密碼一直以來存在很多問題，依賴它們進行用戶身份認證也是有缺陷的。一段時間以來，這一直是信息安全社區(qū)公認的事實，但是密碼認證方式仍然無處不在。

一項針對200名安全專業(yè)人員身份管理計劃的研究表明，在設計和實施身份管理方面，所有人對于自己選擇的認證方式都有充足的理由。雖然大多數(shù)組織仍然依賴用戶名和密碼方案進行身份驗證，但他們意識到了其中的不足并設計了無密碼的方案。

密碼的普及性與問題

研究發(fā)現(xiàn)密碼具有很高的普及性，64%的組織依賴它們作為主要的身份驗證形式。 研究還顯示密碼存在很大問題，90%的組織表示他們在上個月遇到了嚴重的密碼策略違規(guī)。這些違規(guī)給組織帶來了嚴重后果，包括員工辭退，惡意軟件感染，數(shù)據(jù)泄露，無法達到監(jiān)管要求，客戶流失和直接影響創(chuàng)收。

以下是EMA報告中的一些數(shù)據(jù)展示：

您的組織當前正在使用以下哪種類型的身份驗證?

由于違反了訪問管理政策問題，出現(xiàn)了哪些影響?

在過去一年中，組織中大約有多少員工違反了以下商業(yè)密碼政策?

無密碼認證的下一步考慮

關于密碼認證的所有這些研究數(shù)據(jù)都引出了一個問題：如果密碼存在問題，為什么它們仍然如此普遍? 大多數(shù)組織認為無密碼身份驗證方法比密碼更安全。 但猶豫采用它們的原因是人們對于認證流程的擔心。

安全負責人對用戶培訓以及與管理工具有很大的擔憂， 在安全管理問題的背后，云服務和目錄服務的集成是無密碼認證的最大阻礙。

以下是一些其他發(fā)現(xiàn)：

與傳統(tǒng)的基于密碼的身份驗證流程相比，以下哪項最能說明您對無密碼身份認證流程的印象?

指出您認為以下各項對您的組織實施完全無密碼身份驗證過程的技術挑戰(zhàn)性。

安全還是便利?

人們一直認為，身份驗證是由兩個影響因素之間的權衡：企業(yè)安全和終端用戶便利。 但這種權衡不再是必要的，生物識別身份驗證方法(如面部識別，拇指指紋和視網(wǎng)膜掃描)可以同時實現(xiàn)這兩個目標。

此外，研究表明，減少認證過程中的復雜度會成比例的提高安全性。 減少認證過程中復雜度的組織可以減輕管理員的壓力，提升管理員的工作效率。 通過這種簡單便利無密碼身份驗證的方法可以有效地協(xié)調用戶和業(yè)務需求。

驗證類型與安全級別分布圖：

無密碼認證面臨的挑戰(zhàn)

雖然組織了解低復雜度認證的價值，但無密碼解決方案的主要阻礙因素是其部署的復雜性。 換句話說，許多組織不愿意引入無密碼身份驗證是因為他們認為部署和打破運營模式將是一項不小的挑戰(zhàn)。

為了幫助IT負責人和安全經(jīng)理選擇最有效的解決方案，EMA建議使用四個‘I’來評估無密碼身份認證：

• 直觀化 Intuitive——解決方案應易于操作且易于管理，幾乎不需要用戶培訓或需要管理員時間來支持。
• 信息化 Informative——應在整個身份生態(tài)系統(tǒng)中啟用整體可見性，以收集有關用戶，設備，網(wǎng)絡和托管服務的上下文數(shù)據(jù)。信息報告應易于理解，以簡化潛在風險，提高用戶體驗。
• 智能化 Intelligent——解決方案應具有智能技術：例如深度分析，機器學習和語言處理等。應該基于所識別的風險級別動態(tài)地確定用戶認證因素的數(shù)量。
• 集成化 Integrated——解決方案應利用FIDO，SAML和Open ID Connect等行業(yè)標準，實現(xiàn)身份驗證技術與托管服務之間的集成。將服務，系統(tǒng)和安全管理平臺高度集成并進一步簡化管理任務，從而整合訪問管理策略。