采用無密碼認(rèn)證目前面臨著一些挑戰(zhàn)，包括改變帶來的阻力、與舊系統(tǒng)的集成，以及初期的成本，企業(yè)還可能對(duì)安全性、用戶體驗(yàn)、無障礙性、合規(guī)性和數(shù)據(jù)隱私等方面存在擔(dān)憂。

為了克服這些挑戰(zhàn)，公司應(yīng)該投資于教育，逐步整合新的解決方案，關(guān)注長期的投資回報(bào)率，確保符合行業(yè)標(biāo)準(zhǔn)，并為用戶提供多種認(rèn)證選項(xiàng)。

FIDO聯(lián)盟最近的一份報(bào)告顯示，87%的公司正在部署或計(jì)劃部署密鑰以加強(qiáng)安全性和改善用戶體驗(yàn)。

“無密碼”對(duì)不同的人來說意味著不同的東西，那么它實(shí)際上是什么樣的?安全領(lǐng)導(dǎo)者需要做些什么來準(zhǔn)備呢?

為什么無密碼認(rèn)證正在興起

據(jù)Yubico稱，盡管有更安全的替代方案可供選擇，但用戶名和密碼組合仍然是最普遍的認(rèn)證方法，與此同時(shí)，借助AI工具的網(wǎng)絡(luò)釣魚攻擊變得越來越先進(jìn)。

攻擊者不僅竊取密碼，他們還劫持會(huì)話、繞過多因素認(rèn)證(MFA)，并利用設(shè)備的漏洞。

真正的無密碼認(rèn)證意味著沒有基于知識(shí)的秘密——沒有用戶必須記住的密碼、安全問題或個(gè)人識(shí)別碼(PIN)，但是，一些被標(biāo)記為無密碼的系統(tǒng)仍然依賴于密碼作為備用方案。

這在市場(chǎng)上造成了混淆。一些供應(yīng)商宣傳的無密碼多因素認(rèn)證(MFA)仍然允許在某些條件下輸入密碼。那并不是真正的無密碼——它只是具有更便捷的第一步的分層安全。

安全領(lǐng)導(dǎo)者應(yīng)該要求供應(yīng)商明確說明其實(shí)現(xiàn)方式。一個(gè)真正的無密碼系統(tǒng)應(yīng)該：

? 使用公鑰密碼學(xué)來驗(yàn)證用戶身份

? 將憑據(jù)綁定到特定設(shè)備或認(rèn)證器

? 不允許將密碼作為備份，除非受到嚴(yán)格限制

FIDO2標(biāo)準(zhǔn)(由FIDO聯(lián)盟和萬維網(wǎng)聯(lián)盟(W3C)制定)是當(dāng)前的金標(biāo)準(zhǔn)，它支持使用密鑰和生物識(shí)別令牌進(jìn)行認(rèn)證，而無需中央共享密鑰。

科技巨頭們已經(jīng)在采取行動(dòng)，蘋果、谷歌和微軟已經(jīng)在設(shè)備和瀏覽器中推出了密鑰支持。

Okta高級(jí)副總裁兼首席安全官Charlotte Wylie指出：“無密碼策略為減輕密碼疲勞提供了最佳解決方案。當(dāng)公司采用無密碼策略時(shí)，密碼所帶來的挑戰(zhàn)——包括賬戶安全性和用戶體驗(yàn)差、生產(chǎn)力損失以及成本增加——都將被消除。”

CISO采用無密碼認(rèn)證的策略提示

隨著網(wǎng)絡(luò)安全領(lǐng)域向更安全、更友好的認(rèn)證方法轉(zhuǎn)變，CISO必須謹(jǐn)慎地對(duì)待這一轉(zhuǎn)變。以下是朝著正確方向邁進(jìn)的五個(gè)提示：

審核你當(dāng)前的認(rèn)證堆棧：確定密碼仍在使用的地方：內(nèi)部應(yīng)用程序、第三方軟件即服務(wù)(SaaS)、舊系統(tǒng)。完成后，優(yōu)先處理高風(fēng)險(xiǎn)或高摩擦用例。

從高影響用戶群體開始：為能夠訪問敏感系統(tǒng)的高管、開發(fā)人員和管理員試點(diǎn)無密碼選項(xiàng)。使用像YubiKey或密鑰這樣的強(qiáng)認(rèn)證器。

利用支持FIDO2的身份提供商：確保你的身份提供商(如Okta、Azure AD、Ping等)支持現(xiàn)代無密碼協(xié)議，并能與你的現(xiàn)有目錄和應(yīng)用程序集成。

教育和培訓(xùn)用戶：無密碼認(rèn)證只有在用戶信任該系統(tǒng)時(shí)才有效。解釋其好處，提供自助注冊(cè)指南，并為無障礙性或設(shè)備問題提供替代方案。

不要放棄備用安全方案：使用抗網(wǎng)絡(luò)釣魚的方法(如次要設(shè)備認(rèn)證或身份驗(yàn)證)建立恢復(fù)流程。避免重新引入密碼作為備用方案。

展望未來

一旦企業(yè)采用無密碼認(rèn)證，跟蹤系統(tǒng)性能就變得至關(guān)重要，以衡量其成功與否。對(duì)于CISO來說，衡量ROI和對(duì)安全性的影響是證明解決方案價(jià)值的關(guān)鍵，監(jiān)測(cè)系統(tǒng)的有效性，并確保其成功降低風(fēng)險(xiǎn)是很重要的。

CISO應(yīng)該關(guān)注關(guān)鍵指標(biāo)，如用戶采用率、阻止的網(wǎng)絡(luò)釣魚嘗試次數(shù)以及安全事件的整體減少情況。隨著時(shí)間的推移，他們可能會(huì)看到成功阻止的網(wǎng)絡(luò)釣魚嘗試次數(shù)減少、憑據(jù)盜竊事件減少，甚至與密碼重置相關(guān)的IT支持成本降低。

展望未來，無密碼認(rèn)證將成為各行各業(yè)的常態(tài)。隨著這項(xiàng)技術(shù)的進(jìn)步，企業(yè)應(yīng)該盡早采用它，以降低風(fēng)險(xiǎn)、減少IT支持成本，并走在監(jiān)管變化的前面。

AI和機(jī)器學(xué)習(xí)將通過跟蹤用戶行為和發(fā)現(xiàn)異常模式來增強(qiáng)無密碼認(rèn)證，這些工具有助于在保持登錄過程簡單的同時(shí)加強(qiáng)安全性，并根據(jù)潛在風(fēng)險(xiǎn)調(diào)整要求。

Stytch的CTO Julianna Lamb表示：“首先，未來將是無密碼的。雖然許多公司可能還沒有準(zhǔn)備好切換到無密碼(出于各種原因，許多公司也確實(shí)沒有準(zhǔn)備好)，但我相信，在未來十年到二十年里，我們將看到無密碼認(rèn)證在所有行業(yè)和用例中得到普及，因?yàn)樗鼈兏影踩陀脩粲押谩！?/p>