身份攻击向量以及近期发生的重大身份安全事件,均表明身份系统已成为攻击者集中突破的关键入口。然而,随着深度伪造(Deepfake)、恶意软件、社工钓鱼及跨平台数据滥用等新型攻击手法的不断涌现,传统依赖账号密码、短信验证码的身份体系已难以抵御复杂威胁。本文从管理、技术及现有安全体系方面对数字身份系统安全能力升级的必要性进行分析。
(一)用户账号快速增长,管理复杂度和安全风险也随之增加
用户账号随着互联网平台应用的普及快速增长,管理复杂度和安全风险也随之增加。随着互联网、云计算、物联网等技术的快速发展,数字身份的使用场景日益广泛,从社交媒体、电子商务到在线银行、医疗健康、企业管理等领域,每一个交互中都在使用数字身份。据统计,截至2024年6月,我国互联网普及率达78%,网民规模近11亿人,一个用户常同时在数十个网站、应用、服务上注册账户,每个账户为一个数字身份。通常每一个网民都要对应数十个数字身份映射。而在CyberSecurityTribe2025 年发布的分析中指出,“每个员工平均对应92个非人类身份”。
在用户账号快速增长的同时,数字身份本身已从最初的静态用户名+密码,演化为多维度、多模态、高动态的数据集合,涉及身份源、认证方式、行为模式、权限边界等多个维度。同时,身份多源异构,不同平台对生命周期管理标准不一,身份数据孤岛大量存在,权限蔓延,多云多域协同难。这种身份的多样化和分散化,使得无论个人还是企业的身份管理都变得异常复杂。同时,随着用户账号的使用,账号深度关联了用户出行、银行卡、消费行为多维隐私信息;在企业中,员工账号还关联了重要机密数据的访问权限。因此,数字身份在带来管理挑战的同时,也成为了黑客们获利的首要攻击目标。而身份管理的不足,也会进一步增加数字身份泄露的风险。
(二)NHI的快速增长带来了广阔且常被忽视的攻击面
随着自动化系统、应用程序和基于云的基础设施的广泛应用,非人类数字身份(如服务账户、API 密钥和机器凭证)的快速增长带来了广阔且常被忽视的攻击面。受益于移动通信、云计算、物联网、API经济、AI Agent、机器人等多方面因素并发影响,NHI近年呈突发性增长态势。其中,云计算、物联网技术的普及是NHI爆炸性增长的主要驱动力。据Gartner等多家调研数据显示:非人类身份数量将是人类身份的10~50倍,而云环境中95%的身份都是非人类身份。微软2024年的Midnight Blizzard数据泄露事件、互联网档案馆2024年的Zendesk支持平台数据泄露事件,以及2023年的Okta支持系统数据泄露事件,均与非人类身份安全漏洞相关。OWASP在2025年也首次发布了非人类身份(NHI)安全十大风险清单,为企业和组织在非人类身份安全管理方面提供了重要的参考依据。
OWASP十大NHI风险
(三)数据及隐私合规性风险
全球范围内,数字身份的增长加剧了各地区在数据安全与隐私合规的复杂性,各地区都纷纷出台身份安全相关政策和法规。如欧盟的GDPR。中国《数据安全法》《个人信息保护法》。CCPA等。企业在业务过程中,务必严格遵循相应地区的身份安全要求,身份泄露或违规处理不仅会面临严重经济处罚,还会导致用户流失和品牌受损。
如,数据存储与跨境传输风险。不同国家或地区对身份信息跨境传输有严格规定,企业在全球运营中需应对复杂的合规审查与审批流程。身份数据若未按法规合规存储和处理,企业可能面临高额罚款与法律诉讼。如,中国《数据安全法》《个人信息保护法》要求敏感身份数据必须境内存储,跨境需额外审批;GDPR严格限制欧盟居民身份数据跨境传输,要求目的地具备“充分性决定”或采用标准合同条款(SCC);美国缺乏统一隐私法,各州(如CCPA)规定分散。跨国企业同时处理多国用户身份时,可能同时受GDPR、PIPL、CCPA等法律约束,成本与风险都将会非常高。
