拖放您的身份验证。
使用几行代码向您的应用程序添加身份验证、用户管理和授权。

Trusting is hard. Knowing who to trust, even harder.(信任是困难的。知道该信任谁，更难。)
— Maria V. Snyder^[1]

IAM 代表身份和访问管理。它是一个复杂的域，涵盖用户帐户、身份验证、授权、角色、权限和隐私。它是云服务平台的重要支柱，是用户、产品和安全的交汇点。另一个支柱是账单和支付 💰.

这个精选清单以全面且可操作的方式公开该领域的所有技术、协议和行话。

概述

在云计算概述的斯坦福课程中，提供的平台的软件架构如右图所示 →

在这里，我们列出了全局：域的定义和战略重要性、它在更大的生态系统中的位置，以及一些关键特性。

EnterpriseReady SaaS 功能指南 - 大多数让 B2B 用户满意的功能将由 IAM 外围实现。
IAM 很难，真的很难 - “过于宽松的 AWS IAM 策略允许 s3:GetObject 访问 *（所有）资源”，导致 Capital One 被罚款 8000 万美元。这是作为企业主不能忽视 IAM 的唯一原因。
IAM 是真正的云锁定 - 虽然是小小的 点击诱饵，但作者承认“这取决于您对他们的信任程度 1. 继续经营； 2. 不抬高价格； 3. 不贬低您下属的服务； 4. 在业务加速方面为您提供的价值多于他们在灵活性方面带来的价值。

安全

安全性是 IAM 基金会最核心的支柱之一。这里有一些广泛的概念。

企业信息安全 - Mozilla 的安全和访问指南。
缓解云漏洞 - “本文档将云漏洞分为四类（配置错误、访问控制不当、共享租户漏洞和供应链漏洞）”。
Cartography - 一种基于 Neo4J 的工具，用于映射服务和资源之间的依赖关系和关系。支持 AWS、GCP、GSuite、Okta 和 GitHub。
AWS 安全性和 IAM 开放指南

账户管理

IAM 的基础：用户、组、角色和权限的定义和生命周期。

作为一个用户，我想要… - 客户管理的元评论家，其中业务预期的功能与真实用户需求发生冲突，以虚构项目经理编写的用户故事的形式出现。
终端用户关心但程序员不关心的事情 - 与上述精神相同，但范围更广：所有我们作为开发者而忽视但用户真正关心的小事。在这个列表的顶部是以账户为中心的功能，多样化的集成和导入/导出工具。也就是所有企业客户需要涵盖的内容。
将账户、用户和登录/授权细节分开 - 为面向未来的 IAM API 奠定基础的合理建议。
超越用户名的身份 - 关于用户名作为标识符的概念，以及当 unicode 字符满足唯一性要求时引入的复杂问题。
Kratos -用户登录、用户注册、2FA 和个人资料管理。
Conjur - 自动保护特权用户和机器身份所使用的秘密信息。
SuperTokens - 用于登录和会话管理的开源项目，支持无密码、社交登录、电子邮件和电话登录。
UserFrosting - 现代PHP用户登录和管理框架。

密码学

整个认证技术栈是基于密码学原理的。这一点不能被忽视。

密码学的正确答案 - 为非密码学工程师的开发人员提供的一组最新建议。甚至还有更短的摘要可用。
真实世界的密码研讨会 - 旨在将密码学研究人员与开发人员聚集在一起，专注于在互联网、云和嵌入式设备等现实环境中的使用。
密码学概述 - “这篇论文有两个主要目的。首先是定义基本密码方法背后的一些术语和概念，并提供一种方法来比较当今使用的无数密码方案。第二个是提供一些当今使用的密码学的真实例子。”
我们喜欢的论文：密码学 - 密码学基础论文。
加密哈希函数的生命周期 - "如果你使用逐个哈希值比较来生成可由恶意用户提供的数据的地址，你应该有一个计划，每隔几年就迁移到一个新的哈希值"。

标识符

令牌、主键、UUID......无论最终用途是什么，你都必须生成这些具有一定随机性和唯一性的数字。

对任何依赖随机生成的号码的设备的安全建议 - "'随机数生成器'这一短语应作如下解析。它是一个数字的随机发生器。它不是一个随机数的生成器"。
RFC #4122: UUID - 安全方面的考虑 - "不要认为UUID难以猜测；它们不应该被用作安全能力（仅仅拥有它就能授予访问权的标识）"。UUIDs被设计成唯一的，而不是随机的或不可预测的：不要把UUIDs作为一个秘密。
Awesome Identifiers - 所有标识符格式的一个基准。
Awesome GUID - 对唯一标识的全局性方面做的有趣讨论。

零信任网络

零信任网络安全的运作原则是 "永不信任，永远验证"。

BeyondCorp：企业安全的新方法 - 简要概述谷歌的零信任网络方案。
什么是 BeyondCorp？什么是身份感知代理？ - 越来越多的公司添加了额外的 VPN、防火墙、限制和限制层，导致糟糕的体验和轻微的安全增益。是存在更好的方法。
oathkeeper - 身份与访问代理和访问控制决策API，对进入的HTTP请求进行认证、授权和变异。受BeyondCorp / Zero Trust白皮书的启发。
transcend - BeyondCorp 启发的访问代理服务器。
Pomerium - 一种身份感知代理，支持对内部应用程序的安全访问。

认证

用于确认你是相应的人的协议和技术。

API Tokens: A Tedious Survey - 对终端用户 API 的所有基于令牌的认证方案进行概述和比较。
服务间认证方案的儿童花园 - 与上述精神相同，但这次是在服务层面。
在 Facebook 扩展后端身份验证 - 简而言之，如何做：1.小的信任根；2.TLS 是不够的；3.基于证书的令牌；4.加密认证令牌（CATs）。更多细节见幻灯片。

基于密码

新的 NIST 密码指南 - NIST Special Publication 800-63B 的摘要，涵盖了新的密码复杂性指南。
密码存储备忘 - 减缓离线攻击的唯一方法是谨慎地选择尽可能密集资源的哈希算法。
密码过期作废 - 最近的科学研究对许多长期存在的密码安全实践（例如密码过期策略）的价值提出质疑，并指出更好的替代方案，例如执行禁止密码列表和 MFA。
更强大、更实用的密码的实用建议 - 本研究建议关联如下几个方法：针对常见泄露密码的黑名单检查、无字符类要求的密码策略、最小强度策略。
银行、任意的密码限制以及为什么它们并不重要 - “对长度和字符组成的任意低限制是不好的。它们看起来很糟糕，会导致对安全状况的负面猜测，并且会破坏密码管理器等工具。”
愚蠢的密码规则 - 使用愚蠢的密码规则的糟糕网站。
普通文本罪犯 - 公开羞辱以纯文本存储密码的网站。
密码管理器资源 - 一个按网站分类的密码规则、更改URL和怪癖的集合。
更改密码的著名网址 - 定义密码更新的网站资源的规范。
如何改变已经散列的用户密码的散列方案 - 好消息是：你并没有被困在一个传统的密码保存方案中。这里有一个技巧，可以透明地升级到更强大的散列算法。

多因素

在仅密码的AUTH的基础上，这些方案中要求用户提供两个或更多的证据（或因素）。

打破密码的依赖性。微软最后一公里的挑战 - 帐户黑客攻击的主要来源是密码喷洒（在 SMTP、IMAP、POP 等传统身份验证上），其次是重放攻击。要点：密码不安全，使用并执行 MFA。
超越密码：2FA、U2F 和 Google 高级保护 - 全面了解所有这些技术。
回溯认证的长期比较研究 - 要点：“基于电子邮件和短信的方案更有用。另一方面，基于指定受托人和个人知识问题的机制在便利性和效率方面都存在不足。”
秘密、谎言和帐户恢复：谷歌使用个人知识问题的经验教训 - "我们的分析证实，秘密问题通常提供的安全级别远远低于用户选择的密码。(......)令人惊讶的是，我们发现造成这种不安全的一个重要原因是用户经常不如实回答。(......)在可用性方面，我们表明秘密答案的记忆性出奇的差"。
基本的账户卫生在防止劫持方面的效果如何 - 谷歌安全团队的数据显示，2FA 阻止了100%的自动机器人黑客。
你的 Pa$$word 无关紧要 - 与上述 Microsoft 的结论相同：“根据我们的研究，如果您使用 MFA，您的帐户被盗用的可能性会降低 99.9% 以上。”
攻击 Google 身份验证器 - 可能处于偏执狂的边缘，但可能是限制 2FA 验证尝试的原因。
通过破解语音邮件系统来破坏在线帐户 - 或者说，为什么你不应该依靠自动电话作为联系用户和重置密码、2FA 或进行任何形式的验证的方法。与基于短信的 2FA 不一样，它目前是不安全的，可以通过其最薄弱的环节：语音邮件系统的方式进行破坏。
2019 年正确对待 2FA - 关于 2FA 的用户体验方面。
2FA 缺少一个关键功能 - “当我的 2FA 代码输入错误时，我想知道这件事”。
南极洲的 SMS 多因素认证 - 不起作用，因为在南极洲的站点没有手机信号塔。
Authelia - 开源认证和授权服务器，通过网络门户为你的应用程序提供双因素认证和单点登录（SSO）。
Kanidm - 简单、安全、快速的身份管理平台。

基于短信

太长了，细节详情见下面的文章

短信 2FA 认证已被 NIST 废止 - NIST 表示，自2016年以来，通过短信进行的 2FA 是糟糕的、可怕的。
SMS：最流行但最不安全的 2FA 方法
SMS 2FA 安全吗？不。 - 权威研究项目展示了 SIM 交换的成功尝试。
黑客攻击 Twitter CEO 杰克·多尔西 (Jack Dorsey) 在“SIM 交换”中。你也有危险。
美国电话电报公司代表将其手机账户的控制权交给黑客
我一生中最昂贵的一课：SIM 端口黑客攻击的详细信息
SIM 卡交换恐怖故事
AWS 正在逐步弃用基于 SMS 的 2FA - “我们鼓励您通过 U2F 安全密钥、硬件设备或虚拟（基于软件的）MFA 设备使用 MFA。您可以在 2019 年 1 月 31 日之前继续使用此功能。”

无密码

无密码的争论 - 密码不是用户身份验证的全部和最终结果。这篇文章试图告诉你为什么。
神奇的链接 - 它们实际上已经过时了吗？ - 什么是神奇的链接，它们的起源，优点和缺点。

WebAuthn

fido2项目的一部分，也以 passkeys 的用户友好名称为名。

WebAuthn 指南 - 这是一份非常容易理解的WebAuthn指南，该标准允许 "服务器使用公钥加密技术而不是密码来注册和验证用户"，所有主要浏览器都支持。
清除对Passkeys的一些误解 - 或者为什么Passkey不比密码差。

安全密钥

Webauthn 和安全密钥 - 描述身份验证如何使用安全密钥，详细说明协议，以及它们如何与 WebAuthn 结合。要点：“但是，无法使用 webauthn 创建 U2F 密钥。 (...) 所以先完成登录过程到 webauthn 的过渡，然后再过渡注册。”
开始使用安全密钥 - 使用 FIDO2、WebAuthn 和安全密钥保持在线安全和防止网络钓鱼的实用指南。
Solo - 通过 USB + NFC 打开支持 FIDO2 和 U2F 的安全密钥。
OpenSK - 用 Rust 编写的安全密钥的开源实现，支持 FIDO U2F 和 FIDO2 标准。
YubiKey 指南 - 使用 YubiKey 作为存储 GPG 加密、签名和身份验证密钥的智能卡的指南，它也可以用于 SSH。本文档中的许多原则适用于其他智能卡设备。
YubiKey at Datadog - Yubikey、U2F、GPG、git、SSH、Keybase、VMware Fusion 和 Docker Content Trust 设置指南。

公钥基础设施

基于证书的身份验证。

忙碌者的 PKI - 重要内容的快速概述。
关于证书和 PKI 你应该知道但不敢问的一切 - PKI 让你以加密方式定义一个系统。它是通用的，并且是供应商中立的。
lemur - 充当 CA 和环境之间的代理，为开发人员提供中央门户以颁发具有“正常”默认值的 TLS 证书。
CFSSL - CloudFlare 的 PKI/TLS 瑞士军刀。用于签署、验证和捆绑 TLS 证书的命令行工具和 HTTP API 服务器。
JA3 - 创建 SSL/TLS 客户端指纹的方法，应该可以在任何平台上轻松生成，并且可以轻松共享以获取威胁情报。

JWT

JSON 网络令牌是不记名的令牌。

JSON Web Token 简介 - 通过本文快速了解 JWT。
了解如何使用 JWT 进行身份验证 - 了解如何使用 JWT 来保护您的 Web 应用程序。
使用 JSON Web 令牌作为 API 密钥 - 与 API 密钥相比，JWT 提供了细粒度的安全性、同质身份验证架构、去中心化发布、OAuth2 合规性、可调试性、过期控制、设备管理。
管理一个安全的 JSON 网络令牌实现 - JWT有各种各样的灵活性，使它很难用好。
硬编码的密钥、未经验证的令牌和其他常见的 JWT 错误 - 对所有 JWT 的陷阱进行了很好的总结。
将 JSON 网络令牌 API 密钥添加到拒绝列表中 - 在令牌失效时。
停止对会话使用 JWT - 以及为什么你的 "解决方案 "不起作用，因为无状态的JWT令牌不能被废止或更新。它们会引入大小问题或安全问题，这取决于你将它们存储在哪里。有状态的 JWT 令牌在功能上与会话 cookie 相同，但没有经过实战检验和充分审查的实现或客户端支持。
JWT、JWS 和 JWE 是为不那么愚蠢的人准备的! - 经过签名的 JWT 被称为 JWS（JSON Web Signature）。事实上，JWT 本身并不存在--它必须是一个JWS 或 JWE（JSON Web Encryption）。它就像一个抽象类，JWS 和 JWE 是具体的实现。
JOSE 是每个人都应该避免的坏标准 - 这些标准要么是完全破碎的，要么是难以驾驭的复杂雷区。
JWT.io - 允许你解码、验证和生成JWT。
loginsrv - 独立的简约登录服务器，为多个登录后端（htpasswd、OSIAM、用户/密码、HTTP 基本身份验证、OAuth2：GitHub、Google、Bitbucket、Facebook、GitLab）提供 JWT 登录。
jwtXploiter - 一个测试 json web token 安全性的工具。

授权

现在我们知道你就是你。但是你可以做你想做的事吗？

策略规范是科学，执行是艺术。

策略模型

作为一个概念，访问控制策略可以设计为遵循非常不同的原型，从经典的访问控制列表到基于角色的访问控制。在本节中，我们将探索许多不同的模式和架构。

为什么授权很难 - 因为它需要在很多地方需要的执行、决策架构上进行多重权衡以将业务逻辑与授权逻辑分开，以及在建模上平衡功率和复杂性。
用户授权的永无止境的产品要求 - 基于角色的简单授权模型是如何不够的，并且由于产品包装、数据定位、企业组织和合规性而迅速变得复杂。
拟采用的 RBAC 方式 -我们如何从 DAC（unix 权限、秘密 URL）到 MAC（DRM、MFA、2FA、SELinux），再到 RBAC。详细说明后者如何允许更好地建模策略、ACL、用户和组。
细粒度权限的案例 - 讨论 RBAC 的局限性以及 ABAC（基于属性的访问控制）如何解决这些问题。
寻找完美的访问控制系统 - 授权计划的历史渊源。暗示了不同团队和组织之间共享、信任和授权的未来。
AWS IAM 角色，一个不必要的复杂故事 - 快速增长的 AWS 的历史解释了当前方案是如何形成的，以及它与 GCP 资源层次结构的比较。
GCP IAM语法比AWS更好 - GCP中许可设计的细节可改善发育器的经验。
使用 SMT 的 AWS 访问策略的基于语义的自动推理 - Zelkova 是 AWS 的做法。该系统对IAM策略进行符号分析，根据用户权限和访问约束解决资源可达性问题。另请参阅更高级别的在 re:inforce 2019 上给出的介绍。
Zanzibar：谷歌一致的全球授权系统 - 可扩展到每秒数万亿个访问控制列表和数百万个授权请求，以支持数十亿人使用的服务。在 3 年的生产使用中，它一直保持低于 10 毫秒的 95% 延迟和高于 99.999% 的可用性。论文中没有的其他内容。 Zanzibar Academy 是一个致力于解释 Zanzibar 运作方式的网站。
SpiceDB - 一个开源数据库系统，用于管理受 Zanzibar 启发的安全关键应用程序权限。
围绕标记的安全性和 RBAC 概念构建的 authz 系统的描述。
授权学院 - 对授权进行深入的、与供应商无关的处理，强调心智模型。本指南向读者展示了如何考虑他们的授权需求，以便就其授权架构和模型做出正确的决策。

开源策略框架

如果你想推出你自己的策略实施，收集的开源项目。

Keto - 策略决定点。它使用一组访问控制策略，类似于 AWS 策略，以确定主体是否有权对资源执行特定操作。
Ladon - 受 AWS 启发的访问控制库。
Athenz - 支持服务身份验证和基于角色的授权 (RBAC) 的服务和库集，用于部署和配置。
Casbin - Golang 项目的开源访问控制库。
Open Policy Agent - 一个开源通用决策引擎，用于创建和实施基于属性的访问控制 (ABAC) 策略。
Topaz - 一个开源项目，它将 OPA 的策略即代码和决策日志记录与 Zanzibar 模型目录相结合。
Open Policy Administration Layer - OPA 的开源管理层，实时检测政策和政策数据的变化，并将实时更新推送给 OPA 代理。 OPAL 使开放策略达到实时应用程序所需的速度。
Gubernator - 高性能限速微服务和库。
Biscuit - Biscuit 合并了来自 cookies、JWTs、macaroons 和 Open Policy Agent 的概念。 “它提供了一种基于 Datalog 的逻辑语言来编写授权策略。它可以存储数据，如 JWT，或像 Macaroons 这样的小条件，但它也能够表示更复杂的规则，如基于角色的访问控制、委托、层次结构。”
Oso - 一个包含电池的库，用于在您的应用程序中构建授权。
Cerbos - 用于编写上下文感知访问控制策略的授权端点。
Warrant - 基于关系的访问控制（REBAC）引擎（受Google Zanzibar的启发）也能够执行任何授权范式，包括RBAC和ABAC。

AWS 策略工具

专门针对 AWS IAM 策略生态系统的工具和资源。

成为 AWS IAM 策略忍者 - “在亚马逊工作近 5 年的时间里，我每天、每周都会抽出一点时间浏览论坛、客户工单，试图找出人们遇到问题的地方。”
Cloudsplaining - 安全评估工具，可识别违反最小特权的行为并生成风险优先报告。
Policy Sentry - 手动编写具有安全意识的 IAM 策略可能非常乏味且效率低下。 Policy Sentry 可帮助用户在几秒钟内创建最低权限策略。
Aardvark and Repokid - 用于在 AWS 上实施最低权限的 Netflix 工具。这个想法是，对新事物的默认策略是全部拒绝，然后它会监控 cloudtrail 是否存在权限故障，并重新配置 IAM 以允许尽可能小的权限来摆脱该拒绝消息。
Principal Mapper - 快速评估权限。
PolicyUniverse - 解析和处理 AWS 策略、语句、ARN 和通配符。
IAM Floyd - 具有流畅界面的 AWS IAM 策略语句生成器。通过 IntelliSense 提供条件和 ARN 生成，帮助创建类型安全的 IAM 策略并编写更具限制性/安全的语句。适用于 Node.js、Python、.Net 和 Java。
ConsoleMe - 一种适用于 AWS 的自助服务工具，它根据跨多个账户管理权限的授权级别为最终用户和管理员提供登录账户的凭据和控制台访问权限，同时鼓励使用最低权限。
IAMbic - 適用於 IAM 的 GitOps。 Cloud IAM 的 Terraform。 IAMbic 是一個多雲身份和訪問管理 (IAM) 控制平面，可集中和簡化雲訪問和權限。它在版本控制中維護 IAM 的最終一致、人類可讀的雙向表示。

Macaroons

分配和委托授权的巧妙好奇。

五分钟或更短时间内完成 Google 的 Macaroon - 如果给我一个授权我在某些限制下执行某些操作的 Macaroon，我可以非交互地构建第二个具有更严格限制的 Macaroon，然后我可以给你。
Macaroons: 为云中的分散式授权提供带有上下文警告的Cookies - 谷歌的原始论文。
Google 论文的作者比较了 Macaroons 和 JWT - 作为 Macaroons 的消费者/验证者，它们允许您（通过第三方警告）将某些授权决定推迟给其他人，JWT 没有。

OAuth2 & OpenID

OAuth 2.0 是一个委托授权框架。 OpenID Connect (OIDC) 是其之上的身份验证层。

旧的 OpenID 已死；新的 OpenID Connect 还没有死。

OAuth 身份验证的问题 - “问题是 OAuth 2.0 是委托授权协议，而不是身份验证协议。” 10年后，这篇文章仍然是关于为什么使用OpenID Connect而不是普通OAuth2的最好解释？
OAuth 和 OpenID Connect 图解指南 - 使用简化的插图解释这些标准的工作原理。
OAuth 2 简化版 - 以简化格式描述协议的参考文章，以帮助开发人员和服务提供商实施它。
OAuth 2.0 和 OpenID 连接（通俗易懂） - 首先介绍了这些标准是如何形成的历史背景，澄清了词汇中的不正确之处，然后详细介绍了协议及其陷阱，使其不那么令人生畏。
关于 OAuth (2.0) 你需要知道的一切 - 很好的概述和实际案例研究，介绍了开源远程访问工具 Teleport 如何允许用户通过 GitHub SSO 登录。
一张图看懂 OAuth - 一张漂亮的总结卡。
如何通过六个步骤实现安全的中央认证服务 - 有多个遗留系统要与它们自己的登录方式和账户合并？这里是如何通过 OIDC 的方式来合并所有这些混乱的系统。
开源 BuzzFeed 的 SSO 体验 - 中央认证服务 (CAS) 协议的 OAuth2 友好改编。您会在那里找到很好的 OAuth 用户流程图。
OAuth 2.0 安全的当前最佳实践 - "更新和扩展了 OAuth 2.0 的安全威胁模型，以纳入自 OAuth 2.0 发布以来收集的实际经验，并涵盖了由于更广泛的应用而产生的相关新威胁"。
隐藏的 OAuth 攻击载体 - 如何识别和利用 OAuth 2.0 认证机制中发现的一些关键漏洞。
PKCE 的解释 - "PKCE 用于为 OAuth 和 OpenID Connect 中的授权代码流提供多一个安全层。"
Hydra - 开源的 OIDC 和 OAuth2 服务器。
Keycloak - 开源的身份和访问管理。支持 OIDC、OAuth 2和SAML 2、LDAP 和 AD 目录、密码策略。
Casdoor - 基于 UI 优先的集中式身份验证/单点登录 (SSO) 平台。支持 OIDC 和 OAuth 2、社交登录、用户管理、基于电子邮件和短信的 2FA。
authentik - 类似于 Keycloak 的开源身份提供者。
ZITADEL - 使用 Go 和 Angular 构建的开源解决方案，用于管理您的所有系统、用户和服务帐户及其角色和外部身份。 ZITADEL 为您提供 OIDC、OAuth 2.0、登录和注册流程、无密码和 MFA 身份验证。所有这一切都建立在事件溯源之上，并结合 CQRS 来提供出色的审计跟踪。
a12n-server - 一个简单的身份验证系统，仅实现 OAuth2 标准的相关部分。
Logto - 使用此基于 OIDC 的身份服务构建登录、身份验证和用户身份。
OpenID 的衰落D - OpenID 在公共网络中被替换为 OAuth 1、OAuth 2 或其他专有 SSO 协议的混合体。
为什么 Mastercard 不使用 OAuth 2.0 - "他们这样做是为了提供消息级的完整性。OAuth 2改成了传输级的保密性/完整性。" (由 TLS 提供这个定性) (来源).
OAuth 2.0 and the Road to Hell - Oauth 2.0 規範的主要作者和編輯的辭職信。

SAML

安全断言标记语言 (SAML) 2.0 是一种在服务之间交换授权和身份验证的方法，例如上面的 OAuth/OpenID 协议。

典型的 SAML 身份提供商是机构或大公司的内部 SSO，而典型的 OIDC/OAuth 提供商是运行数据孤岛的科技公司。

SAML vs. OAuth - “OAuth 是一种授权协议：它确保 Bob 前往正确的停车场。相比之下，SAML 是一种用于身份验证的协议，或者允许 Bob 通过警卫室。”
SAML 2.0 和 OAuth 2.0 的区别 - “尽管 SAML 实际上被设计为具有广泛的适用性，但其当代用途通常转向企业 SSO 场景。另一方面，OAuth 被设计用于 Internet 上的应用程序，尤其是委托授权。”
OAuth、OpenID Connect 和 SAML 之间有什么区别？ - 身份是困难的。我们总是欢迎对不同协议的另一种看法，以帮助理解这一切。
SAML 2.0 认证如何工作 - 概述 SSO 和 SAML 的方式和原因。
Web 单点登录，SAML 2.0 视角 - 在公司 SSO 实施的上下文中对 SAML 工作流的另一种简要解释。
SAML 啤酒饮用者指南 - SAML 有时很神秘。另一个类比可能有助于从中获得更多意义。
SAML 在设计上是不安全的 - 不仅奇怪，SAML 在设计上也不安全，因为它依赖于基于 XML 规范化的签名，而不是 XML 字节流。这意味着您可以利用 XML 解析器/编码器的差异。
SAML 单点退出的难点 - 关于单点注销实施的技术和用户体验问题。
SSO的耻辱墙 - 对 SaaS 提供商为在其产品上激活 SSO 而实行的过高定价进行了有记录的咆哮。作者的观点是，作为核心安全功能，SSO 应该合理定价，而不是排他性层的一部分。

秘密管理

允许存储和使用秘密的架构、软件和硬件允许进行身份验证和授权，同时维护信任链。

Netflix 的大规模秘密 - 基于盲签名的解决方案。见幻灯片.
Google 内部 KMS 中的高可用性 - 不是 GCP 的 KMS，而是其基础架构的核心。见幻灯片.
HashiCorp Vault - 保护、存储和严格控制对令牌、密码、证书、加密密钥的访问。
Infisical - HashiCorp Vault 的替代品。
sops - 加密 YAML 和 JSON 文件的值，而不是密钥。
gitleaks - 审计 git repos 的秘密。
truffleHog - 在 git 存储库中搜索高熵字符串和秘密，深入挖掘提交历史。
Keywhiz - 一种用于管理和分发机密的系统，可以很好地适应面向服务的体系结构 (SOA)。
roca - 用于检查各种密钥格式的弱 RSA 模块的 Python 模块。

硬件安全模块 (HSM)

HSM 是在硬件层面保证秘密管理安全的物理设备。

HSM：它们是什么以及为什么您今天可能（间接）使用过它们 - HSM 用法的真正基本概述。
AWS Cloud HSM 硬件花絮 - AWS CloudHSM Classic 由 SafeNet 的 Luna HSM 提供支持，当前的 CloudHSM 依赖于 Cavium 的 Nitrox，它允许分区的“虚拟 HSM”。
CrypTech - 一个开放的硬件 HSM。
Keystone - 用于基于 RISC-V 架构构建具有安全硬件飞地的可信执行环境 (TEE) 的开源项目。
Project Oak - 数据安全传输、存储和处理的规范和参考实现。
大家冷静点，这是抢劫！ - HSM 漏洞和可利用性的案例研究（这一篇文章是法语 😅）。

信任与安全

一旦你有了一个重要的用户群，它就被称为一个社区。然后你将负责保护它：客户、人们、公司、企业，并促进其中发生的所有互动和交易。

信任与安全部门是一个受政策驱动和当地法律约束的关键中介机构，可能由一个由 24/7 运营商和高度先进的调节和管理工具系统组成的跨职能团队体现。您可以将其视为客户支持服务的延伸，专门处理边缘案例，例如手动身份检查、有害内容的审核、停止骚扰、处理授权和版权索赔、数据封存和其他信用卡纠纷。

信任与安全 101 - 关于域及其职责的精彩介绍。
信任和安全到底是什么？ - 几个真实的用例来展示 TnS 团队的作用。

账单和付款清单的备忘列表：欺诈链接 - 专门用于计费和支付欺诈管理的部分，来自我们的姊妹 Git 仓库。

用户身份

大多数企业不会收集客户的身份信息来创建用户档案以出售给第三方，不会。但你仍然必须这样做：当地法律要求在 "了解你的客户" (Know You Customer KYC) 的大旗下跟踪合同关系。

身份法则 - 虽然本文的目标是身份元系统，但它的法则在较小的范围内仍然提供了很好的见解，特别是第一条法则：总是允许用户控制并征求同意以赢得信任。
Uber 是如何迷路的 - “为了限制‘摩擦’，Uber 允许乘客在注册时无需提供电子邮件（很容易伪造）或电话号码以外的身份信息。 (...) 车辆被盗并被烧毁；司机遭到殴打、抢劫，有时甚至被谋杀。该公司坚持使用低摩擦注册系统，即使暴力事件有所增加。”
个人姓名匹配的比较：技术和实际问题 - 客户姓名匹配有很多应用，从重复数据删除到欺诈监控。
统计学上可能的用户名 - 用于创建统计学上可能的用户名的词表，以用于用户名枚举、模拟密码攻击和其他安全测试任务。
Facebook 上的危险个人和组织名单 - 一些团体和内容在一些司法管辖区是非法的。这是一个封锁名单的例子。
Ballerine - 一个用于用户身份和风险管理的开源基础设施。
Sherlock - 在社交网络中按用户名猎取社交媒体账户。

欺诈

作为一个在线服务提供商，你面临着欺诈、犯罪和滥用的风险。你会惊讶于人们在涉及到金钱时的聪明程度。预计你的工作流程中的任何错误或差异都会被利用来获取经济利益。

在 Car2Go 放宽背景调查后，其75辆车在一天内被盗。 - 为什么背景调查有时是必要的。
调查异常注册 - 对 OpenStreetMap 上可疑贡献者注册的详细分析。这份精美而高层次的报告展示了一场精心策划和定向的活动，可以作为欺诈报告的模板。
MIDAS：检测边缘流中的微集群异常 - 一种提议方法“使用恒定时间和内存检测边缘流中的微簇异常，或突然到达的可疑相似边缘组。”
Gephi - 用于可视化和操作大型图形的开源平台。

Moderation

任何在线社区，不仅是与游戏和社交网络相关的社区，都需要其运营商投入大量资源和精力来对其进行管理。

仍在登录了。AR 和 VR 可以从 MMO 中学习什么？ - “如果你主持一个在线社区，在那里人们可以伤害另一个人：你就上钩了。如果你负担不起被骗的后果，就不要主持在线社区”。
你要么死于 MVP，要么活到足够长的时间来建立内容节制。 - "你可以通过考虑三个维度来思考这个问题的解决空间：成本、准确性和速度。还有两种方法：人类审查和机器审查。人类在其中一个维度上很出色：准确性。缺点是，人类的成本高，速度慢。机器，或称机器人，在另外两个方面很出色：成本和速度--它们要便宜得多，速度也快。但是，目标是要找到一个机器人解决方案，同时对你的需求有足够的准确性"。
把坏苹果拒之门外：如何调节市场 - “拥有权利的同时也被赋予了重大的责任。我的一些提示和技巧可以让你的市场变得更安全。”
人们的绝望和黑暗会影响到你 - 大量的外包分包商负责管理庞大的社交网络。这些人暴露在最坏的情况下，通常最终会患上创伤后应激障碍。
The Cleaners - 一部关于这些薪酬过低的团队删除帖子和删除帐户的纪录片。

威胁情报

如何检测、解密和分类攻击性的在线活动。大多数时候，这些都是由安全、网络和/或基础设施工程团队监控的。不过，这些都是技术与服务和 IAM 人员的良好资源，他们可能会被要求提供额外的专业知识来分析和处理威胁。

很棒的威胁情报 - "威胁情报的简明定义：基于证据的知识，包括背景、机制、指标、影响和可操作的建议，涉及对资产的现有或新出现的威胁或危险，可用于为主体应对该威胁或危险的决策提供信息。"
SpiderFoot - 一个开源的情报（OSINT）自动化工具。它与几乎所有可用的数据源集成，并使用一系列的方法进行数据分析，使这些数据易于浏览。
与威胁情报有关的标准 - 支持威胁情报分析的开放标准、工具和方法。
MISP 分类法和分类 - 组织有关“威胁情报，包括网络安全指标、金融欺诈或反恐信息”的信息的标签。
浏览器指纹识别：调查 - 指纹可作为识别机器人和欺诈者的信号来源。
文件格式的挑战 - 在某个时候，你会让用户在你的系统中上传文件。这里有一个可疑媒体文件的语料库，可以被骗子利用来绕过安全或愚弄用户。
SecLists - 收集安全评估期间使用的多种类型的列表，收集在一个地方。列表类型包括用户名、密码、URL、敏感数据模式、模糊处理有效载荷、网络外壳等等。
PhishingKitTracker - 威胁行为者在网络钓鱼工具包中使用的电子邮件地址的 CSV 数据库。
PhoneInfoga - 扫描电话号码的工具，只使用免费资源。目标是首先收集标准信息，如国家、地区、运营商和任何国际电话号码的线路类型，并有非常好的准确性。然后在搜索引擎上搜索足迹，试图找到网络电话供应商或确定其所有者。
易混淆的同音字 - 同音字是一种常见的网络钓鱼伎俩。

验证码

对付垃圾邮件的另一道防线。

Awesome Captcha - 参考所有开源的验证码库、集成、替代品和破解工具。
reCaptcha - 当你的公司没有能力拥有一个专门的团队在互联网规模上打击机器人和垃圾邮件的时候，reCaptcha 仍然是一个有效、经济和快速的解决方案。
你（可能）不需要ReCAPTCHA - 开始时咆哮说该服务是一个隐私的噩梦，在用户界面上也很乏味，然后列出替代方案。
Anti-captcha - 验证码的解决服务。

黑名单

防止滥用的第一道机械防线包括简单明了的拒绝列表。这是打击欺诈行为的低垂果实，但你会惊讶地发现它们仍然有效。

Bloom Filter - 非常适合这种用例，因为布隆过滤器旨在快速检查元素是否不在（大）集合中。特定数据类型存在布隆过滤器的变体。
Radix 树如何使阻断 IP 的速度提高5000倍 -Radix 树可能对加快 IP 封锁名单的速度很有帮助。

主机名和子域

有助于识别客户，捕捉和阻止机器人群，并限制 dDOS 的影响。

hosts - 合并有信誉的主机文件，并将它们合并成一个统一的主机文件，删除重复的部分。
nextdns/metadata - 广泛收集安全、隐私和家长控制的清单。
公共后缀列表 - Mozilla的公共后缀注册处，互联网用户可以（或在历史上可以）直接注册名字。
国家IP区块 - CIDR 国家层面的 IP 数据，直接来自区域互联网注册中心，每小时更新一次。
证书透明化子域 - 每小时更新一次从证书透明度日志中收集的子域列表。
子域否认列表: #1, #2, #3, #4.
common-domain-prefix-suffix-list.tsv - 前5000个最常见的域名前缀/后缀列表。
hosts-blocklists -没有更多的广告、跟踪和其他虚拟垃圾。
xkeyscorerules100.txt - NSA 的 XKeyscore 对TOR和其他匿名保存工具的匹配规则。
pyisp - IP 到 ISP 的查询库（包括 ASN）。
AMF网站封锁名单 - 法国官方否认与金钱有关的欺诈网站名单。

邮件

烧录机电子邮件供应商 - 一个临时电子邮件提供商的列表。以及其衍生的Python模块.
MailChecker - 跨语言的临时（一次性/抛弃式）电子邮件检测库。
临时电子邮件地址域名 - 一次性和临时电子邮件地址的域名列表。用于过滤你的电子邮件列表，以提高打开率（向这些域名发送电子邮件可能不会被打开）。
gman - "一个红宝石，用于检查一个给定的电子邮件地址或网站的所有者是否在为政府工作（又称验证政府域）。" 在你的用户群中寻找潜在的政府客户的良好资源。
Swot - 与上述精神相同，但这次是为了标记学术用户。

保留的 ID

保留字的总清单 - 这是你可能要考虑保留的一个一般的单词列表，在一个系统中，用户可以挑选任何名字。
要保留的主机名和用户名 - 所有应限制在自动系统中注册的名字的清单。

诽谤

肮脏、顽皮、淫秽和其他坏词列表 - 来自 Shutterstock 的诽谤黑名单。
profanity-check - 使用在 200k 人类标记的干净和亵渎文本字符串样本上训练的线性 SVM 模型。

隐私

作为用户数据的守护者，IAM 技术栈中深受隐私尊重的约束。

隐私增强技术决策树 - 根据数据类型和上下文选择正确工具的流程图。
我们喜欢的论文：隐私 - 通过设计提供隐私的方案的科学研究集合。
IRMA 认证 - 使用 Camenisch 和 Lysyanskaya 的 Idemix 提供隐私友好的基于属性的身份验证和签名的开源应用程序和协议。
我被骗了吗？ - 数据泄露指数。
软件开发人员的自动化安全测试 -第三方依赖项中的已知漏洞允许大多数隐私泄露。下面介绍如何通过 CI/CD 的方式检测它们。
世界各地的电子邮件营销法规 - 随着世界的联系越来越紧密，电子邮件营销的监管情况也变得越来越复杂。
世界上最大的数据泄露和黑客攻击事件 - 不要成为下一个泄露客户数据的公司。

匿名化

作为用户数据的中央存储库，IAM 技术栈的相关人员必须防止任何业务和客户数据的泄漏。为了允许内部分析，需要进行匿名化。

哈希法用于匿名的虚假诱惑 - Hashing 不足以实现匿名化。但对于假名化（GDPR允许的）来说，它仍然足够好。
四分钱去掉匿名：公司反向散列的电子邮件地址 - "哈希的电子邮件地址可以很容易地被逆转，并与个人联系起来"。
为什么差异化的隐私是了不起的 - 解释差异隐私背后的直觉，这是一个理论框架，允许在不影响保密性的情况下共享聚合数据。参见后续文章更多细节和实践方面。
K-匿名性：简介 - 一个替代性的匿名隐私模型。
Presidio - 语境感知、可插拔和可定制的数据保护和PII数据匿名化服务，用于文本和图像。
Diffix：高实用性数据库匿名化 - Diffix 试图提供匿名化，避免假名化并保持数据质量。在Aircloak 用 Elixir 编写，它作为分析师和未修改的实时数据库之间的一个SQL代理。

GDPR

众所周知的欧洲隐私框架

GDPR Tracker - 欧洲的参考网站。
GDPR 开发指南 - 开发者的最佳实践。
GDPR – 开发人员的实用指南 - 上述内容的一页摘要。
GDPR Tracker - 追踪云服务和子处理者的GDPR合规性。
GDPR 文档 - 供个人使用的模板，让公司遵守 "数据访问 "要求。
GDPR 之后的黑暗模式 - 本文表明，由于缺乏 GDPR 法律的执行，黑暗模式和默示同意无处不在。
GDPR 执行情况跟踪 - GDPR的罚款和处罚清单。

UX/UI

作为 IAM 技术栈的利益相关者，你将在后端实现建立注册通道和用户入职所需的大部分原语。这是客户对你的产品的第一印象，不能被忽视：你必须和前端专家一起精心设计。这里有几个指南可以帮助你打磨这种体验。

2020 年 SaaS 产品入职的状况 - 涵盖了用户入职的所有重要方面。
用户入职拆解 - 一个巨大的被解构的首次用户注册的列表。
发现领先公司的 UI 设计决策 - 从泄露的截图和 A/B 测试。
转换优化 - 一组战术，以增加用户完成账户创建漏斗的机会。
Trello 用户入职培训 - 一个详细的案例研究，很好地介绍了如何改善用户的入职。
改善注册/登录用户体验的11个技巧 - 关于登录表格的一些基本提示。
不要在登录表格上耍小聪明 - 创建简单、可链接、可预测的登录表格，并与密码管理器很好地配合。
为什么用户名和密码在两个不同的页面上？ - 要同时支持SSO和基于密码的登录。现在，如果将登录漏斗分成两步，对用户来说太令人生气了，可以像Dropbox那样解决这个问题：当你输入用户名时，会有一个AJAX请求.
用 HTML 属性来改善你的用户的双因素认证体验 - "在这篇文章中，我们将看看不起眼的 <input> 元素和 HTML 属性，这将有助于加快我们用户的双因素认证体验"。
移除密码掩码 - 总结了一项学术研究的结果，该研究调查了去除密码掩码对消费者信任的影响。
对于那些认为 "我可以在一个周末建立 "的人，Slack 是这样决定发送通知的 - 通知是困难的。真的很难。

竞争分析

一堆资源，以跟踪所有在该领域经营的公司的现状和进展。

AWS 安全、身份与合规公告 - 所有添加到 IAM 周边的新功能的来源。
GCP IAM 发布说明 - Also of note: 身份, 身份平台, 资源管理, 密钥服务/HSM, 访问环境管理器, 身份感知代理, 数据丢失预防 and 安全扫描器.
非官方的谷歌云平台周报 - Relevant keywords: IAM and 安全.
DigitalOcean 账户变化日志 - 关于 DO 的所有最新账户更新。
163 项 AWS 服务各用一行解释 -帮助使他们巨大的服务目录变得有意义。本着同样的精神：AWS 的简单术语 & 通俗易懂的 AWS.
谷歌云开发者的小抄 - 用4个字或更少描述所有 GCP 产品。

历史

cryptoanarchy.wiki - Cypherpunks 与安全重合。这个维基汇编了有关该运动、其历史和值得注意的人/事件的信息。

贡献

我们永远欢迎你的贡献! 请先看一下贡献指南。

Footnotes

标题图片是基于Ben Sweet.的照片修改的。

[0]: 您可以通过 GitHub 赞助将您的身份和身份验证产品添加到赞助商列表中。 [↑]

[1]: Poison Study (Mira, 2007). [↑]

Files

readme.zh.md

Latest commit

History