基于知識的身份驗證方法(例如密碼)的失誤繼續(xù)困擾著公司。Verizon的《2021年數(shù)據(jù)泄露調查報告》發(fā)現(xiàn)，61%的數(shù)據(jù)泄露涉及登錄憑據(jù)泄露?，F(xiàn)在是時候重新考慮密碼的有效性。

這也無怪乎，無密碼身份驗證對話開始升溫。Forrester Research公司分析師Sean Ryan表示，在2021年Forrester Research調查中，近70%的受訪者表示，他們處于早期采用階段，進行概念驗證和試點，并向特定用戶群體推出無密碼。

一段時間以來，無密碼的未來一直是一個目標，那么它會在2022年實現(xiàn)嗎?行業(yè)分析師分享了他們的見解和預測。

[[440253]]

無密碼準備好了嗎?

行業(yè)分析師和供應商的共同觀點是，轉向無密碼將是耗時、緩慢的過程。隨著越來越多的供應商在應用程序中添加更多的身份驗證選項，員工將逐漸減少密碼的使用。

在本文中，分析師解釋了未來幾年的無密碼之旅可能會是怎樣，并對無密碼提供了四個預測。

1. 從多因素身份驗證開始

Ryan說，由于多因素身份驗證 (MFA) 采用的增加，“被動密碼世界”即將到來。要開始無密碼之路，企業(yè)應實施雙因素身份驗證，即使用密碼作為起點，使用非密碼身份驗證方法作為第二個因素。從那里，轉向MFA。這有助于用戶在完全過渡之前習慣無密碼體驗。這教會員工生物識別、智能卡和其他無密碼方法的工作原理，從而減少未來完全無密碼入職過程中的摩擦。

Gartner公司分析師David Mahdi表示，推動MFA的大型供應商還可以幫助用戶了解其好處。例如，谷歌強制要求賬戶持有人使用MFA，而微軟則為Azure Active Directory添加了無密碼功能。

2. 專注于零信任

對于無密碼，部署零信任架構是企業(yè)合乎邏輯的第一步。

RSM US安全和隱私風險服務負責人和領導人Tauseef Ghazi說：“對于大多數(shù)企業(yè)來說，開始無密碼的一種方法是，遷移到零信任模型–具有更強多因素身份驗證。”零信任不僅可以幫助企業(yè)防止用戶名/密碼被盜用，還可以確保連接到他們系統(tǒng)的人的身份。

零信任還可以幫助企業(yè)更好地為從網(wǎng)絡外部訪問公司資源的員工提供身份管理。零信任模型側重于確定用戶和設備是否可以信任。它可以提供持續(xù)的身份驗證，并有助于降低對容易被欺騙的基于知識的身份驗證因素的依賴。

3. 考慮行為生物識別

為了幫助企業(yè)擁抱連續(xù)身份驗證和無密碼，另一種身份識別措施是行為生物識別技術。

Mahdi 稱：“行為生物識別技術正變得越來越好。”

通過使用位置、步態(tài)和設備使用等因素，行為指標可通過風險評分區(qū)分合法用戶和冒充者。如果一項活動將風險評分提高到某個閾值以上，系統(tǒng)會提示用戶輸入額外的身份驗證因素，例如一次性密碼或面部識別。

Mahdi稱：“在制定風險評分并將其與你想要進行身份驗證的內容進行比較時，行為生物識別技術可以更全面地了解情況。”

除了可幫助實現(xiàn)無密碼外，行為生物識別還提供用戶登錄工作站期間的持續(xù)驗證。

4. 期待多供應商部署

無密碼正處于起步階段。Ryan稱：“供應商剛剛發(fā)展到這個階段，即產品開始上市，但它們仍然相對較新。”

很少有供應商可以適應企業(yè)中的每個無密碼用例。如果單個用例要求無密碼，有些公司可能只需要一個供應商。例如，如果一家公司主要使用Windows設備，則他們可以部署Windows Hello企業(yè)版。但是，如果必須采用多個用例，這將變得不太可行，例如，如果一家公司部署了Windows和macOS設備。

如果需要更廣泛的部署，企業(yè)應該期望采用多個供應商。一個供應商可以做所有事情的那一天可能會到來，但不會很快。

Ryan稱：“在一段時間內，我們會看到支離破碎的局面。我們將看到供應商進行大量實驗，并嘗試多種身份驗證選項。”企業(yè)可以向身份提供商尋求無密碼選項。專業(yè)供應商也開始發(fā)布能夠處理更多不同用例的產品。

密碼會徹底消失嗎?

對于密碼的命運，大家看法不一，但大家都樂觀認為會出現(xiàn)無密碼企業(yè)。

Mahdi預測，隨著時間的推移，密碼會逐漸消失，這主要得益于谷歌和微軟等供應商的幫助，他們在無密碼方面進行了大量投資。

其他人可以看到密碼使用減少但并未完全結束。

Ghazi稱：“如果你回顧20年前的技術，當時的人們可能會告訴你，我們現(xiàn)在所實現(xiàn)的東西不可能實現(xiàn)。這就是說，密碼不會完全消亡。即使在身份驗證器上，你也需要PIN。而遺留系統(tǒng)也有它們。”

Ryan同意，日常密碼使用可能會消失，但并非所有密碼都會消失。他指出：“也許我們會達到一個成熟的水平，無密碼是前端的體驗。在后端，仍然會有密碼，所以遺留技術仍然可以相互交流。”