無密碼身份驗證:幻象多過現實
“無密碼”身份驗證的概念一直吸引著重要行業和媒體的關注。理由很充分。我們的數字生活需要越來越多的在線賬戶和服務,而安全最佳實踐要求每個賬戶和服務都采用獨特的強密碼來確保數據安全。誰還不想要個更方便的解決辦法了?
方便快捷,這就是一次性密碼(OTP)、生物特征識別、PIN碼和其他身份驗證方法作為無密碼安全的前提。用戶不用記憶復雜的密碼,可以使用自己所持、所知或所有的東西驗證自己的身份。這種身份驗證方式的一些例子包括智能手機、OTP、硬件令牌,或者指紋之類生物特征標志。盡管表面上聽起來很誘人,但問題在于,只要進一步探究就會發現,這些無密碼解決方案仍然依賴密碼。
這一問題有兩種主要表現形式:
無密碼解決方案依賴密碼作為后備方案
如果你有一臺蘋果設備,那你可能已經在某些時候遭遇過Touch ID故障了。Touch ID身份驗證失敗的原因很多,比如按鈕上糊了污物、用戶手指位置不對,或者系統設置問題等等。出現這些問題或其他問題時,你會看到什么提示呢?“請輸入您的密碼”。
這意味著,即使你給所有可能的應用和服務都啟用了Touch ID,這些賬戶的安全性其實還是取決于你的密碼。黑客完全可以無視Touch ID,直接破解你的密碼。
鑒于密碼重用泛濫的問題,很多人使用的蘋果設備憑證極有可能已經泄露了。而一旦密碼被泄,放心,所有黑客都可以從暗網搞到的。
當然,這不單單是蘋果的問題。這些新興身份驗證解決方案出現的時間都不長,需要后備身份驗證方法已備未來不時之需。當你認為這第二種形式的登錄通常是密碼時,無密碼的前景就難以捉摸了。
憑證用于在后端驗證系統
產生無密碼幻象的第二個因素,是安全鏈中某些時候通常仍需要憑證來驗證系統。
例如,你刷硬件令牌進辦公室,在令牌損壞或你忘帶時,默認切換為通過你的唯一訪問代碼開門。但需要登錄系統分析數據的IT管理員又怎么辦呢?如果他們使用的是沒有補充解決方案的密碼來確保其登錄憑證的完整性,那么系統的安全性仍然取決于密碼安全性。
為什么密碼不會很快消失
上述兩個例子點出了無密碼概念很大程度上只是障眼法,至少現階段是。這些新興的隱形安全策略還存在一些其他的身份驗證問題,在可預見的將來仍需要密碼作為身份驗證安全的一部分。
相較之下,密碼對企業的吸引力仍然很大。密碼是最廉價和可擴展的身份驗證選擇,所以實在是難以替代。密碼可跨所有設備、版本和操作系統使用,不存在任何兼容問題。
而新興無密碼解決方案就不一樣了,如果想要增加兼容性,很多此類方案都需要企業分配更多的預算。依靠密碼進行身份驗證還有另一個好處:非對即錯。相較之下,一些無密碼解決方案依靠概率決策,存在內在的誤差范圍。
不同層次的身份驗證的作用
信息服務公司Experian執行副總裁兼身份、欺詐和數據實驗室總經理Eric Haller稱:“消費者希望無需額外的步驟就能識別自身身份。當今數字時代,他們樂于接受更實用的解決方案。”消費者方面或許真的有此意愿,但真相是并不存在單一、有效的安全身份驗證解決方案。這些隱形安全策略自有其位置,但只是作為部署多層身份驗證的總體網絡安全方法的一部分。于是,我們又回到了密碼上。
保護密碼層安全
如上文所述,創建簡單易記密碼,然后在多個賬戶和服務上重用這些密碼的現象實在太常見了。某項調查中,91%的受訪者承認這么做會引入大量安全問題,但仍有59%的受訪者還是這么做了。期待人類行為改變是不現實的,尤其是在后疫情時代,無論是個人生活還是職業生活中,數字交互都比以往多了不少。所以,企業應該做些什么來確保密碼安全呢?
篩查被盜憑證的重要性
由于數據泄露是實時發生的,唯一的方法是在每次登錄時根據被盜憑證實時數據庫篩查密碼。無論密碼是用作主要身份驗證方式,還是隱形安全策略失效時的備用身份驗證方式,公司都有必要持續監測被泄憑證的使用。Enzoic的動態被盜憑證篩查解決方案允許企業自動化篩查過程,在確保密碼層防護的情況下將資源釋放出來,專注網絡安全的其他方面。
別聽信無密碼炒作
目前來講,無密碼世界的所謂前景仍舊是海市蜃樓。雖然我們對密碼的依賴可能會減弱,但完全消除密碼似乎不太可能。因此,在可預見的未來,密碼仍是我們生活的一部分,企業仍須保護密碼層的安全。
