“無密碼”身份驗(yàn)證的概念一直吸引著重要行業(yè)和媒體的關(guān)注。理由很充分。我們的數(shù)字生活需要越來越多的在線賬戶和服務(wù)，而安全最佳實(shí)踐要求每個(gè)賬戶和服務(wù)都采用獨(dú)特的強(qiáng)密碼來確保數(shù)據(jù)安全。誰還不想要個(gè)更方便的解決辦法了?

[[403414]]

方便快捷，這就是一次性密碼(OTP)、生物特征識(shí)別、PIN碼和其他身份驗(yàn)證方法作為無密碼安全的前提。用戶不用記憶復(fù)雜的密碼，可以使用自己所持、所知或所有的東西驗(yàn)證自己的身份。這種身份驗(yàn)證方式的一些例子包括智能手機(jī)、OTP、硬件令牌，或者指紋之類生物特征標(biāo)志。盡管表面上聽起來很誘人，但問題在于，只要進(jìn)一步探究就會(huì)發(fā)現(xiàn)，這些無密碼解決方案仍然依賴密碼。

這一問題有兩種主要表現(xiàn)形式：

無密碼解決方案依賴密碼作為后備方案

如果你有一臺(tái)蘋果設(shè)備，那你可能已經(jīng)在某些時(shí)候遭遇過Touch ID故障了。Touch ID身份驗(yàn)證失敗的原因很多，比如按鈕上糊了污物、用戶手指位置不對(duì)，或者系統(tǒng)設(shè)置問題等等。出現(xiàn)這些問題或其他問題時(shí)，你會(huì)看到什么提示呢?“請(qǐng)輸入您的密碼”。

這意味著，即使你給所有可能的應(yīng)用和服務(wù)都啟用了Touch ID，這些賬戶的安全性其實(shí)還是取決于你的密碼。黑客完全可以無視Touch ID，直接破解你的密碼。

鑒于密碼重用泛濫的問題，很多人使用的蘋果設(shè)備憑證極有可能已經(jīng)泄露了。而一旦密碼被泄，放心，所有黑客都可以從暗網(wǎng)搞到的。

當(dāng)然，這不單單是蘋果的問題。這些新興身份驗(yàn)證解決方案出現(xiàn)的時(shí)間都不長，需要后備身份驗(yàn)證方法已備未來不時(shí)之需。當(dāng)你認(rèn)為這第二種形式的登錄通常是密碼時(shí)，無密碼的前景就難以捉摸了。

憑證用于在后端驗(yàn)證系統(tǒng)

產(chǎn)生無密碼幻象的第二個(gè)因素，是安全鏈中某些時(shí)候通常仍需要憑證來驗(yàn)證系統(tǒng)。

例如，你刷硬件令牌進(jìn)辦公室，在令牌損壞或你忘帶時(shí)，默認(rèn)切換為通過你的唯一訪問代碼開門。但需要登錄系統(tǒng)分析數(shù)據(jù)的IT管理員又怎么辦呢?如果他們使用的是沒有補(bǔ)充解決方案的密碼來確保其登錄憑證的完整性，那么系統(tǒng)的安全性仍然取決于密碼安全性。

為什么密碼不會(huì)很快消失

上述兩個(gè)例子點(diǎn)出了無密碼概念很大程度上只是障眼法，至少現(xiàn)階段是。這些新興的隱形安全策略還存在一些其他的身份驗(yàn)證問題，在可預(yù)見的將來仍需要密碼作為身份驗(yàn)證安全的一部分。

相較之下，密碼對(duì)企業(yè)的吸引力仍然很大。密碼是最廉價(jià)和可擴(kuò)展的身份驗(yàn)證選擇，所以實(shí)在是難以替代。密碼可跨所有設(shè)備、版本和操作系統(tǒng)使用，不存在任何兼容問題。

而新興無密碼解決方案就不一樣了，如果想要增加兼容性，很多此類方案都需要企業(yè)分配更多的預(yù)算。依靠密碼進(jìn)行身份驗(yàn)證還有另一個(gè)好處：非對(duì)即錯(cuò)。相較之下，一些無密碼解決方案依靠概率決策，存在內(nèi)在的誤差范圍。

不同層次的身份驗(yàn)證的作用

信息服務(wù)公司Experian執(zhí)行副總裁兼身份、欺詐和數(shù)據(jù)實(shí)驗(yàn)室總經(jīng)理Eric Haller稱：“消費(fèi)者希望無需額外的步驟就能識(shí)別自身身份。當(dāng)今數(shù)字時(shí)代，他們樂于接受更實(shí)用的解決方案。”消費(fèi)者方面或許真的有此意愿，但真相是并不存在單一、有效的安全身份驗(yàn)證解決方案。這些隱形安全策略自有其位置，但只是作為部署多層身份驗(yàn)證的總體網(wǎng)絡(luò)安全方法的一部分。于是，我們又回到了密碼上。

保護(hù)密碼層安全

如上文所述，創(chuàng)建簡單易記密碼，然后在多個(gè)賬戶和服務(wù)上重用這些密碼的現(xiàn)象實(shí)在太常見了。某項(xiàng)調(diào)查中，91%的受訪者承認(rèn)這么做會(huì)引入大量安全問題，但仍有59%的受訪者還是這么做了。期待人類行為改變是不現(xiàn)實(shí)的，尤其是在后疫情時(shí)代，無論是個(gè)人生活還是職業(yè)生活中，數(shù)字交互都比以往多了不少。所以，企業(yè)應(yīng)該做些什么來確保密碼安全呢?

篩查被盜憑證的重要性

由于數(shù)據(jù)泄露是實(shí)時(shí)發(fā)生的，唯一的方法是在每次登錄時(shí)根據(jù)被盜憑證實(shí)時(shí)數(shù)據(jù)庫篩查密碼。無論密碼是用作主要身份驗(yàn)證方式，還是隱形安全策略失效時(shí)的備用身份驗(yàn)證方式，公司都有必要持續(xù)監(jiān)測(cè)被泄憑證的使用。Enzoic的動(dòng)態(tài)被盜憑證篩查解決方案允許企業(yè)自動(dòng)化篩查過程，在確保密碼層防護(hù)的情況下將資源釋放出來，專注網(wǎng)絡(luò)安全的其他方面。

別聽信無密碼炒作

目前來講，無密碼世界的所謂前景仍舊是海市蜃樓。雖然我們對(duì)密碼的依賴可能會(huì)減弱，但完全消除密碼似乎不太可能。因此，在可預(yù)見的未來，密碼仍是我們生活的一部分，企業(yè)仍須保護(hù)密碼層的安全。