無密碼時代即將到來?
基于知識的身份驗證方法(例如密碼)的失誤繼續(xù)困擾著公司。Verizon的《2021年數(shù)據(jù)泄露調(diào)查報告》發(fā)現(xiàn),61%的數(shù)據(jù)泄露涉及登錄憑據(jù)泄露。現(xiàn)在是時候重新考慮密碼的有效性。
這也無怪乎,無密碼身份驗證對話開始升溫。Forrester Research公司分析師Sean Ryan表示,在2021年Forrester Research調(diào)查中,近70%的受訪者表示,他們處于早期采用階段,進(jìn)行概念驗證和試點,并向特定用戶群體推出無密碼。
一段時間以來,無密碼的未來一直是一個目標(biāo),那么它會在2022年實現(xiàn)嗎?行業(yè)分析師分享了他們的見解和預(yù)測。
無密碼準(zhǔn)備好了嗎?
行業(yè)分析師和供應(yīng)商的共同觀點是,轉(zhuǎn)向無密碼將是耗時、緩慢的過程。隨著越來越多的供應(yīng)商在應(yīng)用程序中添加更多的身份驗證選項,員工將逐漸減少密碼的使用。
在本文中,分析師解釋了未來幾年的無密碼之旅可能會是怎樣,并對無密碼提供了四個預(yù)測。
1. 從多因素身份驗證開始
Ryan說,由于多因素身份驗證 (MFA) 采用的增加,“被動密碼世界”即將到來。要開始無密碼之路,企業(yè)應(yīng)實施雙因素身份驗證,即使用密碼作為起點,使用非密碼身份驗證方法作為第二個因素。從那里,轉(zhuǎn)向MFA。這有助于用戶在完全過渡之前習(xí)慣無密碼體驗。這教會員工生物識別、智能卡和其他無密碼方法的工作原理,從而減少未來完全無密碼入職過程中的摩擦。
Gartner公司分析師David Mahdi表示,推動MFA的大型供應(yīng)商還可以幫助用戶了解其好處。例如,谷歌強制要求賬戶持有人使用MFA,而微軟則為Azure Active Directory添加了無密碼功能。
2. 專注于零信任
對于無密碼,部署零信任架構(gòu)是企業(yè)合乎邏輯的第一步。
RSM US安全和隱私風(fēng)險服務(wù)負(fù)責(zé)人和領(lǐng)導(dǎo)人Tauseef Ghazi說:“對于大多數(shù)企業(yè)來說,開始無密碼的一種方法是,遷移到零信任模型–具有更強多因素身份驗證。”零信任不僅可以幫助企業(yè)防止用戶名/密碼被盜用,還可以確保連接到他們系統(tǒng)的人的身份。
零信任還可以幫助企業(yè)更好地為從網(wǎng)絡(luò)外部訪問公司資源的員工提供身份管理。零信任模型側(cè)重于確定用戶和設(shè)備是否可以信任。它可以提供持續(xù)的身份驗證,并有助于降低對容易被欺騙的基于知識的身份驗證因素的依賴。
3. 考慮行為生物識別
為了幫助企業(yè)擁抱連續(xù)身份驗證和無密碼,另一種身份識別措施是行為生物識別技術(shù)。
Mahdi 稱:“行為生物識別技術(shù)正變得越來越好。”
通過使用位置、步態(tài)和設(shè)備使用等因素,行為指標(biāo)可通過風(fēng)險評分區(qū)分合法用戶和冒充者。如果一項活動將風(fēng)險評分提高到某個閾值以上,系統(tǒng)會提示用戶輸入額外的身份驗證因素,例如一次性密碼或面部識別。
Mahdi稱:“在制定風(fēng)險評分并將其與你想要進(jìn)行身份驗證的內(nèi)容進(jìn)行比較時,行為生物識別技術(shù)可以更全面地了解情況。”
除了可幫助實現(xiàn)無密碼外,行為生物識別還提供用戶登錄工作站期間的持續(xù)驗證。
4. 期待多供應(yīng)商部署
無密碼正處于起步階段。Ryan稱:“供應(yīng)商剛剛發(fā)展到這個階段,即產(chǎn)品開始上市,但它們?nèi)匀幌鄬^新。”
很少有供應(yīng)商可以適應(yīng)企業(yè)中的每個無密碼用例。如果單個用例要求無密碼,有些公司可能只需要一個供應(yīng)商。例如,如果一家公司主要使用Windows設(shè)備,則他們可以部署Windows Hello企業(yè)版。但是,如果必須采用多個用例,這將變得不太可行,例如,如果一家公司部署了Windows和macOS設(shè)備。
如果需要更廣泛的部署,企業(yè)應(yīng)該期望采用多個供應(yīng)商。一個供應(yīng)商可以做所有事情的那一天可能會到來,但不會很快。
Ryan稱:“在一段時間內(nèi),我們會看到支離破碎的局面。我們將看到供應(yīng)商進(jìn)行大量實驗,并嘗試多種身份驗證選項。”企業(yè)可以向身份提供商尋求無密碼選項。專業(yè)供應(yīng)商也開始發(fā)布能夠處理更多不同用例的產(chǎn)品。
密碼會徹底消失嗎?
對于密碼的命運,大家看法不一,但大家都樂觀認(rèn)為會出現(xiàn)無密碼企業(yè)。
Mahdi預(yù)測,隨著時間的推移,密碼會逐漸消失,這主要得益于谷歌和微軟等供應(yīng)商的幫助,他們在無密碼方面進(jìn)行了大量投資。
其他人可以看到密碼使用減少但并未完全結(jié)束。
Ghazi稱:“如果你回顧20年前的技術(shù),當(dāng)時的人們可能會告訴你,我們現(xiàn)在所實現(xiàn)的東西不可能實現(xiàn)。這就是說,密碼不會完全消亡。即使在身份驗證器上,你也需要PIN。而遺留系統(tǒng)也有它們。”
Ryan同意,日常密碼使用可能會消失,但并非所有密碼都會消失。他指出:“也許我們會達(dá)到一個成熟的水平,無密碼是前端的體驗。在后端,仍然會有密碼,所以遺留技術(shù)仍然可以相互交流。”