企业面临的最大安全风险之一是大量使用密码作为不同应用程序的主要身份验证方法。采用密码学后,许多企业和个人认为密码是保护系统和敏感数据访问安全的可靠方式。然而,今天,这种身份验证形式背后的缺陷是显而易见的:它们不仅会产生一种虚假的安全感,还会在企业防御中留下重大漏洞。因此,许多企业开始过渡到“无密码”技术。但是,对于无密码身份验证的确切分类仍然存在一些混淆。一些声称属于此类的解决方案只是帮助用户保存和输入他们的密码,或者用同样不安全的措施(例如一次性密码)代替它们。了解无密码解决方案真正包含的内容是企业迈向更安全未来的第一步,也是消除困扰用户的挫折和耗时流程的第一步,这些流程只需通过用户来验证其身份即可。密码背后的风险获取密码是犯罪分子侵入企业网络和消费者账户的最常见方式之一。事实上,Verizon的2021年数据泄露调查报告发现,去年61%的泄露涉及登录凭据,超过110亿个账户被盗或泄露。根本缺陷是密码是“共享秘密”,这意味着人们知道输入和存储密码。这些密码由应用程序存储在数据库中,使它们成为网络犯罪分子的主要目标。密码成为用户的代理身份,用户通常会选择与生活中某些事物相关的密码,包括姓名和重要日期,以便于记忆。但这让网络攻击者更容易猜出他们的密码并获取敏感数据。近年来,犯罪分子比以往任何时候都更成功地诱骗目标提供其各种帐户的登录详细信息。他们创建模仿真实网站的虚假网站,并可以窃取用户名和密码以登录到他们模仿的网站。他们还设计了在用户设备上运行的恶意软件,并在用户输入密码时窃取凭据。如果一个密码用于多个帐户,窃取该密码可以访问多个系统。由于用户经常使用容易猜到的密码,例如他们最喜欢的足球队或电影人物,网络攻击者可以简单地使用暴力破解技术系统地将流行的密码输入登录页面以获得访问权限。虽然一些用户听从了专家的建议并在密码生成器的帮助下选择了更复杂的密码,但他们仍然面临风险,因为上述技术(钓鱼网站和凭证盗窃恶意软件)根本不关心密码是否为4个字符长或400个字符。即使是安全存储密码的密码管理器也不是可靠的解决方案。当网络钓鱼电子邮件进入收件箱并且密码管理器自动向虚假网络提交密码时,网络犯罪分子仍然占据上风。这些方法让用户和企业认为他们比实际情况更安全。归根结底,依赖于“共享秘密”的身份验证可能而且将会被黑客攻击。了解替代方案考虑到与密码相关的缺点、它们给用户带来的麻烦以及企业招致的安全风险和管理开销(从密码重置到帐户恢复),寻找更简单、更安全的方法来验证用户及其客户。身份策略安全优先级。但在考虑“无密码”替代方案时仍应谨慎行事。任何使用共享秘密的方法都可能被黑客攻击。以多因素身份验证(MFA)的形式为密码添加另一种保护措施带来了挑战。除了它为用户创建的额外且通常不方便的步骤之外,传统的多因素身份验证(MFA)方法仍然依赖密码作为初始安全检查,因此安全链中的弱点并未消除。网络罪犯可以通过中间人或端点攻击来劫持密码和多因素身份验证(MFA)代码,然后发起恶意会话。任何依赖于可能被盗的多种因素的多因素身份验证(MFA)解决方案都不足以安全地击败网络攻击者。真正的无密码方法消除了密码和依赖密码或其他形式的共享机密的传统多因素身份验证(MFA)方法固有的安全风险。一种合乎逻辑的方法是从登录流程、应用程序数据库和帐户恢复过程中消除密码,并用本质上安全的东西取而代之。替换密码的最可靠方法是使用经过验证的公共/私人密码,这样就不会交换共享秘密。这与用于以TLS形式保护互联网金融交易的方法相同。传输层安全(TLS),在浏览器中以锁形图标表示,证明用户正在与合法服务器通信,并且他们正在通过安全/专用通道进行通信。TLS使用公钥/私钥加密来验证服务器并建立安全的通信通道。基于公钥/私钥加密的无密码身份验证将私钥安全地存储在用户设备本身上。最安全的解决方案将密钥存储在专用硬件中,并可在现代设备(计算机、手机和平板电脑)上使用,因此私钥永远不会离开设备并且对所有各方都是未知的。公钥可用于访问用户希望访问的应用程序,但不能用于访问系统。在登录期间,用私钥签名的证书被发送到服务器,其中公钥用于验证证书是否由关联的私钥签名,从而在没有任何共享秘密的情况下自信地验证用户。甚至用户都不知道私钥,所以没有什么可以记录和意外丢失或传递的。结论凭据泄露的风险是当今企业面临的最大威胁之一。随着越来越多的IT和安全领导者意识到并修复密码造成的安全漏洞,人们更有可能防范意图闯入企业和窃取数据的网络犯罪分子。用无密码技术替换遗留解决方案是加强企业防御和消除用户在身份验证过程中受挫的重要方法。无密码的好处已经得到认可,今天越来越多的企业朝着更安全的未来迈进,需要迅速进入一个永远不必要求用户创建密码的世界。
