件
    • 查詢個人證件相關資料
    • 線上申報所得稅
  • 電子銀行數位身分:金融機構利用數位身分,讓客戶能存取帳戶資訊並進行交易(例如繳費或買賣證券)。
  • 員工數位身分: 這是公司發給員工用的,可以拿來做很多事,比方說: 
    • 存取內部網路
    • 進入辦公大樓
    • 運用公司資源
  • 線上購物或顧客數位身分: 這主要是讓客人在網路上購物時,可以更安全。另外,店家也能用這個來管理顧客資料,像是: 
    • 改善客戶服務
    • 個人化行銷活動
    • 透過偵測異常模式來防止詐欺
    • 追蹤客戶的交易記錄、偏好與人口統計資訊

數位身分的使用可分為四大類別:憑證、角色、使用者與聲譽。

數位身分做為角色

個人可透過數位身分做為角色來建立自己的身分角色,以展現其與眾不同之處。這類數位身分是一種自我表達的形式,它是基於使用者自行撰寫的描述、評論、互動及活動。角色型的數位身分主要基於個人應用程式中的元素,例如交友軟體、社群媒體或元宇宙中的個人檔案等。

數位身分做為憑證

當數位身分做為憑證使用時,它基於用於驗證使用者的特定資訊。這類數位身分通常仰賴政府核發的文件,例如出生證明、駕照、護照、身份證或健保卡等。在某些情況下,電子郵件身分也可歸類於此類型。

數位身分做為聲譽

做為聲譽的數位身分,是由可信賴且獲得授權的實體所建立。這類數位身分包含個人在特定領域的歷史資訊,例如工作記錄、教育背景、信用評分與犯罪記錄等。

數位身分做為使用者

以使用者角色為基礎的數位身分,依賴與其數位行為相關的資訊。這類身分的構成要素包括瀏覽記錄、線上購物記錄、線上活動報名記錄,以及開啟過的電子郵件等。

數位身分與帳戶

數位身分和帳戶有相似之處,但並不相同。兩者都包含個人身分資訊 (PII , Personally Identifiable Information) 和機密資料,並且都能讓使用者存取線上資源(例如應用程式、平台、網路或網站)。然而,這就是它們唯一的共同點。

帳戶是一種數位身分,但它並不代表一個人完整的線上存在。使用者通常擁有多個帳戶(例如,工作電子郵件和網路、個人電子郵件和網路、網站和雲端服務)。

數位身分屬性

數位身份屬性用於對所有權進行分類。定義數位身分的屬性範圍廣泛,從憑證、法定名稱到瀏覽歷史記錄和位置資料。這些屬性資料可分為三大類別:

  1. 累計(例如交易歷史或健康記錄)
  2. 已指派(例如身份證號碼或監護權)
  3. 固有資訊(例如出生日期或指紋)

數位身分識別碼

數位身分識別碼是構成數字身分的資料。與數位身分關聯的識別碼可能因其使用方式而異(例如,存取公司網路、瀏覽電子商務網站或登入銀行帳戶)。數字身分識別碼可能包括:

  • 生物特徵識別(例如指紋、視網膜掃描或臉部掃描)
  • 出生日期
  • 瀏覽活動
  • 電子郵件地址
  • 政府核發的識別碼(例如身份證號碼、駕照號碼和護照號碼)
  • IP 位址
  • 購買歷史記錄
  • 搜尋記錄
  • 使用者名稱和密碼

數位身分攻擊向量

網路犯罪分子在竊取數位身分方面手法層出不窮。雖然具特權權限的身分是首選目標,但一般帳號同樣具有攻擊價值。以下是他們常用的數位身分攻擊向量(Attack Vector)。

濫用自助式服務(Abuse of self-service) 功能是竊取數位身分的常用攻擊向量(Attack Vector)。網路犯罪分子會利用「忘記密碼」功能,透過猜測密碼並冒用身分來重新取得帳戶存取權限。

金絲雀帳戶(Canary Accounts) 是由網路犯罪分子建立,用來研究內部系統的運作方式,做為發動攻擊前的偵察手段。這些帳戶看似合法,通常僅用於情報蒐集,而非直接執行攻擊行動。

憑證填充攻擊(Credential Stuffing) 利用使用者在多個線上帳號中重複使用密碼的習慣。透過這種攻擊,駭客會使用已竊取的數位身分資訊,嘗試登入其他帳號。這類攻擊通常會透過機器人自動化執行。

設定錯誤之所以會被利用,是因為它們在安全防護中留下了破口,成為入侵的切入點。漏洞則是系統中的程式錯誤,攻擊者可藉此入侵帳戶並取得控制權。

密碼噴灑攻擊(Password spraying) 是一種針對數位身分的攻擊途徑,屬於暴力破解手法。攻擊者會嘗試使用常見的使用者名稱與密碼組合,來冒用他人的數位身分,進而未經授權地存取系統或服務。

特殊權限存取攻擊(Privileged access attacks) 是透過竊取擁有特殊存取權限的使用者憑證,或是透過執行權限提升或橫向移動等手法,來取得多個帳號的存取權與控制權。

社交工程(Social engineering) 涵蓋多種攻擊手法,透過操縱使用者來誘使其洩露個人資訊,例如冒充政府單位、假扮朋友或同事,或偽裝成金融機構的代表。數位身分竊取的目標是取得存取資訊,例如帳戶憑證或一次性密碼(OTP , One-Time Password)

用來竊取數位身分的社交工程手法包括:

  • 網路釣魚(Phishing):是一種常見的社交工程手法,透過電子郵件誘騙目標上當
  • 簡訊釣魚(Smishing):與網路釣魚相同,但使用簡訊而不是電子郵件做為手段
  • 魚叉式網路釣魚和網路捕鯨(Spear phishing and whaling)-都是釣魚攻擊的變體,分別針對特定使用者(魚叉式)或高階主管(捕鯨式)

保護數位身分

保護數位身分的最佳實務包括以下幾項。

部署數位身分倉儲

透過使用數位身分倉儲做為集中式儲存庫,來儲存與管理所有使用者(例如人員、系統、裝置與資料來源)的身分資料,以提升可視性與洞察,並特別注意將影子 IT 納入管理範圍。

遵循最小權限原則(PoLP , principle of least privilege)

持續審查並調整使用者的數位身分權限與角色,以確保其與實際需求保持一致。每個人的數位身分應在正確的時間,賦予其對正確資源的正確存取權限。

IT 管理員應使用標準帳戶來執行任何不明確需要特殊權限的操作,以降低特殊權限帳戶的暴露風險。這有助於減輕威脅,因為大多數惡意軟體(Malware)仰賴特殊權限來進行橫向移動。

實作強化的存取控制措施

數位身分存取安全控制應採用角色與原則管理機制。這些機制應用於根據實際需求指派對資料與應用程式的存取權限,並用來管理與監控帳戶的佈建與取消佈建。此外,應實作職能分工 (SoD , Segregation of Duties),以避免高風險的權限組合。

監控每個數位身分的風險狀況

應持續監控數位身分的存取情況,並根據使用者的存取權限記錄其所有活動,以便在偵測到可疑活動時主動產生警示。

執行數位身分評估

分析每個數位身分,以根據使用者、角色與業務流程識別其存取風險與 SoD 風險。這也有助於找出需要更新的存取權限、建立行為基準,並引導安全政策與控制措施的最佳化。

移除未使用或過時的權限

如果某個數位身分已過時或擁有未使用的權限,應將該帳戶取消佈建,並撤銷所有未使用或不必要的權限。

教育使用者認識數位身分威脅向量(Threat Vector)

數位身分竊取會使所有系統與資源面臨風險。教育使用者認識數位身分風險,有助於降低遺失或遭竊的可能性。透過訓練並將資安意識融入企業文化,能保護數位身分,並強化攻擊面防禦能力。

強化系統

透過強化系統也能實現數位身分的防護,而這應該是整體資安工作的其中一環。系統強化應包括移除未使用或已過時的應用程式及其相關權限,並關閉不必要或具風險的連接埠。

及時安裝所有更新和修補程式

透過消除由過時軟體或韌體所造成的系統漏洞,有助於強化數位身分的防護。及時安裝更新與修補程式能提升基礎安全防護水準,並降低攻擊面(Attack Surface)。

數位身分:機會與威脅

儘管存在風險,但數位身分正在以驚人的速度取代使用者的類比身份。除了企業實體外,政府也越來越多地使用數位身分做為類比身分的替代方法。

數位身分的成功取決於有效運用現有網路安全(Cybersecurity)工具,以及專為解決挑戰而量身打造的新工具。瞭解數位身分的運作方式及其優缺點,有助於保護這項強大的技術。

日期: 2025年9月4日閱讀時間:4 分鐘
身分安全

立即開始

瞭解 SailPoint 身分安全能為貴組織帶來哪些改變

要在不影響生產力或創新能力的前提下保障資源存取安全,可謂一大挑戰,瞭解我們的解決方案如何支援當今現代企業因應這項挑戰。

申請產品示範聯絡我們