密码无关认证的未来

关键要点

近年来，密码无关的认证技术在网络安全领域取得进展，逐渐得到应用。该技术不仅适用于企业员工，也适用于消费者的身份与访问管理。由于密码易被破解，密码无关的方式显得更加安全。根据最新的 Verizon 数据泄露调查报告，超过 80 的账户被攻破都与密码有关。同时，与基于身份的欺诈相关的财务损失在 2021 年达到了 61 亿美元。尽管密码无关的访问方式是一个明确的进步，但实施过程中也存在潜在的陷阱。以下是实施 密码无关 多因素认证的五个最佳实践：

最佳实践描述审慎规划制定全面的技术战略，与业务目标保持一致，确保不同团队协同工作。与各层利益相关者沟通阐明密码无关的优点，争取管理层和各业务单元的支持，特别是客户面向的单位。考虑自主管理身份利用现代手机的多媒体功能，创建可重用的数字身份，通过保护用户信息增强安全性。实施阶段控制从小范围开始测试，保护用户在过渡期间能够使用旧系统与密码无关的访问共存。提供旧密码的自助管理实施后仍需提供旧密码的管理工具，以减少用户访问遗留应用时的摩擦。

审慎规划。 制定全面的、与业务目标一致的技术战略。许多组织中，IAM 和 CIAM 分别由不同团队管理，因此需要确保这些团队在密码无关访问的实施范围、负责的部署团队、预算分配等方面达成共识。针对大型组织，通常有数千个应用程序，需要优先确定攻击者可能目标的应用。例如，80 的登录与远程访问相关，因此确保远程访问的用户入职和认证是首要任务。

与各层利益相关者沟通。 像任何影响到组织工作流程的新过程一样，密码无关访问需要通知和一定的推广工作。尽管密码无关的潜在用户利益不少，但仍会有人对放弃密码有抵触情绪。因此，重要的是要说服利益相关者，尤其是管理层，他们可能更容易接受这一新方法，因为数据泄漏对业务的影响日益显著。同时，那些依赖面向客户的应用特别是 B2C 的业务单元会欢迎这一变革，因为它显著降低了摩擦。

考虑自主管理身份。 五年前，技术尚不存在，让用户能够创建一个可信任且可重用的身份。如今，智能手机配备了 1200 万像素的摄像头以及硬件信任平台模块TPM，能够生成并安全存储加密密钥。这些功能支持创建数字钱包，使用户能够在无密码、身份基础的访问中拥有独立的控制权。简单来说，用户扫描以政府签发的身份证明例如，驾照或护照。钱包通过可信的第三方实时验证身份证的合法性。接着，用户再拍摄一段视频自拍，钱包将其与身份证上的照片进行匹配。最后，钱包生成一个凭证，通过公钥/私钥加密保护用户。从此，用户可以通过安全绑定到凭证的任何生物特征进行登录。

实施阶段控制。 坦白说，同时在多个应用程序和用户之间实施密码无关认证可能会造成灾难。如果有任何问题发生，新的系统有可能引发更强的抵制情绪。更明智的做法是从小范围的应用程序和用户开始测试，然后逐步扩大覆盖面，直到实现全面实施。可以在这个过程中提供旧系统与密码无关访问的共存