密碼一直以來存在很多問題，依賴它們進(jìn)行用戶身份認(rèn)證也是有缺陷的。一段時(shí)間以來，這一直是信息安全社區(qū)公認(rèn)的事實(shí)，但是密碼認(rèn)證方式仍然無處不在。

一項(xiàng)針對200名安全專業(yè)人員身份管理計(jì)劃的研究表明，在設(shè)計(jì)和實(shí)施身份管理方面，所有人對于自己選擇的認(rèn)證方式都有充足的理由。雖然大多數(shù)組織仍然依賴用戶名和密碼方案進(jìn)行身份驗(yàn)證，但他們意識到了其中的不足并設(shè)計(jì)了無密碼的方案。

密碼的普及性與問題

研究發(fā)現(xiàn)密碼具有很高的普及性，64%的組織依賴它們作為主要的身份驗(yàn)證形式。 研究還顯示密碼存在很大問題，90%的組織表示他們在上個(gè)月遇到了嚴(yán)重的密碼策略違規(guī)。這些違規(guī)給組織帶來了嚴(yán)重后果，包括員工辭退，惡意軟件感染，數(shù)據(jù)泄露，無法達(dá)到監(jiān)管要求，客戶流失和直接影響創(chuàng)收。

以下是EMA報(bào)告中的一些數(shù)據(jù)展示：

您的組織當(dāng)前正在使用以下哪種類型的身份驗(yàn)證?

由于違反了訪問管理政策問題，出現(xiàn)了哪些影響?

在過去一年中，組織中大約有多少員工違反了以下商業(yè)密碼政策?

無密碼認(rèn)證的下一步考慮

關(guān)于密碼認(rèn)證的所有這些研究數(shù)據(jù)都引出了一個(gè)問題：如果密碼存在問題，為什么它們?nèi)匀蝗绱似毡? 大多數(shù)組織認(rèn)為無密碼身份驗(yàn)證方法比密碼更安全。 但猶豫采用它們的原因是人們對于認(rèn)證流程的擔(dān)心。

安全負(fù)責(zé)人對用戶培訓(xùn)以及與管理工具有很大的擔(dān)憂， 在安全管理問題的背后，云服務(wù)和目錄服務(wù)的集成是無密碼認(rèn)證的最大阻礙。

以下是一些其他發(fā)現(xiàn)：

與傳統(tǒng)的基于密碼的身份驗(yàn)證流程相比，以下哪項(xiàng)最能說明您對無密碼身份認(rèn)證流程的印象?

指出您認(rèn)為以下各項(xiàng)對您的組織實(shí)施完全無密碼身份驗(yàn)證過程的技術(shù)挑戰(zhàn)性。

安全還是便利?

人們一直認(rèn)為，身份驗(yàn)證是由兩個(gè)影響因素之間的權(quán)衡：企業(yè)安全和終端用戶便利。 但這種權(quán)衡不再是必要的，生物識別身份驗(yàn)證方法(如面部識別，拇指指紋和視網(wǎng)膜掃描)可以同時(shí)實(shí)現(xiàn)這兩個(gè)目標(biāo)。

此外，研究表明，減少認(rèn)證過程中的復(fù)雜度會成比例的提高安全性。 減少認(rèn)證過程中復(fù)雜度的組織可以減輕管理員的壓力，提升管理員的工作效率。 通過這種簡單便利無密碼身份驗(yàn)證的方法可以有效地協(xié)調(diào)用戶和業(yè)務(wù)需求。

驗(yàn)證類型與安全級別分布圖：

無密碼認(rèn)證面臨的挑戰(zhàn)

雖然組織了解低復(fù)雜度認(rèn)證的價(jià)值，但無密碼解決方案的主要阻礙因素是其部署的復(fù)雜性。 換句話說，許多組織不愿意引入無密碼身份驗(yàn)證是因?yàn)樗麄冋J(rèn)為部署和打破運(yùn)營模式將是一項(xiàng)不小的挑戰(zhàn)。

為了幫助IT負(fù)責(zé)人和安全經(jīng)理選擇最有效的解決方案，EMA建議使用四個(gè)‘I’來評估無密碼身份認(rèn)證：

• 直觀化 Intuitive——解決方案應(yīng)易于操作且易于管理，幾乎不需要用戶培訓(xùn)或需要管理員時(shí)間來支持。
• 信息化 Informative——應(yīng)在整個(gè)身份生態(tài)系統(tǒng)中啟用整體可見性，以收集有關(guān)用戶，設(shè)備，網(wǎng)絡(luò)和托管服務(wù)的上下文數(shù)據(jù)。信息報(bào)告應(yīng)易于理解，以簡化潛在風(fēng)險(xiǎn)，提高用戶體驗(yàn)。
• 智能化 Intelligent——解決方案應(yīng)具有智能技術(shù)：例如深度分析，機(jī)器學(xué)習(xí)和語言處理等。應(yīng)該基于所識別的風(fēng)險(xiǎn)級別動態(tài)地確定用戶認(rèn)證因素的數(shù)量。
• 集成化 Integrated——解決方案應(yīng)利用FIDO，SAML和Open ID Connect等行業(yè)標(biāo)準(zhǔn)，實(shí)現(xiàn)身份驗(yàn)證技術(shù)與托管服務(wù)之間的集成。將服務(wù)，系統(tǒng)和安全管理平臺高度集成并進(jìn)一步簡化管理任務(wù)，從而整合訪問管理策略。