近年来持续爆发的大规模数据泄露事件表明,数据泄露是导致密码认证方式过时的主要原因之一。根据调查显示,超过80%的入侵攻击是利用被盗的密码或弱密码。所以,毫无疑问,无密码身份认证在未来几年内将变得越来越普遍。那么现在它的发展情况如何?我们真的开始无密码认证实践了吗?我们最终是否能够迎来无密码认证时代?
过去几个月里,微软和谷歌一直在大力推动“无密码身份认证”技术,而苹果公司已经凭借在iPhone上首推指纹身份认证,成为了无密码身份认证领域的主要厂商。如今,大多数PC和Mac笔记本电脑都提供 Touch ID,所以未来一两年内人们也可以使用它们进行无密码身份认证。
如今,业内人士普遍认为,密码已经过时,且是数据泄露的主要原因之一。根据Verizon发布的《2019数据泄露调查报告》显示,超过80%的数据泄露都利用了被盗密码或弱密码。这也成为了业界一直在推动开放标准(例如FIDO,Fast Identity Online,即线上快速身份验证)的原因所在,其目的是帮助安全团队和开发人员更轻松地部署无密码身份认证。FIDO联盟由下一代认证公司Nok Nok Labs、PayPal、联想、Validity Sensors、Infineon和Agnitio共同创立,于2012年开始开发无密码认证协议。
此外,专注于无密码身份认证的Gartner分析师Ant Allan最近的研究预测,到2022年,60%的大型和跨国企业以及90%的中型企业将在超过50%的应用场景中实施无密码身份认证方法——这一比例远高于2018年的5%。
可以肯定的一点是,供应商已经注意到了这一发展趋势。下面就为大家介绍微软、谷歌、HYPR、SecureAuth、Duo Security、Yubico、Ping Identity和Secret Double Octopus等8家领先厂商使用的无密码身份认证技术,以窥见未来的发展走势。
1. 微软
微软身份部门项目管理副总裁 Alex Simons 表示,微软认为将整个行业从密码中抽离,转而利用更强大易用的身份认证方式非常重要。
Windows Hello是微软迈出的终结密码工作的第一步。Windows Hello允许用户使用生物识别特征或PIN码来解锁PC并访问其中的应用程序及自身云资源。微软无密码策略的第二部分是Microsoft Authenticator应用程序,其允许任意平台(Mac、Chromebook、Android、iOS)用户在无需密码的情况下使用智能手机上的应用程序登录账户。最后,微软支持FIDO2,该软件制造商旨在与业界合作,提供强大、易用、跨平台的无密码身份认证。
简而言之,FIDO2包含两个标准:WebAuthn 和 CTAP(Client to Authenticator Protocol,即身份验证器协议客户端)。WebAuthn充当基于浏览器的API,允许Web应用使用公钥加密而非密码的形式对用户进行身份认证。WebAuthn支持使用内置身份验证器(如微软的Windows Hello)或者远程身份验证器(如手机或FIDO安全密钥)进行用户身份认证。CTAP允许远程身份验证器与Web浏览器“对话”。根据FIDO联盟首席营销官 Andrew Shikiar的说法,FIDO2提供了一个可以在任何设备和网站上运行的开放标准。
据了解,微软是首批使用FIDO2开放标准支持无密码身份验证的财富500强企业之一。
2. 谷歌
谷歌账户安全集团产品经理Guemmy Kim表示,谷歌已经优先实施双因素身份认证(2FA)技术,因为它不仅仅依赖密码来保护账户安全。她认为,网络钓鱼已经成为导致安全事件的最常见原因之一,保护在线账户访问权限对于保护隐私、财务和其他敏感在线数据的安全而言至关重要。
双因素身份认证和基于FIDO标准的无密码身份认证,可以帮助用户获取更安全、更便捷的安全体验。在最近发布的一则声明中,谷歌称其将在Android 7+手机中内置安全密钥。
让安全更易于使用和访问的方法之一,就是确保产品全线支持行业标准,如此一来,当用户在其所用的各项服务中对标准越来越熟悉时,他们也能够享受更高级别的安全性所带来的好处。此外,使用FIDO2标准协议,还可以使业界能够协同解决网络钓鱼所造成的安全隐患。目前,Android和Chrome都已经支持FIDO2。Android手机的内置安全密钥也支持FIDO2。谷歌的下一步目标是在谷歌登录中启用FIDO2/WebAuthn。
3. HYPR
HYPR首席执行官兼联合创始人George Avetisov 最近一直忙于执行自己的一个小目标——他想要帮助人们理解“共享秘密”式的密码必须被用户设备持有私钥的系统所替代,该私钥可以通过触摸、指纹或面部识别进行验证。
Avetisov表示:
“我们希望消除共享的秘密。在部署HYPR时,安全团队可以让用户选择他们想要进行身份认证的方式,目前我们主要为用户提供指纹、面部识别和PIN3种选择。没有人喜欢被强迫。例如,我们在澳大利亚进行的一项研究发现,人们不喜欢人眼识别技术,而在欧洲和美国,这种方式却能更容易地被接受。”
4. SecureAuth
SecureAuth致力于帮助客户完成从依靠密码进行验证的老旧系统迁移到无密码身份验证的系统的过渡。该公司首席安全架构师Stephen Cox表示,企业组织在迈向无密码身份验证的道路上步履蹒跚,因为他们拥有大规模的依赖密码的遗留应用程序,而且有些应用程序甚至已经部署了数十年。
Cox解释称:
“我们可以在传统应用程序前端创建一个‘façade’,让用户可以通过指纹进行身份认证,以实现身份验证方式的成功迁移。我们也会在后端进行基于风险的身份验证以保证用户是合法的。”
5. Duo Security
Duo Security的产品经理Steve Won表示,三大基石已经将无密码身份验证推向了最前沿。首先是苹果的S系列芯片等硬件,这些芯片具有防窜改功能,且可以保护和管理数字密钥。
其次是Apple和Android产品率先推出的指纹和面部识别形式的生物识别身份验证技术。最后是开放标准(例如FIDO2中包含的WebAuthn和CTAP)让诸如Duo Security这样的公司能够为用户提供有别于传统密码的生物特征识别身份认证方式。
Won解释称:
“从本质上讲,WebAuthn允许非对称加密,其私钥永远不会离开用户的设备,所以密钥永远不会共享。”
目前,Duo Security已经发布了两个教育性网站,帮助安全人员更多地了解WebAuthn:一个提供了Web身份验证规范和无密码身份认证的一般背景知识;另一个允许开发人员使用开源库在其网站上演示和测试WebAuthn规范的功能。
6. Yubico
Yubico首席解决方案官Jerrod Chang表示,FIDO2等开放标准使得无密码Web身份认证成为可能。不过,虽然无密码身份认证为用户提供了便利和强大的安全性,但是如果用户想在新设备上登录账户,或者重设密码,或者在另一台设备上登录应用,会发生什么情况呢?
人们习惯时不时地更换设备,或是发生设备丢失或被盗的现象。通过使用YubiKey进行身份认证,他们就可以在多台设备间(例如从智能手机切换到笔记本电脑)安全切换以访问其账户。
Chong介绍称:
“YubiKey为用户提供了一个固定凭证,存储在便携外部硬件设备中,可作为无密码身份认证的一种安全、可靠、主要或备用方式。此外,用户还可以基于计算需求,为每一个账户关联多个YubiKey凭证。”
7. Ping Identity
Ping Identity 首席信息安全官 Robb Reck 认为,未来基于风险的持续身份认证能够带来更好的安全和更高的便捷性。通过使用多因素身份认证技术,Ping Identity可以使用用户手机和笔记本电脑的传感器进行持续身份认证,并允许他们基于该持续的信任访问其资源。该过程仅在信任丧失时要求进行身份验证,且只要求用户申请的事务类型所需的保证级别。
Reck表示:
“无论消费者的接入设备如何,成功的终端用户体验的关键在于要能为其提供验证。很大一部分面向消费者的业务(如在线零售业)都已经转移到智能手机上进行,因此,任何客户体验计划都需要从一开始就将智能手机平台纳入考虑。”
Ping Identity 计划以向移动设备推送通知,以及提供可扫描的二维码(为用户产生一次性密码)的方式来取代密码。借助PingID移动SDK,企业组织可以将高级多因素身份认证(MFA)功能直接嵌入到自己的iOS或Android移动应用中,为用户平衡安全性和便捷性。这种方法使得企业组织有条件为其用户提供更简单的登录方式,而无需再记忆冗长的密码。
笔记本电脑和PC也可如此操作。通过向Windows登录等流程添加多因素身份认证技术,企业组织可以摒弃密码要求,让员工使用更友好的移动身份验证方法,或是使用密码以外的更安全的登录流程。Ping Identity 在PingID中将 Windows Hello 实现为其中一种身份验证因素也是出于同样的考虑。
8. Secret Double Octopus
Secret Double Octopus 市场营销及客户成功副总裁 Amit Rahav 表示,过去五年来,人们已经习惯了Touch ID 指纹扫描以及人脸识别技术。虽然消费者对其个人智能手机设备上使用的这些生物识别技术更为满意,但到目前为止,想要将这些功能引入工作场所还并非易事。
Secret Double Octopus 允许用户在工作场所使用他们的智能手机或FIDO设备来验证工作站、遗留应用程序和云服务,不管设备的操作系统是Windows还是Mac。
Rahav表示:
“我们通过强大的无密码身份认证技术为用户提供360°访问体验。用户在接入公司网络、云应用程序(如Salesforce)、遗留应用程序、WiFi或虚拟桌面服务时,无需再重置和记忆冗长且晦涩难懂的密码。”
本文翻译自:https://www.darkreading.com/endpoint/authentication/8-ways-to-authenticate-without-passwords/d/d-id/1334809如若转载,请注明原文地址: https://www.4hou.com/info/news/19015.html