什麼是無密碼身份驗證?
概述
無密碼身份驗證是在不使用典型聲明(使用者名)和密碼的情況下驗證某人身份的過程。將傳統憑據注入登錄提示的工具不是無密碼的。
最常見的無密碼身份驗證方法是生物識別技術,例如指紋和面部識別,以及在智慧手機上常見的帶外應用程式。這些智慧手機應用程式通常需要將多個因素結合到一個身份驗證過程中的生物識別身份驗證。
NetIQ 為您的業務提供動力
OpenText™ NetIQ™ 提供一套全面的身份和存取服務,使工作人員能夠在任何地點、在任何裝置上、在正確的時間安全地存取資源。 NetIQ 也使組織能夠有效、安全地與消費者互動。
閱讀傳單為什麼無密碼身份驗證很受歡迎?
雖然無密碼身份驗證取代傳統憑據的承諾已經存在了三十多年,但今天可用的技術已經使其成為現實。2022年,無密碼市場為 $15.6B,但預計到 2030 年將增長到 $53B 以上。今天無密碼採用的很大一部分是通過智慧手機實現的。
在過去十年中,遵守政府規定一直是組織採用無密碼技術的動力:
- 政府 - 政府和公共部門機構現在需要遵守特定的多因素身份驗證要求。這些要求最初是建議,但多年來,這些要求變成了政策。這些政策最初是作為一般準則推出的,但隨著時間的推移,演變為訪問機密檔的具體雙因素授權。
- 醫療保健 - 美國和全球範圍內的醫療保健違規行為給這個市場中的組織帶來的財務痛苦比其他任何組織都多,甚至比財務部門還要多。政府機構已經回應了特定的無密碼和雙因素身份驗證要求。
- 金融服務 — 雖然政府法規要求保護客戶的私人財務和個人資訊,但保持消費者信任是保護數據的更有力的驅動因素。雖然金融服務一直是多因素身份驗證的主要採用者,但智慧手機平台進一步推動了無密碼身份驗證的採用。
員工身份驗證
從歷史上看,作為員工安全的一部分,使用無密碼技術已被降級為專門的應用程式和使用者。只是在過去十年中,阻礙它們的四個最重大的障礙才得以消除:
- 硬令牌、公司級指紋識別器和其他生物識別設備對於企業範圍內的使用來說太昂貴了。
- 對於大規模採用來說,註冊成本高得令人望而卻步,特別是對於規模太小而無法證明現場IT支援以及遠端員工的遠程辦公室。如果沒有遠端管理,設備需要物理接觸才能進行設置。
- 無法對身份驗證設備進行持續的遠端管理。遠端用戶必須發送他們的設備來執行重置和重新配置。
- 安全團隊、他們的管理層,尤其是他們的使用者對無密碼技術缺乏信心。最近,無密碼用戶成為主流的用例激增,引發了一波身份驗證現代化和規劃浪潮。
除了設備的發展之外,身份驗證用例和圍繞它們的要求也發生了變化,超出了政府的要求。
遠端工作
與過去相比,現場工作人員比以往任何時候都更加緊密地聯繫在一起,並經常使用移動平臺訪問私人資訊。除了典型的公路戰士外,遠端辦公的採用在過去三年中也取得了顯著增長。雖然遠端辦公在大流行之前就已經經歷了穩步增長,但新的遠端工作政策已在所有行業中得到廣泛採用。
雲
結構化和非結構化的私有數據越來越多地從雲端而不是數據中心存儲和訪問。由於數據中心失去了託管企業服務的臨界質量,通過數據中心路由遠端流量的數量急劇減少。這意味著典型的防火牆安全技術正變得無關緊要。
個人設備使用
自帶設備 (BYOD) 進一步侵蝕了安全控制,繼續獲得牽引力。從 BYOD 設備遠端存取雲託管資源,將基本的依賴性從託管設備轉變為基於身份的安全性。這種依賴性意味著更容易受到網路釣魚和其他繞過身份驗證的身份攻擊。
這種從託管網路、內部數位資源(服務和非結構化數據)和設備的轉變意味著安全團隊不能再依賴它們作為其戰略的一部分。取而代之的是,建立身份需要一種經過驗證的策略,該策略對冒名頂替者具有很強的抵抗力。雖然多因素身份驗證的採用將繼續增長,但單因素無密碼提高了使用者名和密碼的安全門檻,同時簡化了身份驗證過程。員工享受面部識別、經過驗證的指紋或一些被動體驗的快速體驗。與此同時,該組織加強了對最突出的漏洞和頻繁的違規技術(即網路釣魚)的保護。
消費者轉向無密碼
核心的無密碼推動者是智能手機。雖然這些設備確實在如此小的封裝中包含了大量的計算能力,但它們已成為如此眾多設備的擴展這一事實使它們成為無密碼遊戲規則改變者。人們將它們用於任何事情,從發簡訊到社交媒體再到在線購物和銀行業務。他們會立即拍照,尋找路線或尋找答案。消費者將自己與手持計算設備捆綁在一起,提供了一種前所未有的身份驗證範式轉變:
- 通用連接允許在身份驗證期間對某人的身份進行帶外驗證。
- 便攜式處理能力可以生成種子和密鑰,這些種子和金鑰可以充當一次性引腳。
- 隨著智慧手機的發展,生物識別和被動身份驗證方法將得到發展,使驗證技術得以發展並變得更加複雜。
消費者越來越意識到傳統身份驗證對他們構成的威脅。組織認識到了這種轉變,並看到了增強其數位服務的機會。
無密碼身份驗證的安全性如何?
Verizon的數據洩露團隊已確定魚叉式網路釣魚是犯罪分子竊取憑據的主要方式。當攻擊者發送一封看似來自受信任來源的電子郵件時,就會啟動魚叉式網路釣魚,例如銀行、同事或其他將受害者發送到模擬網站的來源。該網站將需要身份驗證,從而欺騙受害者透露他們的憑據、輸入信用卡號或提供其他一些私人資訊。
這種攻擊的變體提供了一個連結,當單擊該連結時,會在受害者的計算機上安裝惡意軟體。
無密碼技術非常適合抵禦這些類型的攻擊。對於配置為消除密碼的平臺,無法通過輸入或擊鍵捕獲來捕獲任何密碼。對於除了無密碼之外還提供密碼作為選項的平臺,可以通過無密碼多因素身份驗證來加強它,例如他們擁有的東西(如智慧手機)或生物識別技術。
所有這些對智慧手機的依賴都使其漏洞成為安全討論的前沿和中心。假設駭客和其他惡意玩家掌握了這些行動裝置。它們有可能攔截 PIN、OTP 和帶外推送批准,以及重新配置生物識別技術以匹配自身。SIM卡被盜也會帶來簡訊/OTP風險。即使使用者很小心,如果攻擊者可以操縱服務提供者取消和傳輸合法SIM卡中的關鍵資訊,他們的安全也可能受到破壞。
雖然很明顯,組織無法阻止所有威脅,但確實,簡單地轉向無密碼範式可以抵禦最常見的威脅。即使對於單因素身份驗證,擺脫輸入的憑據也從更高的安全級別開始,但可以做更多的事情。組織可以通過使用基於風險的身份驗證 (RBA) 來增強其策略,從而提升其安全級別。RBA 在控制何時需要採取額外步驟來驗證某人的身份方面有著長期的良好記錄。組織可以在預定義的條件下調用第二因素身份驗證,例如:
- 以前見過該設備嗎?
- 設備指紋識別
- 瀏覽器 Cookie
- 使用者是否位於預期的位置?
- IP地理定位服務
- 地理圍欄 (GSM)
- 用戶的行為是否符合預期?
- 信息的風險級別是多少?
組織可以使用此類標準來確定需要多少個級別的身份驗證。例如,組織可以定義一項策略,要求指紋訪問其大部分資訊。儘管如此,當根據上述標準或資源的敏感度提高測量的風險時,仍有一個更敏感的子集需要多因素身份驗證。
無密碼身份驗證如何使企業與眾不同?
上述上一個問題中所述的答案列出了無密碼身份驗證可以為企業提供的優勢和安全限制。簡而言之,無密碼方法(例如生物識別技術(例如指紋或面部識別)或通過您擁有的東西(例如智能手機))比傳統的基於密碼的方法提供更強大的安全性,尤其是針對魚叉式網路釣魚。本部分回顧了增加了安全性提供的一些業務價值。
當組織能夠更好地控制與數位客戶互動時固有的風險時,他們就能夠更有效地互動,從而在更全面的情況下進行更有意義的互動。
醫療
醫療保健提供者可以通過共用 ePHI 資訊和臨床醫生的具體指示來參與更好的遠端護理。雖然需要雙因素身份驗證,但如果它們都是無密碼的,則患者不必記住複雜的憑據。無密碼在沒有鍵盤的行動裝置上也更易於使用。對於對複雜的身份驗證方案感到沮喪的受損患者來說,簡化而安全的訪問可能會改變遊戲規則。
金融
金融投資組合經理與客戶共用高度敏感的資訊。投資和賬戶資訊通常涉及大量資金。通常,這些類型的門戶需要複雜的密碼進行身份驗證。無密碼身份驗證使這些組織能夠為其客戶提供快速、安全的訪問,這對實現客戶滿意度大有説明。
電子商務
電子商務服務是最常見的魚叉式網路釣魚攻擊點。這些攻擊削弱了消費者對以電子方式開展業務的信任。無密碼身份驗證使電子商務零售商在用於回應以衡量威脅時,可以使用被動方法將基於風險的身份驗證的影響降至最低。與其他行業相比,零售交易中不可接受的摩擦更會導致客戶流失,這些客戶被容易與之開展業務的零售商所吸引。避免對新數位客戶造成障礙的最有效方法之一是使用無密碼身份驗證來避免複雜的密碼或多步驟身份驗證過程。
教育
大學和其他組織為不斷出差的使用者提供保護 - FIDO(在線快速身份識別)是一種標準,允許使用基於標準的,不要與舊的昂貴和專有選項、物理密鑰或令牌混淆以驗證一個人的身份。這些防網路釣魚方法為攻擊者提供了繞過的顯著障礙,從而保持了寶貴的學生資訊的私密性。學生、教職員工和教職員工可以將他們的小型便攜式 FIDO 設備插入帶有藍牙埠的計算機。它可以提供對安全資源的快速訪問,也可以成為多因素身份驗證配置的一部分。
通過無密碼身份驗證(即身份驗證的未來)提高安全性和便利性的方案比這幾個示例要廣泛得多。無密碼身份驗證還為廣泛採用單點登錄 (SSO) 提供了出色的安全基礎。SSO 透過單個身份驗證實例提供對受保護資源的無縫訪問。與無密碼技術相比,SSO 更能減少或消除使用者原本會遇到的摩擦。由於 SSO 更多的是關於便利性而不是安全性,因此一些安全團隊對廣泛採用持謹慎態度,因為單一身份驗證可能會允許存取使用者的所有數位資源。Passwordless 對最常見的違規攻擊的抵抗力大大降低了這種風險,使 IT 部門能夠配置一個大大減少使用者中斷和延遲的環境。
