为了减轻网络风险并阻止攻击者,企业一直在寻找创新策略。这方面的最新趋势之一是通过消除集中管理的密码来消除集中化。

众所周知,无密码身份验证正在兴起。根据Gartner的报告,到2022年,预计至少有50%的案例将有90%的中型企业和60%的大型企业采用无密码方法。这将比2018年的5%大幅度增加。

但是它到底是如何工作的,它有什么好处?它是否像据说的那样安全?让我们找出答案。

什么是无密码认证?

如果像大多数人一样,一生都在使用密码,那么无密码身份验证的想法可能会引起您的怀疑。但是,在您完全消除它之前,如何更好地理解它?

顾名思义,它是一种登录配置方法,不涉及使用密码。例如,它可能需要您使用电子邮件,并且每次尝试登录时,您都会获得一次通行证来访问您的帐户。

Slack的魔术链接使用这种方法,您只需输入电子邮件地址,然后点击“ 发送魔术链接 ”即可直接从电子邮件收件箱登录到您的帐户。

在其他情况下,它可以使用一次性代码而不是密码。您可以通过电子邮件或SMS收到此代码,以访问该帐户。

在Gmail上,方法略有不同。它可能会在您的手机上发送提示以拒绝或批准登录尝试,而不是使用密码。另一种方法是使用生物特征认证,该认证可以扫描您的指纹,面部或眼睛以授权访问。

对于更高级的系统,通常以USB驱动器的形式提供物理安全密钥。

不管这种系统使用哪种身份验证形式,基本概念都涉及使用预先存在的身份验证细节来确认身份。

无密码身份验证的潜在好处

用户方便

每当您在网站上创建帐户时,可能还需要输入密码。只有您和站点才知道此密码,并且您将信任该站点以确保其安全。如果您恰好在100个站点上拥有帐户,则出于安全目的,您需要尽可能多的强密码。根据CSO统计,普通消费者大约有90个具有密码管理的帐户。

这就是挑战所在。每个站点和服务都拥有一个强大,独特,令人难忘的密码,这并不是出于胆小。这就是这种新颖的创新派上用场的地方。您不必为所使用的每个服务创建或存储密码。

消除凭证重用

比方便性更重要的是防止由于重用密码而引起的安全风险。众所周知,多次使用同一密码会有多大的风险,让我们面对现实,几乎每个人都这样做。

这似乎是一个更好的选择,而不是带着一本黑皮书来写所有密码,这又是另一种安全隐患。

但这是黑客梦the以求的东西。他们知道有多少用户喜欢回收密码,并且一次又一次地利用这一弱点。据报告,凭证重用的成功率为2%。

尽管这个数字似乎很小,但它却意味着有超过4,600万个帐户可以泄密。

黑客威慑力–更少的数据泄露

网站所有者负有确保用户密码安全的重大责任。如果在您的站点上具有未加密形式的用户密码,它将立即成为黑客的魔咒。消除它们意味着无需担心的事情,而且可能意味着数据泄露的终结。

大多数企业都使用集中式凭据存储来保存客户数据。实际上,这使它们变成了野鸭,创造了黑客的天堂。

没有用户认为的安全

尽管无密码身份验证的便利性和安全性功能非常明显,但仍需要考虑一些因素。与其他所有技术一样,如果使用不当,即使是最好的创新也可能不安全。

让我们考虑这种安全形式的一些潜在风险:

频道安全

在发送魔术链接或登录代码时,操作员需要确保他们使用的通道是安全的。万一这样的渠道受到威胁,那么代码可能会落入错误的手中。

甚至在知名组织中也存在弱点,这可能导致破坏性后果。通过可能不安全的网络(或更糟糕的是,互联网)通信PIN码不是可行的替代密码。

比安全替代方案更方便

从可用性的角度来看,无密码体验非常棒,每个人都同意。但是就安全性而言,它们并没有比现有系统更好。实际上,它们通常只是已经脆弱的系统中的额外一层。

例如,设备上的生物识别技术可以轻松解锁设备,粘贴密码并激活密钥存储。其余大多数选项基于集中式系统,引起了与密码相同的担忧。

在没有密码的未来之前

无密码身份验证似乎正在进行中。它的好处似乎吸引了个人和组织,因此很受欢迎。

但是,我们无密码的未来仍然遥遥无期。在此期间,公司和个人用户必须找到某种方法来保护其密码免受网络罪犯和不安全数据库的攻击。暂时,实现此目的的主要方法是密码管理器。这些工具使用户可以为每个帐户使用强而独特的密码。

在无密码体制下,为真正的安全铺平道路还需要做很多工作。这是一个很好的开始,但是要真正确保安全,我们需要确保所使用的身份验证形式是犯罪分子无法企及的。否则,它可能只是同一脚本的另一种情况,即不同的类型。