无密码身份验证:幻象多过现实

“无密码”身份验证的概念一直吸引着重要行业和媒体的关注。理由很充分。我们的数字生活需要越来越多的在线账户和服务,而安全最佳实践要求每个账户和服务都采用独特的强密码来确保数据安全。谁还不想要个更方便的解决办法了?

方便快捷,这就是一次性密码(OTP)、生物特征识别、PIN码和其他身份验证方法作为无密码安全的前提。用户不用记忆复杂的密码,可以使用自己所持、所知或所有的东西验证自己的身份。这种身份验证方式的一些例子包括智能手机、OTP、硬件令牌,或者指纹之类生物特征标志。尽管表面上听起来很诱人,但问题在于,只要进一步探究就会发现,这些无密码解决方案仍然依赖密码。

这一问题有两种主要表现形式:

无密码解决方案依赖密码作为后备方案

如果你有一台苹果设备,那你可能已经在某些时候遭遇过Touch ID故障了。Touch ID身份验证失败的原因很多,比如按钮上糊了污物、用户手指位置不对,或者系统设置问题等等。出现这些问题或其他问题时,你会看到什么提示呢?“请输入您的密码”。

这意味着,即使你给所有可能的应用和服务都启用了Touch ID,这些账户的安全性其实还是取决于你的密码。黑客完全可以无视Touch ID,直接破解你的密码。

鉴于密码重用泛滥的问题,很多人使用的苹果设备凭证极有可能已经泄露了。而一旦密码被泄,放心,所有黑客都可以从暗网搞到的。

当然,这不单单是苹果的问题。这些新兴身份验证解决方案出现的时间都不长,需要后备身份验证方法已备未来不时之需。当你认为这第二种形式的登录通常是密码时,无密码的前景就难以捉摸了。

凭证用于在后端验证系统

产生无密码幻象的第二个因素,是安全链中某些时候通常仍需要凭证来验证系统。

例如,你刷硬件令牌进办公室,在令牌损坏或你忘带时,默认切换为通过你的唯一访问代码开门。但需要登录系统分析数据的IT管理员又怎么办呢?如果他们使用的是没有补充解决方案的密码来确保其登录凭证的完整性,那么系统的安全性仍然取决于密码安全性。

为什么密码不会很快消失

上述两个例子点出了无密码概念很大程度上只是障眼法,至少现阶段是。这些新兴的隐形安全策略还存在一些其他的身份验证问题,在可预见的将来仍需要密码作为身份验证安全的一部分。

相较之下,密码对企业的吸引力仍然很大。密码是最廉价和可扩展的身份验证选择,所以实在是难以替代。密码可跨所有设备、版本和操作系统使用,不存在任何兼容问题。

而新兴无密码解决方案就不一样了,如果想要增加兼容性,很多此类方案都需要企业分配更多的预算。依靠密码进行身份验证还有另一个好处:非对即错。相较之下,一些无密码解决方案依靠概率决策,存在内在的误差范围。

不同层次的身份验证的作用

信息服务公司Experian执行副总裁兼身份、欺诈和数据实验室总经理Eric Haller称:“消费者希望无需额外的步骤就能识别自身身份。当今数字时代,他们乐于接受更实用的解决方案。”消费者方面或许真的有此意愿,但真相是并不存在单一、有效的安全身份验证解决方案。这些隐形安全策略自有其位置,但只是作为部署多层身份验证的总体网络安全方法的一部分。于是,我们又回到了密码上。

保护密码层安全

如上文所述,创建简单易记密码,然后在多个账户和服务上重用这些密码的现象实在太常见了。某项调查中,91%的受访者承认这么做会引入大量安全问题,但仍有59%的受访者还是这么做了。期待人类行为改变是不现实的,尤其是在后疫情时代,无论是个人生活还是职业生活中,数字交互都比以往多了不少。所以,企业应该做些什么来确保密码安全呢?

筛查被盗凭证的重要性

由于数据泄露是实时发生的,唯一的方法是在每次登录时根据被盗凭证实时数据库筛查密码。无论密码是用作主要身份验证方式,还是隐形安全策略失效时的备用身份验证方式,公司都有必要持续监测被泄凭证的使用。Enzoic的动态被盗凭证筛查解决方案允许企业自动化筛查过程,在确保密码层防护的情况下将资源释放出来,专注网络安全的其他方面。

别听信无密码炒作

目前来讲,无密码世界的所谓前景仍旧是海市蜃楼。虽然我们对密码的依赖可能会减弱,但完全消除密码似乎不太可能。因此,在可预见的未来,密码仍是我们生活的一部分,企业仍须保护密码层的安全。

标签: