CIAM 如何平衡数据安全与客户体验?| 身份云研究院

news2024/12/28 17:38:54

普华永道研究表明,32% 的用户会因为一次体验不佳而放弃使用一个产品。无独有偶,据数据分析公司 Preact 研究显示,首次注册、登录或验证是最主要的用户流失环节,占整体流失率的 22.9%。

对于任何在网上做生意的公司来说,很难做到保证数据安全的同时为合法客户提供低摩擦的登录体验之间有一条界限。客户身份和访问管理(CIAM)就是可以成功平衡这两者的有效解决方案

01 用户账户流程以及 CIAM 如何管理每个阶段

  • 账户创建

强大的 CIAM 平台可以为你提供可信单一数据源 (SSoT)。可信单一数据源可将企业不同系统的数据进行统一的管理和整合,形成可信任的单一数据来源。除此之外,强大的 CIAM 还为客户提供所有应用系统的单一登录入口。不管有多少个应用系统,用户都只需要登录一次就可以访问所有

  • 账户维护

现阶段,自动化是 CIAM 最大的优势,比如自动重设密码、以及当用户意外创建了重复的账户的情况下合并账户的能力,都将有效减少你团队的后端工作量,同时保持足够低的摩擦,保证用户体验。

  • 账户终止

当用户放弃账户时,你需要一个流程来停用这些帐户并最终删除它们。这将防止这些凭据在未来的攻击场景中被使用,并保持你的用户帐户数据库只存在活跃用户。

02 数据安全的业务影响

一旦账户凭证被盗,恶意行为者有多种攻击载体可供选择,这包括:

  • 凭证填充攻击(Credential stuffing attacks)

当攻击者拿着一个被破解的凭证列表,通过登录流程运行所有这些组合,直到他们找到一个能解锁登录框的组合,这就叫凭证填充。由于密码的重复使用,这些攻击被证明对攻击者很有效。被攻破的用户名/密码组合的清单可以在暗网上找到,这使得凭证塞入攻击成为一种低耗能的入侵方式。

  • 企业电子邮件泄露攻击(BEC attacks)

BEC 攻击通常从以受信任的合作伙伴账户为幌子发送的鱼叉式电子邮件开始,针对繁忙的管理人员,目的是为了获得资金转移到攻击者拥有的账户。

  • 暴力破解(Bot-based brute force attacks)

暴力破解可以采取多种形式。其中最常见的是自动凭证填充或所谓的蜂群攻击:当一个恶意行为者使用自动化工具来淹没一个网站的流量,以导致该网站在分布式拒绝服务(DDoS)攻击中崩溃,或购买可用的零售股票以抬高售后市场的价格。

这些攻击对业务的影响可能是巨大的,从业务损失造成的财务影响,再到由于客户失去对企业的信任而增加的客户流失,再到对品牌声誉的长期损害。由于这些原因,在安全性和客户体验之间找到适当的平衡是业务的首要任务。

03 数据安全是一个不断变化的目标

近年来,企业数据信息泄露事件也同样频发,企业数据安全岌岌可危。根据 IBM 安全公司第 17 届年度《数据泄露成本报告》(该研究在 2020 年 5 月至 2021 年 3 月期间考察了全球 500 家机构),数据泄露的平均成本已超过 420 万美元,同比增长 10%。就攻击的规模而言,有 14 家公司被确认遭受了重大的数据泄露,涉及 1000 多万条记录的泄露,造成 5200 万美元损失到 6500 多万条记录的泄露事件,损失 4.01 亿美元不等,损失范围涉及技术、法律、监管、员工生产力的损失、品牌资产和消费者损失等。

企业发现数据泄露的平均时间是 197 天,控制住数据泄露还需要平均 69 天时间。发现和控制的时间越久,产生的损失也越高

随着不断变化的监管要求、不断发展的攻击载体以及越来越精通数据的消费者,数据安全需求也在不断变化。正因如此,公司的数字身份在当今拥挤的市场中也越来越重要,从登录页面开始管理客户体验是创造繁荣所需的信任关系的关键。

关于 Authing

Authing 既是客户的支持者也是客户的产品专家和战略顾问,更是值得信赖的合作伙伴。我们提供全球化的身份专家支持团队,通过网络或电话,7*24 小时不间断支持。Authing 的帮助中心提供最新的技术知识库、商业案例以及与您的同行和 Authing 专家联系的机会。无论您何时需要我们,Authing 的支持团队总能最快响应。

目前,Authing 身份云已帮助 30,000+ 家企业和开发者构建标准化的用户身份体系,感谢可口可乐、元气森林、招商银行、中国石油、三星集团、CSDN 等客户选择并实施 Authing 解决方案。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/333432.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

MySQL为什么要改进LRU算法?

普通LRU算法 LRU算法介绍 LRU Least Recently Used(最近最少使用):也就是末尾淘汰法,新数据从链表头部加入,释放空间时从末尾淘汰数据。 1.当要访问某个页时,如果不在Buffer Pool中,需要把该…

java实现电子发票中的发票税号等信息识别的几种可用方案

先说一下背景:今天领导突然说需要做一个电子发票中发票税号的识别,于是乎就开始去调研看有哪些方案,最先想到的就是OCR文字识别,自己去画框训练模型去识别税号等相关信息话不多说开整思路:思路一:百度AI平台…

逻辑仿真工具VCS的使用-Makefile

Gvim写RTL code,VCS仿真,Verdi看波形,DC做综合下约束,Primetime做STA,Spyglass做异步时序分析。 VCS全称Verilog Computer Simulation ,VCS是逻辑仿真EDA工具的编译源代码的命令。要用VCS做编译仿…

C进阶:预处理

🤖本篇文章主要讲解预处理的知识,即使你是小白也可以看的懂,若你对预处理有所不解,确定不来看看吗?😿 目录 一.代码运行是的两种环境 二.翻译环境 三.预定义符号 四.#define 1.define 定义宏 2.带有…

有哪些必知人工智能著名应用?

当前有哪些人工智能的著名应用? 生成式人工智能 输入要求,输出结果 趣讲大白话:不要小看科技进步哦 *********** 人工智能引领智能时代 见图 【安志强趣讲信息科技】 掌握信息科技常识,未来竞争才不吃亏 世纪之问:做…

一篇文章读懂阿里云企业级数据库最佳实践

今天阿里数据库不再是简单的电商业务,而是涵盖了视频娱乐、IM、地图、在线零售、新零售、物流、在线旅游、音乐、IoT等纵多领域。2017年双十一交易额达1682亿,数据库交易峰值也以数十倍的速度在增长。超大规模的业务压力,在阿里巴巴内部淬炼出…

Chrome 浏览器的四大进程

一个进程就是一个程序的运行实例。详细解释就是,启动一个程序的时候,操作系统会为该程序创建一块内存,用来存放代码、运行中的数据和一个执行任务的主线程,我们把这样的一个运行环境叫进程。 总结来说,进程和线程之间的…

2023年地方两会政府工作报告汇总(各省市23年重点工作)

新年伊始,全国各地两会密集召开,各省、市、自治区2023年政府工作报告相继出炉,各地经济增长预期目标均已明确。相较于2022年,多地经济增长目标放缓,经济不断向“高质量”发展优化转型。今年是二十大后的开局之年&#…

从0开始学python -27

Python3 函数-1 函数是组织好的,可重复使用的,用来实现单一,或相关联功能的代码段。 函数能提高应用的模块性,和代码的重复利用率。你已经知道Python提供了许多内建函数,比如print()。但你也可以自己创建函数&#x…

基于Prometheus和k8s搭建监控系统

文章目录1、实验环境2、Prometheus介绍?3、Prometheus特点3.1 样本4、Prometheus组件介绍5、Prometheus和zabbix对比分析6、Prometheus的几种部署模式6.1 基本高可用模式6.2 基本高可用远程存储6.3 基本HA 远程存储 联邦集群方案7、Prometheus的四种数据类型7.1 C…

教你搞懂线段树,从基础到提高

秋名山码民的主页 🎉欢迎关注🔎点赞👍收藏⭐️留言📝 🙏作者水平有限,如发现错误,还请私信或者评论区留言! 目录前言线段树逻辑概念线段树的俩个重要用处代码实现线段树题目巩固最后…

Android Jetpack组件之WorkManager后台任务管理的介绍与使用(一)

一、介绍 Jetpack? 我们经常看到,似乎很高端,其实这个就是一个名词,或者说是一种框架概念。 Jetpack 包含一系列 Android 库,它们都采用最佳做法并在 Android 应用中提供向后兼容性。 Jetpack 应用架构指南概述了构…

不要忽视web渗透测试在项目中起到的重要性

在当前数字化环境中,IT的一个里程碑式增长便是公司组织和企业数字化。为了扩大市场范围和方便业务,许多组织都在转向互联网。这导致了一股新的商业浪潮,它创造了网络空间中的商业环境。通过这种方式,公司和客户的官方或机密文件都…

Reflections反射包在springboot jar环境下扫描不到class排查过程

需求: 要实现指定pkg(如com.qiqitrue.test.pojo)扫描包下所有class类信息:使用代码如下 使用的版本:0.10.2(截至目前是最新版)发现只能在idea编译期间可以获取得到(也就是在开发阶段…

项目管理的十条成功经验(建议收藏)

项目管理的十条成功经验 1、定义项目成功的标准 在项目的开始,要保证各方对于判断项目是否成功有统一的标准。 2、把握各种要求之间的平衡 每个项目都需要平衡它的功能、人员、预算、进度和质量目标。 3、部门客户间的沟通 坦诚地与客户、管理人员沟通那些实…

无需注册即可免费使用ChatGPT

无需注册即可免费使用ChatGPT 最近OpenAI的ChatGPT异常火爆,有很多人都想尝试尝试,但是因为一些原因折戟,这里提供一个免注册的体验方法,仅供学习交流。 一,首先下载vscode 官网下载地址 Visual Studio Code - Code…

文本匹配SimCSE模型代码详解以及训练自己的中文数据集

前言 在上一篇博客文本匹配中的示例代码中使用到了一个SimCSE模型,用来提取短文本的特征,然后计算特征相似度,最终达到文本匹配的目的。但是该示例代码中的短文本是用的英文短句,其实SimCSE模型也可以用于中文短文本的特征提取&a…

使用STM32 CUBE IDE配置STM32F7 用DMA传输多通道ADC数据

我的使用环境: 硬件:STM32F767ZGT6、串口1、ADC1、16MHz晶振、216MHz主频 软件:STM32 CUBE IDE 优点:不用定时触发采样,ADC数据是不停的实时更新,ADC数据的更新频率根据采样时钟和采样周期决定,…

负载均衡反向代理下的webshell上传+apache漏洞

目录一、负载均衡反向代理下的webshell上传1、nginx 负载均衡2、搭建环境3、负载均衡下的 WebShell连接的难点总结难点一、需要在每一台节点的相同位置都上传相同内容的 WebShell难点二、无法预测下次的请求交给哪台机器去执行。难点三、下载文件时,可能会出现飘逸&…

面试题:Redis的内存策略

1 Redis内存回收Redis之所以性能强,主要原因是基于内存存储,然而单节点的Redis内存不易过大,会影响主从同步和持久化性能我们可以通过修改配置文件设置Redis的最大内存:当内存存储到上限时,就无法存储更多的数据了。1.…