信息化觀察網(wǎng)

本文來自微信公眾號“網(wǎng)絡(luò)研究院”。

你的物理現(xiàn)實(shí)的數(shù)字對應(yīng)物正在驚人地增長。雖然肯定會有積極的結(jié)果，但隨著互聯(lián)網(wǎng)的發(fā)展，與之相關(guān)的風(fēng)險(xiǎn)也在迅速增加。在討論網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理時(shí)，首先想到的是密碼。但當(dāng)出現(xiàn)詐騙、網(wǎng)絡(luò)釣魚等威脅時(shí)，這還不夠。

那么，解決方案是什么？

無密碼身份驗(yàn)證：它是什么？

20世紀(jì)是關(guān)于密碼的，但現(xiàn)在已經(jīng)超越了密碼。簡單來說，無密碼身份驗(yàn)證意味著無需使用密碼即可在線驗(yàn)證個(gè)人身份的方法。無密碼身份驗(yàn)證涉及更安全的替代方法來驗(yàn)證用戶的身份。

隨著越來越多的密碼被破解，它們不是保護(hù)數(shù)據(jù)的理想解決方案已不是什么秘密。不僅密碼有時(shí)難以記住，而且密碼也是網(wǎng)絡(luò)罪犯最追逐的目標(biāo)。

不同類型的無密碼身份驗(yàn)證

現(xiàn)在我們對無密碼身份驗(yàn)證的含義有了一個(gè)清晰的認(rèn)識，讓我們看一下無密碼身份驗(yàn)證的多種類型。

生物識別：視網(wǎng)膜掃描和指紋等生物識別因素可以唯一地識別一個(gè)人。被稱為固有因素，這種類型的方法根據(jù)生物特征授予用戶訪問權(quán)限。即使隨著人工智能的興起，模仿這些方法也非常困難，因此在保護(hù)賬戶安全方面非常安全。

一些常見的生物識別因素是：

●聲紋

●面部識別

●心電圖

●指紋掃描

●視網(wǎng)膜掃描

生物識別如何工作：

在新應(yīng)用程序上注冊帳戶后，用戶將需要出示一種生物識別ID，該ID將作為私鑰在未來獲得訪問權(quán)限。

為了重新訪問特定的應(yīng)用程序，用戶需要出示他們之前注冊的ID。

由于生物識別ID是經(jīng)過授權(quán)的生物識別特征，因此它們比其他方法相對安全。

擁有因素：另一種方法涉及擁有或所有權(quán)因素，顧名思義，這些因素用于通過擁有的某些設(shè)備授予訪問權(quán)限。例如，手機(jī)等設(shè)備主要用于此類身份驗(yàn)證過程。注冊新應(yīng)用程序后，用戶將通過短信或驗(yàn)證器應(yīng)用程序的推送通知獲得一次性密碼。

只有響應(yīng)這些通知，用戶才能訪問特定平臺。由于黑客需要特定的占有因素來對通知做出反應(yīng)，因此網(wǎng)絡(luò)攻擊變得極其困難。

一些占有因素包括：

●身份驗(yàn)證器應(yīng)用程序

●智能卡

●移動設(shè)備

●硬件令牌

擁有因素如何運(yùn)作：

●用戶在注冊新應(yīng)用程序時(shí)需要驗(yàn)證其擁有系數(shù)。這可以是移動設(shè)備號碼或二維碼。

●之后，該應(yīng)用程序會生成一個(gè)僅與擁有事實(shí)相關(guān)聯(lián)的私鑰。

●如果嘗試，應(yīng)用程序?qū)l(fā)送OTP作為PIN、密碼或推送通知。

●用戶只有在響應(yīng)特定設(shè)備上的通知后才能訪問該應(yīng)用程序。

魔術(shù)鏈接

魔術(shù)鏈接主要涉及用于登錄特定帳戶的電子郵件地址。單擊魔術(shù)鏈接后，應(yīng)用程序會直接授予用戶訪問權(quán)限。使用魔法鏈接的熱門網(wǎng)站/應(yīng)用程序有Slack和Medium，僅舉幾例。

魔術(shù)鏈接如何工作：

首次在應(yīng)用程序上注冊時(shí)，該應(yīng)用程序會提示用戶共享他們的電子郵件地址以創(chuàng)建自定義的魔術(shù)鏈接。

單擊用戶在其電子郵件地址中收到的鏈接后，用戶將通過匹配令牌進(jìn)行身份驗(yàn)證。

無密碼身份驗(yàn)證方法的優(yōu)點(diǎn)

我們已經(jīng)介紹了許多可以代替密碼訪問和重新訪問新帳戶的方法。但為什么公司更喜歡這種方法而不是前一種方法？讓我們一一來看原因。

1.更強(qiáng)的網(wǎng)絡(luò)安全

隨著科技的進(jìn)步，黑客也在進(jìn)步。在這種情況下，密碼不再是任何在線帳戶的強(qiáng)大障礙。例如，員工經(jīng)常對不同的應(yīng)用程序使用相似或相同的密碼。有了密碼，網(wǎng)絡(luò)釣魚、惡意軟件攻擊和暗網(wǎng)列表的機(jī)會就會增加。這意味著，使用一個(gè)密碼，黑客甚至可以訪問多個(gè)帳戶。

另一方面，無密碼身份驗(yàn)證完全消除了密碼的使用。這會立即消除與重大網(wǎng)絡(luò)攻擊相關(guān)的風(fēng)險(xiǎn)，例如憑據(jù)填充、帳戶接管、密碼盜竊/暴力攻擊和網(wǎng)絡(luò)釣魚。

通過在其網(wǎng)站、工作場所設(shè)備和應(yīng)用程序上實(shí)施無密碼身份驗(yàn)證技術(shù)，您的組織的安全狀況將得到顯著改善。

2.增加產(chǎn)量

繼續(xù)創(chuàng)建和記住數(shù)百個(gè)密碼變得不可能。此外，當(dāng)員工忘記密碼時(shí)更改密碼的過程通常很困難。因此，如果工作人員使用他們能記住的最簡單的密碼，在所有平臺上保持相同的密碼，或者在需要時(shí)每月添加一個(gè)獨(dú)特的字符或數(shù)字，就不足為奇了。

由于無密碼身份驗(yàn)證，用戶不再需要生成密碼或記住密碼。相反，要進(jìn)行身份驗(yàn)證，他們可以使用電話、電子郵件或面部。

如果員工擁有快速、直接的登錄體驗(yàn)，他們可以將原本會花在思考或更改密碼上的時(shí)間花在其他更重要的任務(wù)上。無密碼身份驗(yàn)證也可以增強(qiáng)客戶端體驗(yàn)。

如果客戶已經(jīng)擁有帳戶，他們經(jīng)常會被要求登錄您的網(wǎng)站。無密碼身份驗(yàn)證有助于降低購物車被遺棄和平臺被黑客攻擊的可能性。

3.長期成本較低

想一想您的企業(yè)在密碼存儲和管理上花費(fèi)的金額。包括IT用于密碼重置和解決頻繁更改的密碼存儲法律要求的時(shí)間。

在可擴(kuò)展性方面，無密碼身份驗(yàn)證可能優(yōu)于傳統(tǒng)的基于密碼的身份驗(yàn)證。這樣公司就不必維護(hù)和管理用戶的登錄信息。此身份驗(yàn)證提供了更簡化的身份驗(yàn)證過程，可以幫助組織在擴(kuò)展和用戶群增長時(shí)控制費(fèi)用。

這種身份驗(yàn)證可以大大減少支持票的數(shù)量，包括用于重置密碼和故障排除的票，從而減輕支持人員的工作量和相關(guān)的運(yùn)營成本。

密碼是用戶保留和流失的常見原因。實(shí)施無密碼身份驗(yàn)證會增加用戶返回應(yīng)用程序的可能性，因?yàn)樗麄儫o需記住密碼。

通過使用無密碼身份驗(yàn)證，可以避免所有這些成本。無需再記住密碼、重置丟失的密碼或擔(dān)心新的合規(guī)性法規(guī)。

4.提高用戶滿意度

在創(chuàng)建滿足用戶需求的任何程序時(shí)，用戶體驗(yàn)很重要。無密碼身份驗(yàn)證改善了整個(gè)應(yīng)用程序的用戶體驗(yàn)，從打開到導(dǎo)航到安全關(guān)閉它。

與傳統(tǒng)的基于密碼的身份驗(yàn)證相比，無密碼身份驗(yàn)證更容易設(shè)置。與經(jīng)常激怒客戶的耗時(shí)密碼設(shè)置過程相比，這種方法簡化了用戶入職流程。

方便和受歡迎的用戶體驗(yàn)會大大提高應(yīng)用程序的轉(zhuǎn)化率。采用無密碼身份驗(yàn)證的用戶不太可能因?yàn)樵谧曰诿艽a的應(yīng)用程序時(shí)經(jīng)常遇到的困難而感到惱火。

組織通過消除建立困難密碼然后在每次登錄時(shí)重新輸入密碼的多步驟過程，降低了用戶因?qū)ι矸蒡?yàn)證過程感到厭煩而離開其預(yù)期操作的風(fēng)險(xiǎn)。

無密碼身份驗(yàn)證的最佳實(shí)踐

雖然不可否認(rèn)無密碼身份驗(yàn)證方法優(yōu)于舊密碼，但最終，這一切都?xì)w結(jié)為最佳實(shí)踐。

組織需要為執(zhí)行無密碼身份驗(yàn)證技術(shù)的重大嘗試做好準(zhǔn)備。如果沒有充分的計(jì)劃，做出錯(cuò)誤的采用決定的可能性就會增加，這會導(dǎo)致漏洞而不是保護(hù)它們。

占有因素：

●讓我們從控球因素開始。最佳實(shí)踐包括：

●使用經(jīng)認(rèn)可的身份驗(yàn)證器應(yīng)用程序

●接受最新的OTP代碼

●最大限度地減少失敗嘗試并限制代碼有效的時(shí)間

生物識別因素：

●用戶不得共享他們的面部數(shù)據(jù)或指紋，這是很明顯的一點(diǎn)。

●始終有一個(gè)備份來處理身份驗(yàn)證時(shí)的任何故障

●堅(jiān)持黑客難以規(guī)避的生物識別技術(shù)。這些可能包括手掌靜脈掃描和步態(tài)識別，僅舉幾例。

魔術(shù)鏈接：

最后但同樣重要的是，讓我們看一下在處理魔術(shù)鏈接時(shí)需要采取的安全措施。

●確保電子郵件傳送服務(wù)能夠快速發(fā)送魔術(shù)鏈接。這很重要，因?yàn)槟幌Ｍ溄幼罱K進(jìn)入垃圾郵件文件夾并延遲電子郵件。

●提供一次性使用并在一段時(shí)間后過期的鏈接。

●強(qiáng)制執(zhí)行MFA或多重身份驗(yàn)證以確保用戶的身份

●通過與電子郵件提供商合作來防止消息線程化。

眾所周知，無密碼身份驗(yàn)證的好處比隨之而來的挑戰(zhàn)更重要。隨著社會在技術(shù)進(jìn)步中向前發(fā)展，現(xiàn)在必須實(shí)施多因素身份驗(yàn)證并采用無密碼方法。

采用尖端身份驗(yàn)證流程的企業(yè)往往不僅通過提供強(qiáng)大的安全性而且通過提供無縫的用戶體驗(yàn)來領(lǐng)先于競爭對手。