什么是无密码身份验证?
概述
无密码身份验证是在不使用典型的声称(用户名)和密码的情况下验证某人身份的过程。在登录提示中注入传统凭证的工具不属于无密码身份验证。
最常见的无密码身份验证方法是生物识别(如指纹和面部识别)和智能手机上常见的带外应用程序。这些智能手机应用程序通常需要生物识别身份验证,将多种因素整合到一个身份验证过程中。
NetIQ 为您的业务提供动力
OpenText™ NetIQ™ 提供一整套身份和访问服务,使员工能够在任何时间、任何地点、任何设备上安全地访问资源。NetIQ 还使企业能够有效、安全地与消费者互动。
阅读宣传单无密码身份验证为何流行?
虽然无密码身份验证取代传统凭证的承诺已经存在了三十多年,但当今的技术已将其变为现实。2022 年,无密码市场规模为 156 亿美元,但预计到 2030 年将增长到 530 亿美元以上。如今,智能手机在很大程度上实现了无密码化。
在过去十年中,遵守政府规定一直是企业采用无密码技术的动力:
- 政府--政府和公共部门机构现在必须遵守特定的多因素身份验证要求。这些要求一开始只是建议,但多年后变成了政策。这些政策是作为一般准则推出的,但随着时间的推移,逐渐演变成访问机密文件的具体双因素强制要求。
- 医疗保健--美国和全球的医疗保健外泄事件给该市场中的机构造成的经济损失比其他任何市场都要严重,甚至包括金融业。为此,政府机构提出了具体的无密码和双因素身份验证要求。
- 金融服务--虽然政府规定必须保护客户的私人财务和个人信息,但维护消费者的信任对数据安全的影响更大。金融服务一直是多因素身份验证的主要采用者,而智能手机平台则进一步推动了无密码身份验证的采用。
劳动力身份验证
从历史上看,作为劳动力安全的一部分,无密码技术的使用仅限于专门的应用程序和用户。直到近十年来,使用无密码技术的四大障碍才逐渐消除:
- 硬令牌、公司级指纹读取器和其他生物识别设备都过于昂贵,不适合在企业范围内使用。
- 对于大规模采用而言,注册成本过高,尤其是对于规模太小、无法提供现场 IT 支持的远程办公室以及远程员工而言。由于没有远程管理,设备的设置需要实际接触。
- 无法对验证设备进行持续的远程管理。远程用户必须发送他们的设备来执行重置和重新配置。
- 安全团队、管理层,尤其是用户对无密码技术缺乏信心。最近,无密码用户成为主流的使用案例激增,掀起了认证现代化和规划的浪潮。
除了设备的演变,认证用例和相关要求也发生了变化,这已超出了政府规定的范围。
远程工作
外勤人员比以往任何时候都更多地使用移动平台进行连接并经常访问私人信息。除了典型的 "公路战士",远程办公的采用在过去三年中也有显著增长。虽然远程办公在大流行病之前就已稳步增长,但新的远程工作政策已在各行各业得到广泛采用。
云
结构化和非结构化私人数据越来越多地通过云而不是数据中心存储和访问。由于数据中心已经失去了托管企业服务的临界质量,通过数据中心路由的远程流量也大幅减少。这意味着典型的防火墙安全技术已变得不再重要。
个人设备的使用
自带设备(BYOD)的出现进一步削弱了安全控制。BYOD 设备对云托管资源的远程访问,将对托管设备的基本依赖转移到了基于身份的安全上。这种依赖导致网络钓鱼和其他规避身份验证的身份攻击的风险增加。
这种从托管网络、内部数字资源(服务和非结构化数据)和设备的转变意味着安全团队不能再依赖它们作为战略的一部分。取而代之的是,以身份为基础的验证策略必须具有很强的抵御冒名顶替者的能力。虽然多因素身份验证的采用率会继续增长,但无密码单因素身份验证在简化身份验证流程的同时,也提高了用户名和密码的安全性。员工可以享受面部识别、指纹验证或其他被动体验带来的快速体验。与此同时,组织还加强了对最突出的漏洞和最常见的入侵技术--网络钓鱼--的防护。
消费者转向无密码
智能手机是无密码的核心推动力。诚然,这些设备体积小,却拥有强大的计算能力,但事实上,它们已经成为许多人的延伸,这正是它们改变无密码游戏规则的原因所在。人们用它们做任何事情,从发短信到社交媒体,再到网上购物和银行业务。他们随时随地拍照、问路或搜索答案。消费者将自己与手持计算设备绑在一起,带来了前所未有的身份验证模式转变:
- 通用连接允许在认证过程中对某人的身份进行带外验证。
- 便携式处理能力可以生成种子和密钥,作为一次性密码。
- 随着智能手机的发展,生物识别和被动认证方法也将不断进步,使验证不断发展并变得更加复杂。
消费者越来越意识到传统身份验证对他们造成的威胁。企业认识到了这一转变,并看到了提升数字服务的机遇。
无密码身份验证的安全性如何?
Verizon 的数据泄露团队发现,鱼叉式网络钓鱼是犯罪分子窃取凭证的主要方式。鱼叉式网络钓鱼是指攻击者发送一封看似来自银行、同事或其他可信来源的电子邮件,将受害者发送到一个模拟网站。该网站会要求进行身份验证,从而诱骗受害者透露他们的凭证、输入信用卡号码或提供其他一些私人信息。
这种攻击的一个变种是提供一个链接,点击后会在受害者电脑上安装恶意软件。
无密码技术非常适合防范这类攻击。对于配置为消除密码的平台,无法通过输入或按键捕获来捕获任何密码。对于除无密码外还提供密码选项的平台,可以通过无密码多因素身份验证(如智能手机或生物特征)来加强其安全性。
所有这些对智能手机的依赖都将它们的脆弱性推到了安全讨论的前沿和中心。假设黑客和其他恶意参与者掌握了这些移动设备。他们就有可能拦截 PIN 码、OTP 和带外推送审批,并重新配置生物识别技术,使之与自己相匹配。SIM 卡被盗也会带来 SMS/OTP 风险。即使用户非常小心,但如果攻击者能够操纵服务提供商取消和转移合法 SIM 卡中的关键信息,用户的安全也会遭到破坏。
显然,企业不可能挫败所有的威胁,但只要改用无密码模式,就能抵御最常见的威胁。即使是单因素身份验证,也可以从更高的安全级别开始摒弃键入凭证,但还可以做得更多。企业可以通过基于风险的身份验证(RBA)来增强其战略,从而提高安全级别。基于风险的身份验证在控制何时需要额外步骤来验证某人的身份方面有着长期的验证记录。企业可以在预定义的条件下调用第二因素身份验证,如
- 该设备以前出现过吗?
- 设备指纹识别
- 浏览器 cookie
- 用户是否位于预期位置?
- IP 地理定位服务
- 地理围栏(GSM)
- 用户的行为是否符合预期?
- 信息的风险等级是什么?
各组织可以使用这类标准来确定需要多少级别的身份验证。例如,组织可以制定一项政策,要求使用指纹访问大部分信息。不过,当根据上述标准或资源的敏感性测得的风险升高时,仍有一个更敏感的子集需要多因素身份验证。
无密码身份验证如何使企业与众不同?
上一个问题的答案列举了无密码身份验证为企业带来的优势和安全限制。简而言之,与传统的基于密码的方法相比,无密码方法(如生物识别(如指纹或面部识别))或通过你所拥有的东西(如智能手机)进行身份验证可提供更强大的安全性,尤其是针对鱼叉式网络钓鱼。本节回顾了增加安全性所带来的一些商业价值。
当企业能够更好地控制与数字客户互动的内在风险时,他们就能更有效地进行互动,从而在更全面的情况下进行更有意义的互动。
医疗保健
医疗服务提供者可以通过共享电子医疗信息和临床医生的具体指示,更好地进行远程护理。虽然需要双因素身份验证,但如果都是无密码,病人就不必记住复杂的凭证。在没有键盘的移动设备上使用无密码也更简单。对于那些对复杂的身份验证方案感到沮丧的受损患者来说,简化而安全的访问方式可以改变他们的生活。
财务
金融投资组合经理与客户共享高度敏感的信息。投资和账户信息经常涉及巨额资金。通常,这些类型的门户网站需要复杂的密码进行身份验证。无密码身份验证使这些机构能够为客户提供快速、安全的访问,从而大大提高客户满意度。
电子商务
电子商务服务是最常见的鱼叉式网络钓鱼攻击点。这些攻击削弱了消费者对以电子方式开展业务的信任。无密码身份验证允许电子商务零售业在应对威胁时使用被动方法将基于风险的身份验证的影响降至最低。与其他行业相比,零售交易中不可接受的摩擦更容易导致客户流失,他们会倾向于选择容易做生意的零售商。避免新数字客户障碍的最有效方法之一是使用无密码身份验证,避免使用复杂的密码或多步骤身份验证流程。
教育
大学和其他组织为经常外出的用户提供安全保护--FIDO(Fast Identity Online,快速身份在线)是一种允许使用基于标准的物理密钥或令牌来验证个人身份的标准,不能与旧式昂贵的专有选项混淆。这些防网络钓鱼的方法为攻击者提供了一个明显的绕过障碍,使宝贵的学生信息得以保密。学生、教职员工可以将小型便携式 FIDO 设备插入带有蓝牙端口的计算机。它可以快速访问安全资源,也可以作为多因素身份验证配置的一部分。
无密码身份验证是身份验证的未来趋势,通过无密码身份验证提高安全性和便利性的应用场景远不止这几个例子。无密码身份验证还为广泛采用单点登录(SSO)奠定了良好的安全基础。单点登录可通过单个身份验证实例实现对安全资源的无缝访问。与无密码技术相比,单点登录更能减少或消除用户可能遇到的摩擦。由于单点登录更注重的是便捷性而非安全性,一些安全团队对广泛采用单点登录持谨慎态度,因为单点登录可能允许访问用户的所有数字资源。无密码系统能够抵御最常见的漏洞攻击,大大降低了这种风险,使 IT 人员能够腾出时间来配置环境,从而大大减少对用户的干扰和延迟。
