密码等基于知识的身份验证方法的失败继续困扰着公司。Verizon的《2021年数据泄露调查报告》发现61%的数据泄露涉及登录凭证泄露。是时候重新考虑密码的有效性了。无密码身份验证对话正在升温也就不足为奇了。ForresterResearch分析师SeanRyan表示,在2021年ForresterResearch调查中,近70%的受访者表示他们处于早期采用阶段,正在进行概念验证和试点,并向特定用户群推出无密码。一段时间以来,无密码的未来一直是一个目标,那么它会在2022年实现吗?行业分析师分享他们的见解和预测。无密码准备好了吗?行业分析师和供应商的普遍看法是,转向无密码将是一个耗时、缓慢的过程。随着越来越多的提供商为其应用程序添加更多身份验证选项,员工将逐渐减少对密码的使用。在本文中,分析师解释了未来几年的无密码之旅可能是什么样子,并提供了四种无密码预测。1.从多重身份验证开始Ryan表示,由于越来越多地采用多重身份验证(MFA),“被动密码世界”即将到来。要走上无密码之路,企业应该实施双因素身份验证,即使用密码作为起点,使用非密码身份验证方法作为第二个因素。从那里,继续学习MFA。这有助于用户在完全过渡之前习惯无密码体验。这教会员工生物识别、智能卡和其他无密码方法如何工作,减少未来完全无密码入职流程的摩擦。Gartner分析师DavidMahdi表示,推动MFA的大型供应商还可以帮助用户了解其优势。例如,谷歌强制要求帐户持有人进行MFA,而微软则向AzureActiveDirectory添加了无密码功能。2.关注零信任在没有密码的情况下,部署零信任架构是企业合乎逻辑的第一步。“对于大多数企业来说,开始无密码的一种方法是转向零信任模型——使用更强大的多因素身份验证,”RSM美国安全和隐私风险服务总监兼负责人TauseefGhazi说。零信任不仅可以帮助企业防止用户名/密码被盗,还可以确保连接到其系统的人员的身份。零信任还可以帮助组织更好地为从网络外部访问公司资源的员工提供身份管理。零信任模型侧重于确定用户和设备是否可以信任。它提供持续的身份验证,并有助于减少对容易欺骗的基于知识的身份验证因素的依赖。3.考虑行为生物识别技术为了帮助企业接受连续身份验证和无密码,另一种身份识别方法是行为生物识别技术。“行为生物识别技术越来越好,”马赫迪说。通过使用位置、步态和设备使用等因素,行为指标可以区分合法用户和具有风险评分的冒充者。如果某项活动将风险评分提高到某个阈值以上,系统会提示用户输入额外的身份验证因素,例如一次性密码或面部识别。“在开发风险评分并将其与您想要验证的内容进行比较时,行为生物识别技术提供了更完整的画面,”Mahdi说。除了帮助实现无密码之外,行为生物识别技术还为用户在登录工作站期间提供连续身份验证。4.期待多供应商部署Passwordless还处于起步阶段。“供应商刚刚进入产品开始发货的阶段,但它们仍然相对较新,”Ryan说。很少有供应商能够适应企业中的所有无密码用例。如果单个用例不需要密码,一些公司可能只需要一个提供商。例如,如果公司主要使用Windows设备,则他们可以部署WindowsHello企业版。但是,如果必须使用多个用例,例如,如果一家公司同时部署Windows和macOS设备,这将变得不太可行。如果需要更广泛的部署,企业应该期望雇用多个供应商。一家供应商可以做所有事情的那一天可能会到来,但不会很快到来。“我们将在一段时间内看到碎片化,”瑞安说。“我们将看到供应商进行大量试验并尝试多种身份验证选项。”企业可以向身份提供商寻求无密码选项。专业供应商也开始发布可以处理更多样化用例的产品。密码会完全消失吗?对于密码的命运众说纷纭,但人们乐观地认为将会有一个无密码的企业。Mahdi预测,密码会随着时间的推移而消失,这在很大程度上要归功于Google和Microsoft等供应商的帮助,它们在无密码方面投入了大量资金。其他人可能会看到密码使用减少但不会完全结束。“如果你回顾20年前的技术,人们会告诉你我们取得的成就是不可能的,”加齐说。“也就是说,密码不会完全消失。即使在身份验证器上,你也需要PIN。遗留系统也有。Ryan同意日常密码使用可能会消失,但不是所有密码都会消失。他指出:“也许我们会达到一个成熟的水平,无密码是前端体验。”在后端,仍然会有密码,所以遗留技术仍然可以相互交流。“
