密码一直都是问题,依赖密码来进行用户认证也是有缺陷的。一段时间以来,这已成为信息安全社区公认的事实,但密码验证方法仍然无处不在。一项对200名身份管理项目安全专业人员的研究发现,在设计和实施身份管理时,他们选择的身份验证方法都有充分的理由。虽然大多数组织仍然依赖用户名和密码方案进行身份验证,但他们意识到了它们的缺点并设计了无密码方案。密码的普遍性和问题研究发现,密码非常普遍,64%的组织依赖密码作为主要身份验证形式。研究还表明,密码问题严重,90%的组织表示他们在上个月遇到了严重的密码策略违规行为。这些违规行为对组织造成严重后果,包括员工解雇、恶意软件感染、数据泄露、未能满足监管要求、客户流失以及对创收的直接影响。以下是EMA报告中的一些数据亮点:您的组织目前使用以下哪种类型的身份验证?违反访问管理策略问题会产生什么影响?在过去一年中,贵组织中大约有多少员工违反了以下商业密码政策?考虑无密码身份验证安全性的后续步骤。但对采用它们的犹豫源于对认证过程的担忧。安全领导者非常关注用户培训和管理工具。在安全管理问题的背后,云服务与目录服务的融合是无密码认证的最大障碍。以下是一些额外的发现:与传统的基于密码的身份验证过程相比,以下哪项最能描述您对无密码身份验证过程的印象?说明您认为以下内容对您的组织实施完全无密码身份验证过程的技术挑战有何好处。安全还是方便?长期以来,人们一直认为身份验证是两个影响因素之间的权衡:企业安全性和最终用户便利性。但这种权衡不再是必要的,面部识别、指纹和视网膜扫描等生物特征认证方法可以同时实现这两个目标。此外,研究表明,降低身份验证过程的复杂性会成比例地提高安全性。降低认证过程复杂性的组织可以减轻管理员的压力并提高管理员的工作效率。这种简单方便的无密码身份验证方法可以有效地满足用户和业务需求。映射身份验证类型与安全级别:无密码身份验证的挑战虽然组织了解低复杂性身份验证的价值,但无密码解决方案的主要障碍是其部署的复杂性。换句话说,许多组织不愿意引入无密码身份验证,因为他们认为部署和打破运营模式将是一个挑战。为了帮助IT领导者和安全经理选择最有效的解决方案,EMA建议使用四个“I”评估无密码身份验证:直观–解决方案应该易于操作和管理,几乎不需要用户培训或需要管理员时间来支持。信息性——应在整个身份生态系统中启用整体可见性,以收集有关用户、设备、网络和托管服务的上下文数据。信息报告应该易于理解,以简化潜在风险并改善用户体验。智能-解决方案应采用智能技术:例如深度分析、机器学习和语言处理。应根据已识别的风险级别动态确定用户身份验证因素的数量。集成–解决方案应利用FIDO、SAML和OpenIDConnect等行业标准来实现身份验证技术和托管服务之间的集成。高度集成业务、系统和安全管理平台,进一步简化管理任务,从而整合访问管理策略。
