采用無密碼認(rèn)證目前面臨著一些挑戰(zhàn)，包括改變帶來的阻力、與舊系統(tǒng)的集成，以及初期的成本，企業(yè)還可能對安全性、用戶體驗、無障礙性、合規(guī)性和數(shù)據(jù)隱私等方面存在擔(dān)憂。

　　為了克服這些挑戰(zhàn)，公司應(yīng)該投資于教育，逐步整合新的解決方案，關(guān)注長期的投資回報率，確保符合行業(yè)標(biāo)準(zhǔn)，并為用戶提供多種認(rèn)證選項。

　　FIDO聯(lián)盟最近的一份報告顯示，87%的公司正在部署或計劃部署密鑰以加強安全性和改善用戶體驗。

　　“無密碼”對不同的人來說意味著不同的東西，那么它實際上是什么樣的?安全領(lǐng)導(dǎo)者需要做些什么來準(zhǔn)備呢?

　　為什么無密碼認(rèn)證正在興起

　　據(jù)Yubico稱，盡管有更安全的替代方案可供選擇，但用戶名和密碼組合仍然是最普遍的認(rèn)證方法，與此同時，借助AI工具的網(wǎng)絡(luò)釣魚攻擊變得越來越先進(jìn)。

　　攻擊者不僅竊取密碼，他們還劫持會話、繞過多因素認(rèn)證(MFA)，并利用設(shè)備的漏洞。

　　真正的無密碼認(rèn)證意味著沒有基于知識的秘密——沒有用戶必須記住的密碼、安全問題或個人識別碼(PIN)，但是，一些被標(biāo)記為無密碼的系統(tǒng)仍然依賴于密碼作為備用方案。

　　這在市場上造成了混淆。一些供應(yīng)商宣傳的無密碼多因素認(rèn)證(MFA)仍然允許在某些條件下輸入密碼。那并不是真正的無密碼——它只是具有更便捷的第一步的分層安全。

　　安全領(lǐng)導(dǎo)者應(yīng)該要求供應(yīng)商明確說明其實現(xiàn)方式。一個真正的無密碼系統(tǒng)應(yīng)該：

　　• 使用公鑰密碼學(xué)來驗證用戶身份

　　• 將憑據(jù)綁定到特定設(shè)備或認(rèn)證器

　　• 不允許將密碼作為備份，除非受到嚴(yán)格限制

　　FIDO2標(biāo)準(zhǔn)(由FIDO聯(lián)盟和萬維網(wǎng)聯(lián)盟(W3C)制定)是當(dāng)前的金標(biāo)準(zhǔn)，它支持使用密鑰和生物識別令牌進(jìn)行認(rèn)證，而無需中央共享密鑰。

　　科技巨頭們已經(jīng)在采取行動，蘋果、谷歌和微軟已經(jīng)在設(shè)備和瀏覽器中推出了密鑰支持。

　　Okta高級副總裁兼首席安全官Charlotte Wylie指出：“無密碼策略為減輕密碼疲勞提供了最佳解決方案。當(dāng)公司采用無密碼策略時，密碼所帶來的挑戰(zhàn)——包括賬戶安全性和用戶體驗差、生產(chǎn)力損失以及成本增加——都將被消除。”

　　CISO采用無密碼認(rèn)證的策略提示

　　隨著網(wǎng)絡(luò)安全領(lǐng)域向更安全、更友好的認(rèn)證方法轉(zhuǎn)變，CISO必須謹(jǐn)慎地對待這一轉(zhuǎn)變。以下是朝著正確方向邁進(jìn)的五個提示：

　　審核你當(dāng)前的認(rèn)證堆棧：確定密碼仍在使用的地方：內(nèi)部應(yīng)用程序、第三方軟件即服務(wù)(SaaS)、舊系統(tǒng)。完成后，優(yōu)先處理高風(fēng)險或高摩擦用例。

　　從高影響用戶群體開始：為能夠訪問敏感系統(tǒng)的高管、開發(fā)人員和管理員試點無密碼選項。使用像YubiKey或密鑰這樣的強認(rèn)證器。

　　利用支持FIDO2的身份提供商：確保你的身份提供商(如Okta、Azure AD、Ping等)支持現(xiàn)代無密碼協(xié)議，并能與你的現(xiàn)有目錄和應(yīng)用程序集成。

　　教育和培訓(xùn)用戶：無密碼認(rèn)證只有在用戶信任該系統(tǒng)時才有效。解釋其好處，提供自助注冊指南，并為無障礙性或設(shè)備問題提供替代方案。

　　不要放棄備用安全方案：使用抗網(wǎng)絡(luò)釣魚的方法(如次要設(shè)備認(rèn)證或身份驗證)建立恢復(fù)流程。避免重新引入密碼作為備用方案。

　　展望未來

　　一旦企業(yè)采用無密碼認(rèn)證，跟蹤系統(tǒng)性能就變得至關(guān)重要，以衡量其成功與否。對于CISO來說，衡量ROI和對安全性的影響是證明解決方案價值的關(guān)鍵，監(jiān)測系統(tǒng)的有效性，并確保其成功降低風(fēng)險是很重要的。

　　CISO應(yīng)該關(guān)注關(guān)鍵指標(biāo)，如用戶采用率、阻止的網(wǎng)絡(luò)釣魚嘗試次數(shù)以及安全事件的整體減少情況。隨著時間的推移，他們可能會看到成功阻止的網(wǎng)絡(luò)釣魚嘗試次數(shù)減少、憑據(jù)盜竊事件減少，甚至與密碼重置相關(guān)的IT支持成本降低。

　　展望未來，無密碼認(rèn)證將成為各行各業(yè)的常態(tài)。隨著這項技術(shù)的進(jìn)步，企業(yè)應(yīng)該盡早采用它，以降低風(fēng)險、減少IT支持成本，并走在監(jiān)管變化的前面。

　　AI和機器學(xué)習(xí)將通過跟蹤用戶行為和發(fā)現(xiàn)異常模式來增強無密碼認(rèn)證，這些工具有助于在保持登錄過程簡單的同時加強安全性，并根據(jù)潛在風(fēng)險調(diào)整要求。

　　Stytch的CTO Julianna Lamb表示：“首先，未來將是無密碼的。雖然許多公司可能還沒有準(zhǔn)備好切換到無密碼(出于各種原因，許多公司也確實沒有準(zhǔn)備好)，但我相信，在未來十年到二十年里，我們將看到無密碼認(rèn)證在所有行業(yè)和用例中得到普及，因為它們更加安全和用戶友好。”