無(wú)密碼身份驗(yàn)證在未來(lái)幾年可能將變得更為普遍。我們不妨來(lái)看看目前的發(fā)展?fàn)顩r。

[[266949]]

過(guò)去幾個(gè)月里，微軟和谷歌一直在積極推動(dòng)無(wú)密碼身份驗(yàn)證。因?yàn)樵趇Phone上首推指紋身份驗(yàn)證，蘋(píng)果已成無(wú)密碼身份驗(yàn)證主要玩家。大多數(shù)PC和Mac筆記本電腦如今都提供 Touch ID，所以一到兩年之內(nèi)這些東西也可以用于無(wú)密碼身份驗(yàn)證。

業(yè)內(nèi)普遍認(rèn)為密碼已經(jīng)過(guò)時(shí)，且是數(shù)據(jù)泄露的主要原因之一。威瑞森《2019數(shù)據(jù)泄露調(diào)查報(bào)告》顯示，超過(guò)80%的數(shù)據(jù)泄露都利用了被盜密碼或弱密碼。所以，業(yè)界一直在推動(dòng) FIDO ( Fast Identity Online：線(xiàn)上快速身份驗(yàn)證)之類(lèi)開(kāi)放標(biāo)準(zhǔn)，以期幫助安全團(tuán)隊(duì)和開(kāi)發(fā)人員更便利地部署無(wú)密碼身份驗(yàn)證。

另外，專(zhuān)注無(wú)密碼身份驗(yàn)證的Gartner分析師 Ant Allan 預(yù)測(cè)，到2022年，60%的大型跨國(guó)企業(yè)和90%的中型企業(yè)都將在超過(guò)50%的應(yīng)用場(chǎng)景中實(shí)現(xiàn)無(wú)密碼身份驗(yàn)證方法——2018年無(wú)密碼身份驗(yàn)證的用例僅為5%。

可以肯定的是，供應(yīng)商已經(jīng)注意到這一趨勢(shì)。我們可以從以下8個(gè)主流無(wú)密碼身份驗(yàn)證方法窺見(jiàn)向前發(fā)展所需的工作。

1. 微軟

微軟身份部門(mén)項(xiàng)目管理副總裁 Alex Simons 表示，從密碼整體遷移到健壯易用的身份驗(yàn)證方式非常重要。

Windows Hello 是微軟密碼終結(jié)工作的第一部分。Windows Hello 允許用戶(hù)采用生物識(shí)別特征或PIN碼解鎖PC和訪(fǎng)問(wèn)應(yīng)用程序及自身云資源。微軟無(wú)密碼策略的第二部分是Authenticator應(yīng)用，可使任意平臺(tái) (Mac、Chromebook、安卓、iOS) 用戶(hù)在自身智能手機(jī)上使用App無(wú)密碼登錄賬戶(hù)。最后，微軟支持FIDO2，參與行業(yè)協(xié)作以交付健壯易用的跨平臺(tái)無(wú)密碼身份驗(yàn)證。

簡(jiǎn)單講，F(xiàn)IDO2由2個(gè)標(biāo)準(zhǔn)組成：WebAuthn 和 CTAP( Client to Authenticator Protocol：身份驗(yàn)證器協(xié)議客戶(hù)端)。WebAuthn作為基于瀏覽器的API允許Web應(yīng)用以公鑰加密而非密碼驗(yàn)證用戶(hù)。WebAuthn支持內(nèi)置身份驗(yàn)證器，比如微軟 Windows Hello，或者遠(yuǎn)程身份驗(yàn)證器，比如手機(jī)或FIDO安全密鑰。CTAP允許遠(yuǎn)程身份驗(yàn)證器與Web瀏覽器“對(duì)話(huà)”。FIDO聯(lián)盟首席市場(chǎng)官 Andrew Shikiar 表示，F(xiàn)IDO2提供能在任何設(shè)備和網(wǎng)站上運(yùn)行的開(kāi)放標(biāo)準(zhǔn)。

微軟是用FIDO2開(kāi)放標(biāo)準(zhǔn)支持無(wú)密碼身份驗(yàn)證的首批財(cái)富500強(qiáng)公司之一。

2. 谷歌

谷歌賬戶(hù)安全集團(tuán)產(chǎn)品經(jīng)理 Guemmy Kim 稱(chēng)，谷歌非常重視雙因子身份驗(yàn)證(2FA)實(shí)現(xiàn)，賬戶(hù)安全不完全依賴(lài)密碼。他認(rèn)為，網(wǎng)絡(luò)釣魚(yú)已經(jīng)成為安全事件最常見(jiàn)原因之一，保護(hù)在線(xiàn)賬戶(hù)訪(fǎng)問(wèn)權(quán)，對(duì)隱私、金融和其他敏感在線(xiàn)數(shù)據(jù)的安全防護(hù)至關(guān)重要。

2FA和基于FIDO標(biāo)準(zhǔn)的無(wú)密碼身份驗(yàn)證，有助于為用戶(hù)提供更安全、更便利的安全體驗(yàn)。谷歌在最近發(fā)布的聲明中表示，將在安卓7+手機(jī)中內(nèi)置安全密鑰。

“讓安全更具可用性的方法之一，就是產(chǎn)品全線(xiàn)支持行業(yè)標(biāo)準(zhǔn)。這樣一來(lái)，隨著用戶(hù)經(jīng)由所用各種服務(wù)對(duì)標(biāo)準(zhǔn)越來(lái)越熟悉，他們也就能夠享受更高水平的安全所帶來(lái)的好處。FIDO2標(biāo)準(zhǔn)協(xié)議的建立，使業(yè)界能夠協(xié)同解決網(wǎng)絡(luò)釣魚(yú)所造成的安全影響。谷歌的下一步目標(biāo)是在谷歌登錄中啟用FIDO2/WebAuthn。

3. HYPR

HYPR創(chuàng)始人兼首席執(zhí)行官 George Avetisov 最近一直忙于自己的一個(gè)小目標(biāo)：他想讓人們明白 “共享密鑰” 式密碼須被用戶(hù)設(shè)備持有私鑰的系統(tǒng)所替代——私鑰可通過(guò)指紋或人臉識(shí)別進(jìn)行驗(yàn)證。

“我們希望終結(jié)共享密鑰。部署HYPR后，安全團(tuán)隊(duì)就能賦予用戶(hù)身份驗(yàn)證方式的選擇權(quán)了。

沒(méi)人喜歡被強(qiáng)迫。澳大利亞的研究表明人們不喜歡人眼識(shí)別，而歐洲和美國(guó)人對(duì)人眼識(shí)別接受度更高。HYPR的客戶(hù)Mastercard就為其用戶(hù)提供了指紋、人臉識(shí)別和PIN碼三種身份驗(yàn)證方式供選擇。

4. SecureAuth

SecureAuth幫助客戶(hù)從靠密碼進(jìn)行驗(yàn)證的遺留系統(tǒng)遷移到無(wú)密碼身份驗(yàn)證的系統(tǒng)上。該公司首席安全架構(gòu)師 Stephen Cox 稱(chēng)，公司企業(yè)在邁向無(wú)密碼身份驗(yàn)證的道路上步履蹣跚，因?yàn)樗麄兇嬖谝蕾?lài)密碼的遺留應(yīng)用，有些應(yīng)用甚至已經(jīng)部署了幾十年。

“我們可以在遺留應(yīng)用前端創(chuàng)建一個(gè) ‘外表面’，讓用戶(hù)能夠通過(guò)指紋進(jìn)行驗(yàn)證，實(shí)現(xiàn)身份驗(yàn)證方式的遷移。我們還在后端做基于風(fēng)險(xiǎn)的身份驗(yàn)證以保證用戶(hù)是合法的。

5. Duo Security

Duo Security 集團(tuán)產(chǎn)品經(jīng)理 Steve Won 稱(chēng)，有三大基石推動(dòng)著無(wú)密碼身份驗(yàn)證向前發(fā)展。首先是蘋(píng)果S系列芯片——防竄改，且能保護(hù)并管理數(shù)字密鑰。接下來(lái)是生物特征識(shí)別身份驗(yàn)證技術(shù)，以蘋(píng)果和安卓產(chǎn)品引領(lǐng)的指紋和人臉識(shí)別形式呈現(xiàn)。最后是開(kāi)放標(biāo)準(zhǔn)，比如FIDO2里包含的WebAuthn和CTAP——使 Duo Security 這樣的公司企業(yè)能夠?yàn)橛脩?hù)提供有別于傳統(tǒng)密碼的生物特征識(shí)別身份驗(yàn)證方式。

“基本上，WebAuthn允許非對(duì)稱(chēng)加密，私鑰不會(huì)離開(kāi)用戶(hù)的設(shè)備，密鑰不會(huì)共享。

Duo Security建了兩個(gè)教育性網(wǎng)站幫助安全人員了解WebAuthn：一個(gè)提供Web身份驗(yàn)證規(guī)范和無(wú)密碼身份驗(yàn)證的基本知識(shí)。另一個(gè)可供開(kāi)發(fā)人員在其網(wǎng)站上以開(kāi)源庫(kù)演示和測(cè)試WebAuthn規(guī)范的功能。

6. Yubico

Yubico首席解決方案官 Jerrod Chang 認(rèn)為FIDO2這樣的開(kāi)放標(biāo)準(zhǔn)使無(wú)密碼Web身份驗(yàn)證成為了可能。但是，盡管無(wú)密碼身份驗(yàn)證為用戶(hù)提供了便利和安全增強(qiáng)，如果用戶(hù)想在新設(shè)備上登錄賬戶(hù)，或者重設(shè)密碼，或者在另一臺(tái)設(shè)備上登錄應(yīng)用，會(huì)出現(xiàn)什么情況呢?

現(xiàn)代人更換設(shè)備是常事，設(shè)備遺失或被盜也很常見(jiàn)。用YubiKey進(jìn)行身份驗(yàn)證就能在多臺(tái)設(shè)備間安全切換，比如從智能手機(jī)切換到筆記本電腦。

YubiKey為用戶(hù)提供了存儲(chǔ)在便攜外部硬件設(shè)備上的固定憑證，可作為一種安全、可靠的主要或備用無(wú)密碼身份驗(yàn)證方式?；谟?jì)算需求，用戶(hù)也可為每一個(gè)賬戶(hù)關(guān)聯(lián)多個(gè)YubiKey憑證。

7. Ping Identity

Ping Identity 首席信息安全官 Robb Reck 認(rèn)為，未來(lái)基于風(fēng)險(xiǎn)的持續(xù)身份驗(yàn)證能夠帶來(lái)更好的安全與便利性。通過(guò)運(yùn)用多因子身份驗(yàn)證，Ping Identity 以用戶(hù)手機(jī)和筆記本電腦中的傳感器進(jìn)行持續(xù)身份驗(yàn)證，使用戶(hù)能夠基于該持續(xù)的信任訪(fǎng)問(wèn)他們的資源。該過(guò)程僅在信任喪失時(shí)要求進(jìn)行身份驗(yàn)證，且只要求用戶(hù)申請(qǐng)的交易類(lèi)型所需要的保證級(jí)別。

“終端用戶(hù)體驗(yàn)成功的關(guān)鍵就在于，無(wú)論消費(fèi)者從什么設(shè)備接入都要能提供驗(yàn)證。很大一部分面向消費(fèi)者的業(yè)務(wù)，比如在線(xiàn)零售，都已轉(zhuǎn)移到智能手機(jī)上進(jìn)行。因此，客戶(hù)體驗(yàn)計(jì)劃應(yīng)從一開(kāi)始就將智能手機(jī)平臺(tái)納入考慮。

Ping Identity 計(jì)劃以向移動(dòng)設(shè)備推送通知和提供可掃描的二維碼 (為用戶(hù)產(chǎn)生一次性密碼) 來(lái)取代密碼。公司企業(yè)可運(yùn)用PingID移動(dòng)SDK將高級(jí)多因子身份驗(yàn)證(MFA)功能直接植入用戶(hù)iOS或安卓移動(dòng)App，由此平衡安全與客戶(hù)體驗(yàn)。這種方法可使公司企業(yè)為用戶(hù)提供更方便的登錄方式，無(wú)需再記憶冗長(zhǎng)的密碼。

筆記本電腦和PC也可如此操作。通過(guò)向Windows登錄等過(guò)程中引入多因子身份驗(yàn)證，公司企業(yè)既可以更友好的移動(dòng)身份驗(yàn)證方法取代密碼驗(yàn)證要求，也可以在密碼登錄的基礎(chǔ)上增加MFA方法以實(shí)現(xiàn)更安全的登錄過(guò)程。Ping Identity 在PingID中將 Windows Hello 實(shí)現(xiàn)為其中一種身份驗(yàn)證因子也是出于同樣的考慮。

8. Secret Double Octopus

Secret Double Octopus 市場(chǎng)營(yíng)銷(xiāo)與客戶(hù)成功副總裁 Amit Rahav 表示，過(guò)去5年里人們已經(jīng)習(xí)慣了 Touch ID 指紋掃描和人臉識(shí)別。但消費(fèi)者更喜歡在個(gè)人智能設(shè)備上使用生物特征識(shí)別，工作場(chǎng)所中引入此類(lèi)功能并不容易。

Secret Double Octopus 可幫助用戶(hù)在工作場(chǎng)所通過(guò)智能手機(jī)或FIDO設(shè)備驗(yàn)證工作站、遺留App和云服務(wù)，無(wú)論設(shè)備的操作系統(tǒng)是Windows還是Mac。

“我們賦予用戶(hù)360度無(wú)死角的健壯無(wú)密碼身份驗(yàn)證訪(fǎng)問(wèn)體驗(yàn)。用戶(hù)接入公司網(wǎng)絡(luò)、云應(yīng)用、遺留App、WiFi或虛擬桌面服務(wù)時(shí)無(wú)需重置和記憶晦澀難懂的密碼。

威瑞森《2019數(shù)據(jù)泄露調(diào)查報(bào)告》：

https://enterprise.verizon.com/resources/reports/dbir/

谷歌有關(guān)安卓手機(jī)內(nèi)置安全密鑰的聲明：

https://cloud.google.com/blog/products/identity-security/now-generally-available-android-phones-built-in-security-key

Duo Security 的WebAuthn學(xué)習(xí)網(wǎng)：

https://webauthn.guide/