因此,許多企業開始向“無密碼”技術過渡。但是,對于無密碼身份驗證的確切分類仍然存在一些混淆。一些聲稱屬于該類別的解決方案只是幫助用戶保存并輸入密碼,或者將其替換為同樣不安全的措施,例如一次性密碼。
了解無密碼解決方案的真正構成是企業邁向更安全未來的第一步,也是消除困擾用戶的挫折感和耗時流程的第一步,用戶只需通過這些過程來驗證他們的身份。
密碼背后的風險
獲取密碼是犯罪分子侵入商業網絡和消費者賬戶的最常見方式之一。事實上,Verizon 公司發布的2021數據泄露調查報告發現,去年 61% 的泄露事件涉及登錄憑據,目前已經被盜或入侵的帳戶超過110億個。
根本的缺陷是密碼是一個“共享秘密”,這意味著人們都知道輸入并存儲了密碼。這些密碼由應用程序存儲在數據庫中,使其成為網絡犯罪分子的主要目標。密碼成為用戶的代理標識,用戶通常會選擇與他們生活中的某些事情相關的密碼,其中包括姓名和重要日期,以便于記憶。但這使得網絡攻擊者更容易猜測他們的密碼并獲取敏感數據。
近年來,犯罪分子比以往任何時候都更成功地欺騙目標以提供其各種帳戶的登錄詳細信息。他們創建了模仿真實網站的虛假網站,可以竊取用戶名和密碼,然后登錄其模仿的網站。他們還設計了在用戶設備上運行的惡意軟件,并在用戶輸入密碼時竊取憑據。如果密碼用于多個帳戶,則盜取這個密碼就可以進入多個系統。由于用戶經常使用容易猜到的密碼,例如他們最喜歡的足球隊或電影角色,網絡攻擊者可以簡單地使用暴力破解技術,將流行的密碼系統地輸入登錄頁面以獲得訪問權限。
雖然一些用戶遵循了專家的建議并在密碼生成器的幫助下選擇了更復雜的密碼,但他們仍然面臨風險,因為前面提到的技術(網絡釣魚站點和憑據盜竊惡意軟件)根本不在乎密碼是4個字符長還是400個字符。
即使是安全存儲密碼的密碼管理器也不是可靠的解決方案。當網絡釣魚電子郵件進入收件箱并且密碼管理器自動將密碼提交到虛假網絡時,網絡犯罪分子會仍然占據上風。這些方法讓用戶和企業認為它們比實際更安全。歸根結底,依賴于“共享秘密”的身份驗證可能并且將會被黑客入侵。
了解替代方案
鑒于密碼的相關缺點、它們給用戶帶來的麻煩以及企業所承受的安全風險和管理開銷(從密碼重置到帳戶恢復),應該尋找更簡化、更安全的方法來驗證用戶及其身份戰略安全優先事項。
但是在考慮 “無密碼”的替代方案時,仍然應謹慎行事。任何使用共享秘密的方法都可能被黑客入侵。以多因素身份驗證 (MFA) 的形式為密碼添加另一種保護措施帶來了挑戰。除了它為用戶創建的額外的、通常不方便的步驟之外,傳統的多因素身份驗證 (MFA)方法仍然依賴密碼作為初始安全檢查措施,因此安全鏈中的弱點并沒有被消除。
網絡犯罪分子可以通過中間人或端點攻擊劫持密碼和多因素身份驗證 (MFA)代碼,然后啟動惡意會話。任何依賴于可能被盜的多個因素的多因素身份驗證 (MFA)解決方案都不夠安全,無法擊敗網絡攻擊者。
真正的無密碼方法既消除了密碼固有的安全風險,也消除了依賴密碼或其他形式的共享機密的傳統多因素身份驗證 (MFA)方法。一個合理的方法是從登錄流程、應用程序數據庫和帳戶恢復流程中消除密碼,并采用本質上安全的東西代替它。替換密碼最可靠的方法是使用經過驗證的公共/私有密碼,這樣就不會交換共享秘密。這與用于以TLS形式保護互聯網上的金融交易的方法相同。傳輸層安全(TLS)由瀏覽器中的鎖定圖標指示,證明用戶正在與合法服務器進行通信,并且他們正在通過安全/專用通道進行通信。TLS使用公鑰/私鑰加密來驗證服務器并設置安全通信通道。
基于公鑰/私鑰加密的無密碼身份驗證將私鑰安全地存儲在用戶設備本身上。最安全的解決方案將密鑰存儲在專用硬件中,并且可在現代設備(電腦、手機和平板電腦)上使用,因此私鑰永遠不會離開設備,并且對所有各方都是未知的。公鑰可用于用戶希望訪問的應用程序,但不能用于訪問系統。在登錄期間,使用私鑰簽名的證書被發送到服務器,在那里公鑰用于驗證證書是否由關聯的私鑰簽名,從而在沒有任何共享的秘密的情況下自信地驗證用戶。甚至用戶都不知道私鑰,因此沒有任何可以記錄和意外丟失或傳遞的內容。
結論
憑據泄露帶來的風險是當今企業面臨的最主要威脅之一。隨著越來越多的IT和安全領導者意識到并修復密碼造成的安全漏洞,人們更有可能防范意圖入侵企業和竊取數據的網絡犯罪分子。
采用無密碼技術替換舊的解決方案是加強企業防御措施以及消除用戶在驗證過程中感到沮喪的基本方法。無密碼的好處已經得到認可,更多的企業如今將走向更安全的未來,需要迅速邁向一個永遠不必要求用戶創建密碼的世界。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號