基于知识的身份验证方法(例如密码)的失误继续困扰着公司。Verizon的《2021年数据泄露调查报告》发现,61%的数据泄露涉及登录凭据泄露。现在是时候重新考虑密码的有效性。
这也无怪乎,无密码身份验证对话开始升温。Forrester Research公司分析师Sean Ryan表示,在2021年Forrester Research调查中,近70%的受访者表示,他们处于早期采用阶段,进行概念验证和试点,并向特定用户群体推出无密码。
一段时间以来,无密码的未来一直是一个目标,那么它会在2022年实现吗?行业分析师分享了他们的见解和预测。
无密码准备好了吗?
行业分析师和供应商的共同观点是,转向无密码将是耗时、缓慢的过程。随着越来越多的供应商在应用程序中添加更多的身份验证选项,员工将逐渐减少密码的使用。
在本文中,分析师解释了未来几年的无密码之旅可能会是怎样,并对无密码提供了四个预测。
1. 从多因素身份验证开始
Ryan说,由于多因素身份验证 (MFA) 采用的增加,“被动密码世界”即将到来。要开始无密码之路,企业应实施双因素身份验证,即使用密码作为起点,使用非密码身份验证方法作为第二个因素。从那里,转向MFA。这有助于用户在完全过渡之前习惯无密码体验。这教会员工生物识别、智能卡和其他无密码方法的工作原理,从而减少未来完全无密码入职过程中的摩擦。
Gartner公司分析师David Mahdi表示,推动MFA的大型供应商还可以帮助用户了解其好处。例如,谷歌强制要求账户持有人使用MFA,而微软则为Azure Active Directory添加了无密码功能。
2. 专注于零信任
对于无密码,部署零信任架构是企业合乎逻辑的第一步。
RSM US安全和隐私风险服务负责人和领导人Tauseef Ghazi说:“对于大多数企业来说,开始无密码的一种方法是,迁移到零信任模型–具有更强多因素身份验证。”零信任不仅可以帮助企业防止用户名/密码被盗用,还可以确保连接到他们系统的人的身份。
零信任还可以帮助企业更好地为从网络外部访问公司资源的员工提供身份管理。零信任模型侧重于确定用户和设备是否可以信任。它可以提供持续的身份验证,并有助于降低对容易被欺骗的基于知识的身份验证因素的依赖。
3. 考虑行为生物识别
为了帮助企业拥抱连续身份验证和无密码,另一种身份识别措施是行为生物识别技术。
Mahdi 称:“行为生物识别技术正变得越来越好。”
通过使用位置、步态和设备使用等因素,行为指标可通过风险评分区分合法用户和冒充者。如果一项活动将风险评分提高到某个阈值以上,系统会提示用户输入额外的身份验证因素,例如一次性密码或面部识别。
Mahdi称:“在制定风险评分并将其与你想要进行身份验证的内容进行比较时,行为生物识别技术可以更全面地了解情况。”
除了可帮助实现无密码外,行为生物识别还提供用户登录工作站期间的持续验证。
4. 期待多供应商部署
无密码正处于起步阶段。Ryan称:“供应商刚刚发展到这个阶段,即产品开始上市,但它们仍然相对较新。”
很少有供应商可以适应企业中的每个无密码用例。如果单个用例要求无密码,有些公司可能只需要一个供应商。例如,如果一家公司主要使用Windows设备,则他们可以部署Windows Hello企业版。但是,如果必须采用多个用例,这将变得不太可行,例如,如果一家公司部署了Windows和macOS设备。
如果需要更广泛的部署,企业应该期望采用多个供应商。一个供应商可以做所有事情的那一天可能会到来,但不会很快。
Ryan称:“在一段时间内,我们会看到支离破碎的局面。我们将看到供应商进行大量实验,并尝试多种身份验证选项。”企业可以向身份提供商寻求无密码选项。专业供应商也开始发布能够处理更多不同用例的产品。
密码会彻底消失吗?
对于密码的命运,大家看法不一,但大家都乐观认为会出现无密码企业。
Mahdi预测,随着时间的推移,密码会逐渐消失,这主要得益于谷歌和微软等供应商的帮助,他们在无密码方面进行了大量投资。
其他人可以看到密码使用减少但并未完全结束。
Ghazi称:“如果你回顾20年前的技术,当时的人们可能会告诉你,我们现在所实现的东西不可能实现。这就是说,密码不会完全消亡。即使在身份验证器上,你也需要PIN。而遗留系统也有它们。”
Ryan同意,日常密码使用可能会消失,但并非所有密码都会消失。他指出:“也许我们会达到一个成熟的水平,无密码是前端的体验。在后端,仍然会有密码,所以遗留技术仍然可以相互交流。”