您可能已经有很长一段时间没有评估您的用户身份验证解决方案了。
毕竟,它不是每天企业在市场上进行新的用户身份验证解决方案。有些人从未使用过简单的密码以外的任何东西来验证其用户。其他人可能已经部署了传统的多因素身份验证解决与远程访问连接身份验证相关的特定安全问题的解决方案,或响应更强身份验证的法规要求。这个简短的指南提供了现代用户身份验证方法的当前回顾。
威瑞森在2017年发布的数据泄露调查报告(DBIR)在某种程度上是人们对用户身份验证看法的分水岭。该报告在IT界成为头条新闻81%的数据泄露是密码受损的结果。
正是在这个时候,许多企业意识到密码并不能解决他们的安全问题,反而会导致大量的安全问题,他们开始寻找替代的身份验证方案。在这个时刻,无密码认证从一个有远见的企业追求的利基替代选择,变成了每个人都在谈论的东西。
什么是无密码身份验证?
无密码身份验证定义了一类身份验证解决方案,它们无需使用密码即可验证用户的身份。身份证明是基于能唯一识别用户的其他因素,例如拥有与用户唯一相关的东西(例如一次性密码生成器、注册移动设备或硬件令牌),或用户的生物特征签名(例如指纹、脸印、视网膜扫描等)。基于用户知道的信息(即基于知识的身份验证)的身份验证也是可能的,只要不是密码。
4种无密码认证方式
以下是人们经常选择的一些常用的无密码认证方法:
一次性代码
一次性代码发送到已注册的移动设备或电子邮件地址。这通常由企业部署以验证其客户(B2C)。对于企业认证,例如对员工进行认证,使用较少。
生物识别技术
这种无密码的身份验证方法已经成为对用户进行移动设备身份验证的标准,Apple Face ID中广泛采用了这种技术,指纹身份验证甚至在最便宜的移动设备上也随处可见。生物识别技术主要用于验证用户对设备本身的身份,较少用于验证从设备访问的资源。
专用硬件安全令牌
专用的硬件安全令牌,通常存储公共密钥基础设施(PKI)凭证。近年来,YubiKeys等符合fido标准的设备越来越受欢迎,成为替代密码的高安全性用户身份验证工具。这些设备提供了一个良好的安全级别,因为它们很难伪造和需要实际拥有,但它们也相当昂贵和笨重的用户携带和使用。
附加到主机设备的身份验证凭据
此凭证(即,PKI证书固定在个人计算机上)主要用于将员工工作站进行身份验证到业务网络和资源。在这里,符合Fido标准的解决方案是越来越受欢迎的,具有最值得注意的示例Windows你好商业用途。Windows Hello可在较新版本的Windows上使用,并将FIDO兼容凭据与用户PIN或Bietric Print合并,以解锁对凭证的访问。
多因素身份验证(MFA)与无密码验证
组合多种形式的身份验证在多因素认证(MFA)中产生的结果。从历史上看,MFA被用作提高基于密码的身份验证的安全性的方法。使用密码(您知道的东西)与专用密钥FOB或注册的移动设备(您拥有的东西)将提供更加困难的身份验证因素,这些认证是难以掌握的,破解或黑客,因此提供更高的保证。
如今,可以使用无密码作为其中一个因素的多个身份验证因素,从而导致无密码的MFA。密码MFA的最常用的认证因子是用户注册的移动设备以及通过设备内置指纹传感器提供的用户引脚或指纹。
评估无密码认证解决方案时的注意事项
那么企业在进行搜索时应该关注什么正确的身份验证解决方案?在购买新的用户身份验证解决方案时需要考虑很多因素,但最重要的三个是:
身份验证解决方案是否支持用户身份验证使用情况的完整广度?
最基本的考虑是身份验证解决方案是否支持用户在工作过程中遇到的全面身份验证用例。当不支持特定的用例时,有两种选择:保留现有的身份验证解决方案—通常是简单的用户名和密码—或者引入第二个身份验证解决方案。
恢复到用户名和密码有违投资于更好、更安全的身份验证解决方案的目的,因为这意味着易受攻击的密码仍可能被攻击者利用,使企业暴露在外。这就好比在你的房子周围筑一道加固墙,然后在后门上留下一个锁。
获得第二个可以处理不受支持的用例的身份验证解决方案意味着部署另一个解决方案,更重要的是,要求用户携带另一个证书/身份验证器。这是一个昂贵的主张,同时也带来了可能会让用户感到沮丧的体验。
对于典型的企业来说,支持全面的用户身份验证用例可以增加相当多的场景。常见的企业用例包括:
- 工作站登录,包括Windows和Mac主机,在一些公司Linux也是一个重要的考虑因素。对于许多身份验证解决方案来说,这通常是最具挑战性的用例,因为它需要与操作系统和网络域管理解决方案进行精细的集成。
- 远程访问VPN.已成为一项主要技术,使移动和远程员工与他们的工作保持联系。有几种正在使用的技术和过多的供应商提供解决方案。幸运的是,多年来出现了一套标准,可以直接集成身份验证系统。
- 即使对于最传统的企业来说,访问云应用程序已经成为主流。虽然有一些标准可以促进企业身份验证系统和云服务之间的互操作性,但它们还没有完全成熟。相互竞争的标准和对现有标准的频繁修订意味着支持云服务的访问一直是一个移动的目标。
- 离线身份验证通常是许多身份验证系统的致命弱点,特别是多因素身份验证(MFA)。它提出了一个困难的挑战,因为大多数身份验证解决方案都是为连接的世界而设计的。因此,当网络连接断开或不可用时,身份验证服务器无法访问时,就需要详细的变通办法,以确保用户可以继续对其计算机和本地托管资源进行身份验证。
- 丢失身份验证器会带来巨大的麻烦,特别是当它是一个硬件身份验证器时。物理地将替换令牌发送给远程员工是昂贵和耗时的。因此,为了防止长时间停机,针对一些基于硬件的MFA解决方案开发了基于软件的恢复解决方案。
一般来说,现代企业身份验证解决方案必须是全部播放器,可以处理各种身份验证使用情况。对于解决特定用例的点解决方案,可能会导致需要部署多个认证解决方案,这是昂贵且难以置力的用户。
身份验证解决方案是否适用于您已有的内容?
对于大多数企业来说,实际情况是他们已经通过多年的IT投资获得了各种系统和应用程序的组合。这些系统是需要承认的现实,任何新的身份验证解决方案都需要能够处理已经存在的一切。一种撕掉就换掉的方法实在是太痛苦和昂贵了。
因此,应该期望现代身份验证解决方案设计为支持遗留系统和应用程序,并易于与现有It投资集成。支持现有的用户目录(例如Active Directory),与遗留系统一起工作,与现有的身份验证解决方案一起工作,等等都应该内置到解决方案中,而不是需要昂贵的定制和集成项目。
还应需要使用现有的身份验证解决方案,例如USB-tokens,OTP-tokens,Fido身份验证器,移动验证器等。许多企业已经投资强大的认证解决方案,这意味着几乎没有任何绿色菲尔德机会,没有其他任何东西部署。因此,与现有认证解决方案的和谐一起工作,简化了异构认证环境的操作,并提供了逐渐退出旧解决方案的手段,并迁移到更现代的解决方案已经成为其本身的重要考虑因素。
解决方案是否满足了审计师和监管者的要求?
这些天大多数企业在受监管的行业中运作,受到对数据保护和用户身份验证的严格要求。遵守法规和行业标准,如PCI DSS, dars, HIPAA, SOX/GLBA, PSD2, GDPR等,因此是一个重要的考虑,通常是投资于一个新的用户身份验证解决方案的主要驱动力。
密码认证的好处
无密码身份验证是生活中罕见的情况之一,在这种情况下,新的解决方案在各个方面都明显优于其他方案。选择它不需要做任何权衡或权衡利弊。与基于密码的身份验证解决方案相比,无密码身份验证提供了更好的安全性,更好的用户体验,而且拥有和操作成本更低。
增强用户体验
无密码身份验证提供了更好的用户体验,因为用户不需要收回和输入密码。这意味着更快的登录和更少的失败尝试。而且密码永远不会忘记或必须重置,这意味着更少的由于丢失或忘记密码而导致的停机时间,更少的麻烦。
提高整体安全
用设计良好的无密码身份验证解决方案替换易受攻击的密码实际上提高了安全性,因为无密码可以抵抗钓鱼,并提供更好的保护,防止其他形式的凭证访问攻击,包括中间人、键盘记录、凭证填充、密码喷洒等。
长期跑步是更便宜的
与密码相比,无密码身份验证的成本更低。密码需要昂贵的管理,因为它们需要支持密码管理系统,使用户能够进行定期的密码刷新和偶尔的密码重置。
当用户忘记他们的密码或丢失他们的身份验证器并呼叫帮助台帮助恢复时,密码也会在帮助台上产生巨大的负载。进一步节约成本可以通过关闭网络钓鱼预防程序来实现,这些程序是为了教育用户并保护他们免受网络钓鱼的侵害。精心设计的无密码认证可以防止网络钓鱼。
对无密码身份验证的挑战
决定部署密码验证的业务的第一个挑战通常是它们的遗留系统和应用程序,不适用于无密码验证。因此,虽然很容易购买密码工作场所的愿景,但在处理结合新的和日期系统的异质IT环境时,可以令人生畏。
一种方法是仅为支持无密码身份验证的系统和应用程序部署无密码身份验证。这通常意味着为云应用部署无密码身份验证,有时也适用于较新的操作系统(如最新版本的Windows 10)。但是无密码真的是一种孤注一掷的努力:你要么去掉密码,要么不去掉。
因此要成功为用户部署无密码认证,通常不足以决定密码是更好的,更便宜的更安全的选择。重要的是选择将帮助您在现有和异构IT环境中部署无密码的技术,并解决所有身份验证使用情况。
无密码身份验证解决方案全景图
市场上几乎每个身份验证解决方案供应商都声称提供无密码身份验证。现有的身份验证供应商已经调整了他们的MFA产品,允许某些用例使用某种形式的无密码身份验证。新的认证机构正全力投入无密码认证,目标客户拥有现代基础设施和应用程序,它们将与无密码良好地工作——遗留的系统和应用程序被抛在了后面。
但对大多数企业来说,普遍部署无密码身份验证仍然是不可能的,因为仍有许多系统和应用程序不是设计成无密码工作的。在某些系统中保留密码几乎是无效的,因为要从无密码中获益,你真的需要摆脱所有的密码。
成功迁移到无密码认证解决方案需要一个可以跨所有系统和应用程序工作的解决方案,在可能的情况下提供无密码身份验证,在不可能无密码的情况下创建无密码体验。这种方法的好处是,从用户体验的角度来看,用户不需要创建、收回或输入密码。
从安全的角度来看,密码要么被完全删除,要么用户根本不知道,这使它们成为网络钓鱼的证据。此外,在实现无密码体验时,密码是由机器管理的,这意味着它们受益于高度复杂性和频繁的循环,这反过来使它们更能抵御多种形式的密码攻击。
