[[435226]]

企業(yè)面臨的最大安全風(fēng)險(xiǎn)之一是大量使用密碼作為不同應(yīng)用程序的主要身份驗(yàn)證方法。在采用密碼技術(shù)之后，很多企業(yè)和個(gè)人都認(rèn)為密碼是保護(hù)系統(tǒng)和敏感數(shù)據(jù)訪問安全的可靠方式。然而如今，這種身份驗(yàn)證形式背后的缺陷非常明顯：它們不僅造成虛假的安全感，并在企業(yè)防御體系中留下重大漏洞。

因此，許多企業(yè)開始向“無密碼”技術(shù)過渡。但是，對于無密碼身份驗(yàn)證的確切分類仍然存在一些混淆。一些聲稱屬于該類別的解決方案只是幫助用戶保存并輸入密碼，或者將其替換為同樣不安全的措施，例如一次性密碼。

了解無密碼解決方案的真正構(gòu)成是企業(yè)邁向更安全未來的第一步，也是消除困擾用戶的挫折感和耗時(shí)流程的第一步，用戶只需通過這些過程來驗(yàn)證他們的身份。

密碼背后的風(fēng)險(xiǎn)

獲取密碼是犯罪分子侵入商業(yè)網(wǎng)絡(luò)和消費(fèi)者賬戶的最常見方式之一。事實(shí)上，Verizon 公司發(fā)布的2021數(shù)據(jù)泄露調(diào)查報(bào)告發(fā)現(xiàn)，去年 61% 的泄露事件涉及登錄憑據(jù)，目前已經(jīng)被盜或入侵的帳戶超過110億個(gè)。

根本的缺陷是密碼是一個(gè)“共享秘密”，這意味著人們都知道輸入并存儲了密碼。這些密碼由應(yīng)用程序存儲在數(shù)據(jù)庫中，使其成為網(wǎng)絡(luò)犯罪分子的主要目標(biāo)。密碼成為用戶的代理標(biāo)識，用戶通常會選擇與他們生活中的某些事情相關(guān)的密碼，其中包括姓名和重要日期，以便于記憶。但這使得網(wǎng)絡(luò)攻擊者更容易猜測他們的密碼并獲取敏感數(shù)據(jù)。

近年來，犯罪分子比以往任何時(shí)候都更成功地欺騙目標(biāo)以提供其各種帳戶的登錄詳細(xì)信息。他們創(chuàng)建了模仿真實(shí)網(wǎng)站的虛假網(wǎng)站，可以竊取用戶名和密碼，然后登錄其模仿的網(wǎng)站。他們還設(shè)計(jì)了在用戶設(shè)備上運(yùn)行的惡意軟件，并在用戶輸入密碼時(shí)竊取憑據(jù)。如果密碼用于多個(gè)帳戶，則盜取這個(gè)密碼就可以進(jìn)入多個(gè)系統(tǒng)。由于用戶經(jīng)常使用容易猜到的密碼，例如他們最喜歡的足球隊(duì)或電影角色，網(wǎng)絡(luò)攻擊者可以簡單地使用暴力破解技術(shù)，將流行的密碼系統(tǒng)地輸入登錄頁面以獲得訪問權(quán)限。

雖然一些用戶遵循了專家的建議并在密碼生成器的幫助下選擇了更復(fù)雜的密碼，但他們?nèi)匀幻媾R風(fēng)險(xiǎn)，因?yàn)榍懊嫣岬降募夹g(shù)(網(wǎng)絡(luò)釣魚站點(diǎn)和憑據(jù)盜竊惡意軟件)根本不在乎密碼是4個(gè)字符長還是400個(gè)字符。

即使是安全存儲密碼的密碼管理器也不是可靠的解決方案。當(dāng)網(wǎng)絡(luò)釣魚電子郵件進(jìn)入收件箱并且密碼管理器自動將密碼提交到虛假網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)犯罪分子會仍然占據(jù)上風(fēng)。這些方法讓用戶和企業(yè)認(rèn)為它們比實(shí)際更安全。歸根結(jié)底，依賴于“共享秘密”的身份驗(yàn)證可能并且將會被黑客入侵。

了解替代方案

鑒于密碼的相關(guān)缺點(diǎn)、它們給用戶帶來的麻煩以及企業(yè)所承受的安全風(fēng)險(xiǎn)和管理開銷(從密碼重置到帳戶恢復(fù))，應(yīng)該尋找更簡化、更安全的方法來驗(yàn)證用戶及其身份戰(zhàn)略安全優(yōu)先事項(xiàng)。

但是在考慮 “無密碼”的替代方案時(shí)，仍然應(yīng)謹(jǐn)慎行事。任何使用共享秘密的方法都可能被黑客入侵。以多因素身份驗(yàn)證 (MFA) 的形式為密碼添加另一種保護(hù)措施帶來了挑戰(zhàn)。除了它為用戶創(chuàng)建的額外的、通常不方便的步驟之外，傳統(tǒng)的多因素身份驗(yàn)證 (MFA)方法仍然依賴密碼作為初始安全檢查措施，因此安全鏈中的弱點(diǎn)并沒有被消除。

網(wǎng)絡(luò)犯罪分子可以通過中間人或端點(diǎn)攻擊劫持密碼和多因素身份驗(yàn)證 (MFA)代碼，然后啟動惡意會話。任何依賴于可能被盜的多個(gè)因素的多因素身份驗(yàn)證 (MFA)解決方案都不夠安全，無法擊敗網(wǎng)絡(luò)攻擊者。

真正的無密碼方法既消除了密碼固有的安全風(fēng)險(xiǎn)，也消除了依賴密碼或其他形式的共享機(jī)密的傳統(tǒng)多因素身份驗(yàn)證 (MFA)方法。一個(gè)合理的方法是從登錄流程、應(yīng)用程序數(shù)據(jù)庫和帳戶恢復(fù)流程中消除密碼，并采用本質(zhì)上安全的東西代替它。替換密碼最可靠的方法是使用經(jīng)過驗(yàn)證的公共/私有密碼，這樣就不會交換共享秘密。這與用于以TLS形式保護(hù)互聯(lián)網(wǎng)上的金融交易的方法相同。傳輸層安全(TLS)由瀏覽器中的鎖定圖標(biāo)指示，證明用戶正在與合法服務(wù)器進(jìn)行通信，并且他們正在通過安全/專用通道進(jìn)行通信。TLS使用公鑰/私鑰加密來驗(yàn)證服務(wù)器并設(shè)置安全通信通道。

基于公鑰/私鑰加密的無密碼身份驗(yàn)證將私鑰安全地存儲在用戶設(shè)備本身上。最安全的解決方案將密鑰存儲在專用硬件中，并且可在現(xiàn)代設(shè)備(電腦、手機(jī)和平板電腦)上使用，因此私鑰永遠(yuǎn)不會離開設(shè)備，并且對所有各方都是未知的。公鑰可用于用戶希望訪問的應(yīng)用程序，但不能用于訪問系統(tǒng)。在登錄期間，使用私鑰簽名的證書被發(fā)送到服務(wù)器，在那里公鑰用于驗(yàn)證證書是否由關(guān)聯(lián)的私鑰簽名，從而在沒有任何共享的秘密的情況下自信地驗(yàn)證用戶。甚至用戶都不知道私鑰，因此沒有任何可以記錄和意外丟失或傳遞的內(nèi)容。

結(jié)論

憑據(jù)泄露帶來的風(fēng)險(xiǎn)是當(dāng)今企業(yè)面臨的最主要威脅之一。隨著越來越多的IT和安全領(lǐng)導(dǎo)者意識到并修復(fù)密碼造成的安全漏洞，人們更有可能防范意圖入侵企業(yè)和竊取數(shù)據(jù)的網(wǎng)絡(luò)犯罪分子。

采用無密碼技術(shù)替換舊的解決方案是加強(qiáng)企業(yè)防御措施以及消除用戶在驗(yàn)證過程中感到沮喪的基本方法。無密碼的好處已經(jīng)得到認(rèn)可，更多的企業(yè)如今將走向更安全的未來，需要迅速邁向一個(gè)永遠(yuǎn)不必要求用戶創(chuàng)建密碼的世界。