本文來自微信公眾號“網(wǎng)絡(luò)研究院”。
你的物理現(xiàn)實(shí)的數(shù)字對應(yīng)物正在驚人地增長。雖然肯定會有積極的結(jié)果,但隨著互聯(lián)網(wǎng)的發(fā)展,與之相關(guān)的風(fēng)險(xiǎn)也在迅速增加。在討論網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理時(shí),首先想到的是密碼。但當(dāng)出現(xiàn)詐騙、網(wǎng)絡(luò)釣魚等威脅時(shí),這還不夠。
那么,解決方案是什么?
無密碼身份驗(yàn)證:它是什么?
20世紀(jì)是關(guān)于密碼的,但現(xiàn)在已經(jīng)超越了密碼。簡單來說,無密碼身份驗(yàn)證意味著無需使用密碼即可在線驗(yàn)證個(gè)人身份的方法。無密碼身份驗(yàn)證涉及更安全的替代方法來驗(yàn)證用戶的身份。
隨著越來越多的密碼被破解,它們不是保護(hù)數(shù)據(jù)的理想解決方案已不是什么秘密。不僅密碼有時(shí)難以記住,而且密碼也是網(wǎng)絡(luò)罪犯最追逐的目標(biāo)。
不同類型的無密碼身份驗(yàn)證
現(xiàn)在我們對無密碼身份驗(yàn)證的含義有了一個(gè)清晰的認(rèn)識,讓我們看一下無密碼身份驗(yàn)證的多種類型。
生物識別:視網(wǎng)膜掃描和指紋等生物識別因素可以唯一地識別一個(gè)人。被稱為固有因素,這種類型的方法根據(jù)生物特征授予用戶訪問權(quán)限。即使隨著人工智能的興起,模仿這些方法也非常困難,因此在保護(hù)賬戶安全方面非常安全。
一些常見的生物識別因素是:
●聲紋
●面部識別
●心電圖
●指紋掃描
●視網(wǎng)膜掃描
生物識別如何工作:
在新應(yīng)用程序上注冊帳戶后,用戶將需要出示一種生物識別ID,該ID將作為私鑰在未來獲得訪問權(quán)限。
為了重新訪問特定的應(yīng)用程序,用戶需要出示他們之前注冊的ID。
由于生物識別ID是經(jīng)過授權(quán)的生物識別特征,因此它們比其他方法相對安全。
擁有因素:另一種方法涉及擁有或所有權(quán)因素,顧名思義,這些因素用于通過擁有的某些設(shè)備授予訪問權(quán)限。例如,手機(jī)等設(shè)備主要用于此類身份驗(yàn)證過程。注冊新應(yīng)用程序后,用戶將通過短信或驗(yàn)證器應(yīng)用程序的推送通知獲得一次性密碼。
只有響應(yīng)這些通知,用戶才能訪問特定平臺。由于黑客需要特定的占有因素來對通知做出反應(yīng),因此網(wǎng)絡(luò)攻擊變得極其困難。
一些占有因素包括:
●身份驗(yàn)證器應(yīng)用程序
●智能卡
●移動設(shè)備
●硬件令牌
擁有因素如何運(yùn)作:
●用戶在注冊新應(yīng)用程序時(shí)需要驗(yàn)證其擁有系數(shù)。這可以是移動設(shè)備號碼或二維碼。
●之后,該應(yīng)用程序會生成一個(gè)僅與擁有事實(shí)相關(guān)聯(lián)的私鑰。
●如果嘗試,應(yīng)用程序?qū)l(fā)送OTP作為PIN、密碼或推送通知。
●用戶只有在響應(yīng)特定設(shè)備上的通知后才能訪問該應(yīng)用程序。
魔術(shù)鏈接
魔術(shù)鏈接主要涉及用于登錄特定帳戶的電子郵件地址。單擊魔術(shù)鏈接后,應(yīng)用程序會直接授予用戶訪問權(quán)限。使用魔法鏈接的熱門網(wǎng)站/應(yīng)用程序有Slack和Medium,僅舉幾例。
魔術(shù)鏈接如何工作:
首次在應(yīng)用程序上注冊時(shí),該應(yīng)用程序會提示用戶共享他們的電子郵件地址以創(chuàng)建自定義的魔術(shù)鏈接。
單擊用戶在其電子郵件地址中收到的鏈接后,用戶將通過匹配令牌進(jìn)行身份驗(yàn)證。
無密碼身份驗(yàn)證方法的優(yōu)點(diǎn)
我們已經(jīng)介紹了許多可以代替密碼訪問和重新訪問新帳戶的方法。但為什么公司更喜歡這種方法而不是前一種方法?讓我們一一來看原因。
1.更強(qiáng)的網(wǎng)絡(luò)安全
隨著科技的進(jìn)步,黑客也在進(jìn)步。在這種情況下,密碼不再是任何在線帳戶的強(qiáng)大障礙。例如,員工經(jīng)常對不同的應(yīng)用程序使用相似或相同的密碼。有了密碼,網(wǎng)絡(luò)釣魚、惡意軟件攻擊和暗網(wǎng)列表的機(jī)會就會增加。這意味著,使用一個(gè)密碼,黑客甚至可以訪問多個(gè)帳戶。
另一方面,無密碼身份驗(yàn)證完全消除了密碼的使用。這會立即消除與重大網(wǎng)絡(luò)攻擊相關(guān)的風(fēng)險(xiǎn),例如憑據(jù)填充、帳戶接管、密碼盜竊/暴力攻擊和網(wǎng)絡(luò)釣魚。
通過在其網(wǎng)站、工作場所設(shè)備和應(yīng)用程序上實(shí)施無密碼身份驗(yàn)證技術(shù),您的組織的安全狀況將得到顯著改善。
2.增加產(chǎn)量
繼續(xù)創(chuàng)建和記住數(shù)百個(gè)密碼變得不可能。此外,當(dāng)員工忘記密碼時(shí)更改密碼的過程通常很困難。因此,如果工作人員使用他們能記住的最簡單的密碼,在所有平臺上保持相同的密碼,或者在需要時(shí)每月添加一個(gè)獨(dú)特的字符或數(shù)字,就不足為奇了。
由于無密碼身份驗(yàn)證,用戶不再需要生成密碼或記住密碼。相反,要進(jìn)行身份驗(yàn)證,他們可以使用電話、電子郵件或面部。
如果員工擁有快速、直接的登錄體驗(yàn),他們可以將原本會花在思考或更改密碼上的時(shí)間花在其他更重要的任務(wù)上。無密碼身份驗(yàn)證也可以增強(qiáng)客戶端體驗(yàn)。
如果客戶已經(jīng)擁有帳戶,他們經(jīng)常會被要求登錄您的網(wǎng)站。無密碼身份驗(yàn)證有助于降低購物車被遺棄和平臺被黑客攻擊的可能性。
3.長期成本較低
想一想您的企業(yè)在密碼存儲和管理上花費(fèi)的金額。包括IT用于密碼重置和解決頻繁更改的密碼存儲法律要求的時(shí)間。
在可擴(kuò)展性方面,無密碼身份驗(yàn)證可能優(yōu)于傳統(tǒng)的基于密碼的身份驗(yàn)證。這樣公司就不必維護(hù)和管理用戶的登錄信息。此身份驗(yàn)證提供了更簡化的身份驗(yàn)證過程,可以幫助組織在擴(kuò)展和用戶群增長時(shí)控制費(fèi)用。
這種身份驗(yàn)證可以大大減少支持票的數(shù)量,包括用于重置密碼和故障排除的票,從而減輕支持人員的工作量和相關(guān)的運(yùn)營成本。
密碼是用戶保留和流失的常見原因。實(shí)施無密碼身份驗(yàn)證會增加用戶返回應(yīng)用程序的可能性,因?yàn)樗麄儫o需記住密碼。
通過使用無密碼身份驗(yàn)證,可以避免所有這些成本。無需再記住密碼、重置丟失的密碼或擔(dān)心新的合規(guī)性法規(guī)。
4.提高用戶滿意度
在創(chuàng)建滿足用戶需求的任何程序時(shí),用戶體驗(yàn)很重要。無密碼身份驗(yàn)證改善了整個(gè)應(yīng)用程序的用戶體驗(yàn),從打開到導(dǎo)航到安全關(guān)閉它。
與傳統(tǒng)的基于密碼的身份驗(yàn)證相比,無密碼身份驗(yàn)證更容易設(shè)置。與經(jīng)常激怒客戶的耗時(shí)密碼設(shè)置過程相比,這種方法簡化了用戶入職流程。
方便和受歡迎的用戶體驗(yàn)會大大提高應(yīng)用程序的轉(zhuǎn)化率。采用無密碼身份驗(yàn)證的用戶不太可能因?yàn)樵谧曰诿艽a的應(yīng)用程序時(shí)經(jīng)常遇到的困難而感到惱火。
組織通過消除建立困難密碼然后在每次登錄時(shí)重新輸入密碼的多步驟過程,降低了用戶因?qū)ι矸蒡?yàn)證過程感到厭煩而離開其預(yù)期操作的風(fēng)險(xiǎn)。
無密碼身份驗(yàn)證的最佳實(shí)踐
雖然不可否認(rèn)無密碼身份驗(yàn)證方法優(yōu)于舊密碼,但最終,這一切都?xì)w結(jié)為最佳實(shí)踐。
組織需要為執(zhí)行無密碼身份驗(yàn)證技術(shù)的重大嘗試做好準(zhǔn)備。如果沒有充分的計(jì)劃,做出錯(cuò)誤的采用決定的可能性就會增加,這會導(dǎo)致漏洞而不是保護(hù)它們。
占有因素:
●讓我們從控球因素開始。最佳實(shí)踐包括:
●使用經(jīng)認(rèn)可的身份驗(yàn)證器應(yīng)用程序
●接受最新的OTP代碼
●最大限度地減少失敗嘗試并限制代碼有效的時(shí)間
生物識別因素:
●用戶不得共享他們的面部數(shù)據(jù)或指紋,這是很明顯的一點(diǎn)。
●始終有一個(gè)備份來處理身份驗(yàn)證時(shí)的任何故障
●堅(jiān)持黑客難以規(guī)避的生物識別技術(shù)。這些可能包括手掌靜脈掃描和步態(tài)識別,僅舉幾例。
魔術(shù)鏈接:
最后但同樣重要的是,讓我們看一下在處理魔術(shù)鏈接時(shí)需要采取的安全措施。
●確保電子郵件傳送服務(wù)能夠快速發(fā)送魔術(shù)鏈接。這很重要,因?yàn)槟幌M溄幼罱K進(jìn)入垃圾郵件文件夾并延遲電子郵件。
●提供一次性使用并在一段時(shí)間后過期的鏈接。
●強(qiáng)制執(zhí)行MFA或多重身份驗(yàn)證以確保用戶的身份
●通過與電子郵件提供商合作來防止消息線程化。
眾所周知,無密碼身份驗(yàn)證的好處比隨之而來的挑戰(zhàn)更重要。隨著社會在技術(shù)進(jìn)步中向前發(fā)展,現(xiàn)在必須實(shí)施多因素身份驗(yàn)證并采用無密碼方法。
采用尖端身份驗(yàn)證流程的企業(yè)往往不僅通過提供強(qiáng)大的安全性而且通過提供無縫的用戶體驗(yàn)來領(lǐng)先于競爭對手。