无密码身份验证在未来几年可能将变得更为普遍。我们不妨来看看目前的发展状况。
过去几个月里,微软和谷歌一直在积极推动无密码身份验证。因为在iPhone上首推指纹身份验证,苹果已成无密码身份验证主要玩家。大多数PC和Mac笔记本电脑如今都提供 Touch ID,所以一到两年之内这些东西也可以用于无密码身份验证。
业内普遍认为密码已经过时,且是数据泄露的主要原因之一。威瑞森《2019数据泄露调查报告》显示,超过80%的数据泄露都利用了被盗密码或弱密码。所以,业界一直在推动 FIDO ( Fast Identity Online:线上快速身份验证)之类开放标准,以期帮助安全团队和开发人员更便利地部署无密码身份验证。
另外,专注无密码身份验证的Gartner分析师 Ant Allan 预测,到2022年,60%的大型跨国企业和90%的中型企业都将在超过50%的应用场景中实现无密码身份验证方法——2018年无密码身份验证的用例仅为5%。
可以肯定的是,供应商已经注意到这一趋势。我们可以从以下8个主流无密码身份验证方法窥见向前发展所需的工作。
1. 微软
微软身份部门项目管理副总裁 Alex Simons 表示,从密码整体迁移到健壮易用的身份验证方式非常重要。
Windows Hello 是微软密码终结工作的第一部分。Windows Hello 允许用户采用生物识别特征或PIN码解锁PC和访问应用程序及自身云资源。微软无密码策略的第二部分是Authenticator应用,可使任意平台 (Mac、Chromebook、安卓、iOS) 用户在自身智能手机上使用App无密码登录账户。最后,微软支持FIDO2,参与行业协作以交付健壮易用的跨平台无密码身份验证。
简单讲,FIDO2由2个标准组成:WebAuthn 和 CTAP( Client to Authenticator Protocol:身份验证器协议客户端)。WebAuthn作为基于浏览器的API允许Web应用以公钥加密而非密码验证用户。WebAuthn支持内置身份验证器,比如微软 Windows Hello,或者远程身份验证器,比如手机或FIDO安全密钥。CTAP允许远程身份验证器与Web浏览器“对话”。FIDO联盟首席市场官 Andrew Shikiar 表示,FIDO2提供能在任何设备和网站上运行的开放标准。
微软是用FIDO2开放标准支持无密码身份验证的首批财富500强公司之一。
2. 谷歌
谷歌账户安全集团产品经理 Guemmy Kim 称,谷歌非常重视双因子身份验证(2FA)实现,账户安全不完全依赖密码。他认为,网络钓鱼已经成为安全事件最常见原因之一,保护在线账户访问权,对隐私、金融和其他敏感在线数据的安全防护至关重要。
2FA和基于FIDO标准的无密码身份验证,有助于为用户提供更安全、更便利的安全体验。谷歌在最近发布的声明中表示,将在安卓7+手机中内置安全密钥。
“让安全更具可用性的方法之一,就是产品全线支持行业标准。这样一来,随着用户经由所用各种服务对标准越来越熟悉,他们也就能够享受更高水平的安全所带来的好处。FIDO2标准协议的建立,使业界能够协同解决网络钓鱼所造成的安全影响。谷歌的下一步目标是在谷歌登录中启用FIDO2/WebAuthn。
3. HYPR
HYPR创始人兼首席执行官 George Avetisov 最近一直忙于自己的一个小目标:他想让人们明白 “共享密钥” 式密码须被用户设备持有私钥的系统所替代——私钥可通过指纹或人脸识别进行验证。
“我们希望终结共享密钥。部署HYPR后,安全团队就能赋予用户身份验证方式的选择权了。
没人喜欢被强迫。澳大利亚的研究表明人们不喜欢人眼识别,而欧洲和美国人对人眼识别接受度更高。HYPR的客户Mastercard就为其用户提供了指纹、人脸识别和PIN码三种身份验证方式供选择。
4. SecureAuth
SecureAuth帮助客户从靠密码进行验证的遗留系统迁移到无密码身份验证的系统上。该公司首席安全架构师 Stephen Cox 称,公司企业在迈向无密码身份验证的道路上步履蹒跚,因为他们存在依赖密码的遗留应用,有些应用甚至已经部署了几十年。
“我们可以在遗留应用前端创建一个 ‘外表面’,让用户能够通过指纹进行验证,实现身份验证方式的迁移。我们还在后端做基于风险的身份验证以保证用户是合法的。
5. Duo Security
Duo Security 集团产品经理 Steve Won 称,有三大基石推动着无密码身份验证向前发展。首先是苹果S系列芯片——防窜改,且能保护并管理数字密钥。接下来是生物特征识别身份验证技术,以苹果和安卓产品引领的指纹和人脸识别形式呈现。最后是开放标准,比如FIDO2里包含的WebAuthn和CTAP——使 Duo Security 这样的公司企业能够为用户提供有别于传统密码的生物特征识别身份验证方式。
“基本上,WebAuthn允许非对称加密,私钥不会离开用户的设备,密钥不会共享。
Duo Security建了两个教育性网站帮助安全人员了解WebAuthn:一个提供Web身份验证规范和无密码身份验证的基本知识。另一个可供开发人员在其网站上以开源库演示和测试WebAuthn规范的功能。
6. Yubico
Yubico首席解决方案官 Jerrod Chang 认为FIDO2这样的开放标准使无密码Web身份验证成为了可能。但是,尽管无密码身份验证为用户提供了便利和安全增强,如果用户想在新设备上登录账户,或者重设密码,或者在另一台设备上登录应用,会出现什么情况呢?
现代人更换设备是常事,设备遗失或被盗也很常见。用YubiKey进行身份验证就能在多台设备间安全切换,比如从智能手机切换到笔记本电脑。
YubiKey为用户提供了存储在便携外部硬件设备上的固定凭证,可作为一种安全、可靠的主要或备用无密码身份验证方式。基于计算需求,用户也可为每一个账户关联多个YubiKey凭证。
7. Ping Identity
Ping Identity 首席信息安全官 Robb Reck 认为,未来基于风险的持续身份验证能够带来更好的安全与便利性。通过运用多因子身份验证,Ping Identity 以用户手机和笔记本电脑中的传感器进行持续身份验证,使用户能够基于该持续的信任访问他们的资源。该过程仅在信任丧失时要求进行身份验证,且只要求用户申请的交易类型所需要的保证级别。
“终端用户体验成功的关键就在于,无论消费者从什么设备接入都要能提供验证。很大一部分面向消费者的业务,比如在线零售,都已转移到智能手机上进行。因此,客户体验计划应从一开始就将智能手机平台纳入考虑。
Ping Identity 计划以向移动设备推送通知和提供可扫描的二维码 (为用户产生一次性密码) 来取代密码。公司企业可运用PingID移动SDK将高级多因子身份验证(MFA)功能直接植入用户iOS或安卓移动App,由此平衡安全与客户体验。这种方法可使公司企业为用户提供更方便的登录方式,无需再记忆冗长的密码。
笔记本电脑和PC也可如此操作。通过向Windows登录等过程中引入多因子身份验证,公司企业既可以更友好的移动身份验证方法取代密码验证要求,也可以在密码登录的基础上增加MFA方法以实现更安全的登录过程。Ping Identity 在PingID中将 Windows Hello 实现为其中一种身份验证因子也是出于同样的考虑。
8. Secret Double Octopus
Secret Double Octopus 市场营销与客户成功副总裁 Amit Rahav 表示,过去5年里人们已经习惯了 Touch ID 指纹扫描和人脸识别。但消费者更喜欢在个人智能设备上使用生物特征识别,工作场所中引入此类功能并不容易。
Secret Double Octopus 可帮助用户在工作场所通过智能手机或FIDO设备验证工作站、遗留App和云服务,无论设备的操作系统是Windows还是Mac。
“我们赋予用户360度无死角的健壮无密码身份验证访问体验。用户接入公司网络、云应用、遗留App、WiFi或虚拟桌面服务时无需重置和记忆晦涩难懂的密码。
相关资料:
- 威瑞森《2019数据泄露调查报告》:https://enterprise.verizon.com/resources/reports/dbir/
- 谷歌有关安卓手机内置安全密钥的声明:https://cloud.google.com/blog/products/identity-security/now-generally-available-android-phones-built-in-security-key
- Duo Security 的WebAuthn学习网:https://webauthn.guide/
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】