零信任安全的重點摘要整理：

# 零信任安全講座的重點摘要整理： 1. **無密碼認證服務**：企業可提升安全性，透過無密碼認證服務輕鬆導入身分識別與存取管理。 2. **I+3A的基本要件**： - **身分識別**：利用唯一標識確認用戶。 - **身分驗證**：通過多種方式如密碼或生物特徵確保用戶身份的真實性。 - **授權**：在身分驗證後賦予用戶特定的訪問權限。 - **歸責**：記錄用戶活動以便於安全監控和審計。 3. **多因素驗證 (MFA)**：結合多種驗證方法，如知識、持有物和生物特徵等。 4. **NIST SP 800-63B驗證器保證層級**： - **AAL1**：低風險場景。 - **AAL2**：中風險場景，需要多因素驗證。 - **AAL3**：高風險場景，需要更高級別的安全措施。 5. **FIDO身分驗證原理**： - 採用公私鑰技術，伺服器只儲存公鑰，使用生物特徵進行私鑰解鎖和身分驗證。 6. **多因子身分認證的比較**： - **FIDO無密碼身分驗證**：基於FIDO標準，不儲存密碼，使用生物辨識，安全便捷。 - **傳統多因子解決方案**：可能有密碼外洩風險，登入過程繁瑣，可能需額外憑證。 7. **FIDO UAF 和 FIDO 2**： - FIDO UAF：App內註冊和驗證，支援手機生物辨識。 - FIDO 2：瀏覽器註冊，支援外接硬體和裝置內建生物辨識。 8. **PassKeys規格**： - PassKeys支援跨裝置驗證，需藍芽啟用，自動同步至作業系統平台。 9. **系統要求**： - FIDO規格依作業系統有不同要求，PassKeys要求最高，Security Key要求最低。 10. **應用限制**： - FIDO UAF適用於App，FIDO 2要求較高但可脫離App使用。 11. **稽核與可問責性**： - 重視用戶活動追蹤、記錄，確保行為可追溯和負責。 12. **存取控制模型**： - **DAC(Discretionary Access Control)**：資源所有者控制訪問，彈性高但可能過度授權。 - **MAC(Mandatory Access Control)**：基於安全標籤和策略，安全性高但不夠靈活。 - **RBAC(Role-Based Access Control)**：按角色分配權限，簡化管理但可能缺乏個性化。 - **RB-RBAC(Rule-Based Role-Based Access Control)**：基於規則控制訪問，管理複雜但靈活。 13. **基於風險的存取控制 (RBAC)**： - 結合靜態和動態策略，根據風險情況進行存取決策，提供動態訪問控制，但技術複雜。 14. **身份驗證和授權機制**： - 關注用戶身份和數據安全，SAML和OIDC為主流標準。 15. **結語和建議**： - 身份與存取管理是資訊安全的核心，需評估流程，實施MFA，建立控制模型，進行培訓，並確保合規性和可問責性。