自古以来,密码一直是数字安全的基石。它们是我们安全基础设施和实践的一个重要方面,因此我们用一整天(五月的第一个星期四)致力于提高人们对设置强密码和保持良好在线安全习惯重要性的认识。不幸的是,密码也被认为是最大的安全薄弱环节之一。 Verizon 最近的一份报告发现,81% 的数据泄露事件都与密码泄露有关。
随着网络攻击和犯罪分子变得日益复杂,采用最新的技术发展来磨练他们的技能,并且需要更强大、更安全的身份验证方法已变得势在必行。 输入无密码身份验证,这是一种无需每次都输入密码即可对用户进行身份验证的新方法。
为什么我们需要无密码身份验证?
在基于密码的身份验证过程中,无论是否采用多重身份验证(MFA),第一步都是用户输入用户名和密码,作为其身份证明。 然而,这个过程有两个主要缺点。当用户选择弱且可预测的密码时,第一个问题就会出现。弱密码很容易被猜出、被盗或被黑客攻击,从而使敏感数据容易受到网络犯罪分子的攻击。
根据 Digital Shadows 的研究,公共领域已经有超过 240 亿个登录凭据。密码重复使用也是一个常见问题,因为用户经常对多个帐户使用相同的密码。这使得网络犯罪分子只需使用一个被盗的密码即可轻松访问多个帐户。
当即使选择了强密码后,用户也无法记住它们时,就会出现第二个问题。必须不断重置密码会很快导致沮丧,从而使人们不小心存储密码的位置。您会惊讶地发现,恼怒的用户为了方便而放弃安全性并将其密码存储在 Excel 工作表中的速度有多快!这种挫败感和粗心会让我们回到原点,用户设置简单且可预测的密码,这样他们就不会轻易忘记它们。
回到多因素身份验证,尽管多因素身份验证确实有助于提供额外的安全层,但 MFA 的采用率却非常低。据报道,微软工程师表示,他们每月跟踪的受感染帐户中有 99.9% 没有使用 MFA。更重要的是,MFA 也无法免受网络攻击,因为黑客已经发现了多种方法(例如 MFA 轰炸和中间人攻击)来捕获 MFA 详细信息,例如在验证期间发送的任何一次性密码 (OTP)过程。 SecureAuth 最近的一项研究显示,安全专家还担心与传统 MFA 相关的风险,55% 的安全专家表示,依赖使用短信和电话的 OTP 会使他们容易遭受网络攻击。
消除密码障碍
通过采用无密码身份验证方法可以消除这些挑战。除了提供更方便、用户友好的身份验证体验外,无密码登录方法还可以显着降低网络犯罪和数据泄露的风险。
这些新的身份验证方法使用替代形式的身份识别,例如生物识别、硬件令牌和密钥。生物识别身份验证使用独特的物理特征(例如指纹或面部识别)来对用户进行身份验证。硬件令牌是生成一次性密码 (OTP) 或加密签名消息的物理设备。万能钥匙也称为 FIDO2 密钥,是小型 USB 或 NFC 设备,允许用户无需密码即可进行身份验证。
快速身份在线 (FIDO) 联盟是一个开放的行业协会,其成立的目的是开发和提高人们对身份验证标准的认识,以帮助减少世界对密码的过度依赖。该联盟开发了一种称为 FIDO 身份验证的全球身份验证标准,它构成了密钥的基础。万能钥匙的独特卖点是它们功能强大、能够抵御网络钓鱼,并且经过精心设计,不存在共享秘密。密钥本质上是由用户授权设备生成的一对加密密钥(公钥和私钥)。
用户想要登录的任何应用程序或网站都会在登录时存储用户公钥的副本,但私钥仅存储在授权设备上。该设备通常在生物特征认证工具的帮助下验证用户的身份后,两个密钥组合在一起以授予对所需目的地的访问权限。
采用密钥的安全优势是多方面的。密钥无法被猜测或在用户之间共享,因为它们是加密密钥的独特组合。此外,它们可以抵御网络钓鱼尝试,因为它们对于用户想要访问的每个网站或应用程序都是唯一的。因此,它们无法在虚假或相似的网站和应用程序上运行。
最重要的是,所有这些功能还意味着无法通过侵入公司的服务器或数据库来窃取密钥。 因此,许多科技公司现在正在考虑向用户提供密钥也就不足为奇了。苹果向 iOS 16 用户提供密钥已经有一段时间了,而谷歌刚刚宣布用户现在可以使用密钥在所有平台上登录其 Google 帐户,从而迈出了无密码的未来。
过渡到无密码世界
选择采用无密码身份验证取决于组织的需求。这不是一个一刀切的解决方案,无需深思熟虑即可快速实施。它取决于组织的 IT 安全策略、需求和预算,并且需要在实施之前制定详细的计划。 虽然这似乎是一项艰巨的任务,但通过正确的方法可以顺利执行。
以下是一些使过渡更容易的建议:
- 从小事做起:先通过试点计划测试新的身份验证方法,然后再将其推广到整个组织。
- 教育用户:提供培训和资源,帮助员工了解新身份验证方法的好处和正确使用方法。
- 采用分阶段方法:分阶段推出新的身份验证方法,从低风险应用程序和选定部门开始,逐步转向高风险应用程序。
- 提供持续支持:向可能需要新身份验证方法帮助的人员提供支持和资源。
- 监控和评估:持续监控和评估新的认证方法,以确保其有效并满足组织的需求。
任何变革或现代化在一开始都会遇到忧虑和阻力,但不要让它阻止你的努力。尽管到目前为止密码可能一直是默认选项,但我们目睹的数据泄露率以及网络安全威胁的快速发展意味着组织需要快速采用更安全的身份验证实践。密钥是否真正取代密码还有待观察,但组织需要为密码过时和无密码身份验证成为主流的未来做好准备。
404
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
