采用無密碼認(rèn)證目前面臨著一些挑戰(zhàn),包括改變帶來的阻力、與舊系統(tǒng)的集成,以及初期的成本,企業(yè)還可能對安全性、用戶體驗、無障礙性、合規(guī)性和數(shù)據(jù)隱私等方面存在擔(dān)憂。
為了克服這些挑戰(zhàn),公司應(yīng)該投資于教育,逐步整合新的解決方案,關(guān)注長期的投資回報率,確保符合行業(yè)標(biāo)準(zhǔn),并為用戶提供多種認(rèn)證選項。
FIDO聯(lián)盟最近的一份報告顯示,87%的公司正在部署或計劃部署密鑰以加強安全性和改善用戶體驗。
“無密碼”對不同的人來說意味著不同的東西,那么它實際上是什么樣的?安全領(lǐng)導(dǎo)者需要做些什么來準(zhǔn)備呢?
為什么無密碼認(rèn)證正在興起
據(jù)Yubico稱,盡管有更安全的替代方案可供選擇,但用戶名和密碼組合仍然是最普遍的認(rèn)證方法,與此同時,借助AI工具的網(wǎng)絡(luò)釣魚攻擊變得越來越先進(jìn)。
攻擊者不僅竊取密碼,他們還劫持會話、繞過多因素認(rèn)證(MFA),并利用設(shè)備的漏洞。
真正的無密碼認(rèn)證意味著沒有基于知識的秘密——沒有用戶必須記住的密碼、安全問題或個人識別碼(PIN),但是,一些被標(biāo)記為無密碼的系統(tǒng)仍然依賴于密碼作為備用方案。
這在市場上造成了混淆。一些供應(yīng)商宣傳的無密碼多因素認(rèn)證(MFA)仍然允許在某些條件下輸入密碼。那并不是真正的無密碼——它只是具有更便捷的第一步的分層安全。
安全領(lǐng)導(dǎo)者應(yīng)該要求供應(yīng)商明確說明其實現(xiàn)方式。一個真正的無密碼系統(tǒng)應(yīng)該:
• 使用公鑰密碼學(xué)來驗證用戶身份
• 將憑據(jù)綁定到特定設(shè)備或認(rèn)證器
• 不允許將密碼作為備份,除非受到嚴(yán)格限制
FIDO2標(biāo)準(zhǔn)(由FIDO聯(lián)盟和萬維網(wǎng)聯(lián)盟(W3C)制定)是當(dāng)前的金標(biāo)準(zhǔn),它支持使用密鑰和生物識別令牌進(jìn)行認(rèn)證,而無需中央共享密鑰。
科技巨頭們已經(jīng)在采取行動,蘋果、谷歌和微軟已經(jīng)在設(shè)備和瀏覽器中推出了密鑰支持。
Okta高級副總裁兼首席安全官Charlotte Wylie指出:“無密碼策略為減輕密碼疲勞提供了最佳解決方案。當(dāng)公司采用無密碼策略時,密碼所帶來的挑戰(zhàn)——包括賬戶安全性和用戶體驗差、生產(chǎn)力損失以及成本增加——都將被消除。”
CISO采用無密碼認(rèn)證的策略提示
隨著網(wǎng)絡(luò)安全領(lǐng)域向更安全、更友好的認(rèn)證方法轉(zhuǎn)變,CISO必須謹(jǐn)慎地對待這一轉(zhuǎn)變。以下是朝著正確方向邁進(jìn)的五個提示:
審核你當(dāng)前的認(rèn)證堆棧:確定密碼仍在使用的地方:內(nèi)部應(yīng)用程序、第三方軟件即服務(wù)(SaaS)、舊系統(tǒng)。完成后,優(yōu)先處理高風(fēng)險或高摩擦用例。
從高影響用戶群體開始:為能夠訪問敏感系統(tǒng)的高管、開發(fā)人員和管理員試點無密碼選項。使用像YubiKey或密鑰這樣的強認(rèn)證器。
利用支持FIDO2的身份提供商:確保你的身份提供商(如Okta、Azure AD、Ping等)支持現(xiàn)代無密碼協(xié)議,并能與你的現(xiàn)有目錄和應(yīng)用程序集成。
教育和培訓(xùn)用戶:無密碼認(rèn)證只有在用戶信任該系統(tǒng)時才有效。解釋其好處,提供自助注冊指南,并為無障礙性或設(shè)備問題提供替代方案。
不要放棄備用安全方案:使用抗網(wǎng)絡(luò)釣魚的方法(如次要設(shè)備認(rèn)證或身份驗證)建立恢復(fù)流程。避免重新引入密碼作為備用方案。
展望未來
一旦企業(yè)采用無密碼認(rèn)證,跟蹤系統(tǒng)性能就變得至關(guān)重要,以衡量其成功與否。對于CISO來說,衡量ROI和對安全性的影響是證明解決方案價值的關(guān)鍵,監(jiān)測系統(tǒng)的有效性,并確保其成功降低風(fēng)險是很重要的。
CISO應(yīng)該關(guān)注關(guān)鍵指標(biāo),如用戶采用率、阻止的網(wǎng)絡(luò)釣魚嘗試次數(shù)以及安全事件的整體減少情況。隨著時間的推移,他們可能會看到成功阻止的網(wǎng)絡(luò)釣魚嘗試次數(shù)減少、憑據(jù)盜竊事件減少,甚至與密碼重置相關(guān)的IT支持成本降低。
展望未來,無密碼認(rèn)證將成為各行各業(yè)的常態(tài)。隨著這項技術(shù)的進(jìn)步,企業(yè)應(yīng)該盡早采用它,以降低風(fēng)險、減少IT支持成本,并走在監(jiān)管變化的前面。
AI和機器學(xué)習(xí)將通過跟蹤用戶行為和發(fā)現(xiàn)異常模式來增強無密碼認(rèn)證,這些工具有助于在保持登錄過程簡單的同時加強安全性,并根據(jù)潛在風(fēng)險調(diào)整要求。
Stytch的CTO Julianna Lamb表示:“首先,未來將是無密碼的。雖然許多公司可能還沒有準(zhǔn)備好切換到無密碼(出于各種原因,許多公司也確實沒有準(zhǔn)備好),但我相信,在未來十年到二十年里,我們將看到無密碼認(rèn)證在所有行業(yè)和用例中得到普及,因為它們更加安全和用戶友好。”