无密码的未来不仅仅是采用标准和选择身份验证方法。未来没有密码的世界:随着无密码标准越来越牢固,无密码身份验证方法的数量和复杂性呈爆炸式增长,越来越多的人不可避免地得出这个结论。当我们进入无密码的未来时,最好记住无密码的世界不仅仅是标准和身份验证方法。我们还需要考虑许多挑战。例如,在没有密码的世界里,你如何证明凭证注册的身份?您如何恢复丢失的凭据?也许最重要的考虑因素是如何解决这些挑战而不重复导致密码消亡的一些问题,例如用户不便、服务台负担以及与密码重置相关的开销。我们必须小心,不要落入用另一种同样麻烦的方法代替密码重置的陷阱。现在说我们确信所有这些问题都将得到有效解决还为时过早。但现在是开始谈话的时候了。在无密码世界中定义身份有什么意义?无密码认证的主要挑战是建立一个不依赖于密码的数字身份,证明用户就是他们所声称的那个人,并作为数字世界中用户身份的信任基础,就像现实世界中的护照或驾照。当然,现在已经有一些不需要用户在认证时输入密码的认证方式——生物识别(比如人脸识别和指纹识别)、基于令牌的认证等等。但是密码仍然用作其中许多方法的基础身份验证方法。如果要消除密码,用户首先依靠什么安全方法来证明其身份以获得无密码凭证?我们需要继续开发新的方法来建立初始信任并授予用户真正安全的无密码凭据。当用户需要恢复其凭据时会发生什么?当谈到当今使用的生物识别、令牌和其他无密码身份验证方法时,我们常常忽略了一个事实,即密码仍然是用户身份验证和凭证恢复的基础机制。当手机丢失时,重置该手机上所有相关应用程序和帐户的超高级面部识别生物识别凭据是令人困惑和沮丧的,因为它只需要一个用户名和密码。在这种情况下,如果给定用户名和密码,难道任何人都无法使用他们的脸来重置生物识别凭据以访问用户帐户吗?关键是,当今任何形式的强身份验证最终都只是一种密码的外观,实际上并不比该方法背后的密码更强大或更安全。我们认为的“无密码”并不是真正的无密码。该系统仍然植根于相当容易窃取和用来冒充用户的东西。如果你忘记了你的用户名和密码,恢复机制很容易被破解,只要你能找到你母亲的娘家姓(它在你堂兄经营的“私人”家族历史网站上),或者找到你的第一辆汽车型号(一张你自豪地发布在社交媒体上的照片就可以了)。让我们面对现实吧:每个数字身份似乎都有一套比该身份验证方法本身更弱的凭据恢复机制。带人脸识别功能的手机丢了?没问题,您仍然可以通过输入密码来解锁它。忘记密码?告诉我你妈妈的娘家姓,我们会重置你的密码。丢失了硬件令牌?来吧,提供您的ActiveDirectory(AD)用户名??和密码,我们会在过去向您发送一个。如果无密码世界中的身份验证要像人们认为的那样安全,我们必须反转模型并使恢复机制比身份验证方法本身更安全。也许使用硬件令牌作为移动验证器的恢复机制(丢失手机?使用硬件令牌进行身份验证。)主要挑战可能是使恢复机制更安全,同时保持易于使用和实用。这里的问题围绕一个主题:意识的重要性。认为无密码标准和身份验证方法就是我们创建无密码世界所需要的一切的想法是完全错误的;忽视这样一个事实也是错误的,即即使在这些领域,大多数公司仍有许多工作要做。想想已经引领我们走向无密码世界的现有和新兴解决方案是令人兴奋的,但同样值得注意的是需要填补的空白和需要克服的障碍。在这种情况下,了解挑战并思考如何解决它们成为迈向无密码未来??的第一步。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
