為什么說無密碼技術是身份認證的未來?
如果有一天訪問各種應用時,無需再輸入復雜密碼,就能實現(xiàn)各個平臺的登錄和切換,那對于經(jīng)常忘記密碼的用戶來說,是非常省心了。無密碼技術作為一種新興的安全技術和身份認證手段,已經(jīng)成為許多企業(yè)和安全廠商研究和推廣的重點。那么,哪些身份驗證的技術屬于無密碼技術呢?目前企業(yè)采用無密碼技術又有哪些難點?一起來看一下吧。
你能想象有一天訪問各種應用時,無需再輸入復雜密碼就能實現(xiàn)各個平臺的登錄和切換嗎?對于經(jīng)常忘記密碼的用戶來說,無密碼驗證可以說是十分省心了。
其實當下無密碼技術已經(jīng)被廣泛應用了,包括微軟、蘋果和Google在內的領先科技廠商都在積極開發(fā)一種更先進的無密碼登錄技術和標準,以實現(xiàn)更高的安全性和保護性。
5月3日,谷歌正式推出Passkey功能,用戶可以用所持有的手機、電腦、平板等設備上已有的密碼(PIN碼、指紋、面部等),來代替谷歌賬號的密碼。用戶需要登錄谷歌賬號時,只需解鎖設備、無需再輸入密碼或進行二次驗證。
此前微軟也推出了類似的服務Authenticator,同樣可以實現(xiàn)生態(tài)內的“無密碼登錄”,成為替代傳統(tǒng)密碼驗證技術的一個重要標志。
目前,企業(yè)面臨的最大安全風險之一,就是將不安全的密碼技術作為身份驗證的主要方法。據(jù)2022年《Verizon數(shù)據(jù)泄露事件報告》數(shù)據(jù)顯示,超過80%的數(shù)據(jù)泄露是由于被竊取或破解的賬戶密碼所引發(fā),但很多用戶并沒有意識到潛在的危險。
因此,不管從合規(guī)角度,還是業(yè)務安全出發(fā),無密碼技術作為一種新興的安全技術和身份認證手段,已成為許多企業(yè)和安全廠商研究和推廣的重點。
那么,到底哪些身份驗證的技術屬于無密碼技術?目前企業(yè)采用無密碼技術又有哪些難點呢?
一、常見的無密碼技術
一些無密碼驗證方式其實在生活中已經(jīng)有所普及,典型的例子就是面部識別、指紋識別、短信驗證等。
無密碼身份驗證模型的思路很簡單。用戶無需輸入由用戶名或電子郵件地址以及密碼組成的憑據(jù),而是使用另一種方法來驗證身份信息,常見的無密碼身份驗證包括:
1. 生物識別
生物識別登錄已經(jīng)在智能手機和其他設備中使用,由唯一的生物識別符(例如指紋)組成。然而,在生物特征技術改進之前,除非與其他選項結合,否則這可能不是最安全的選擇。
2. 電子郵件
輸入電子郵件地址后,就會向該用戶發(fā)送一封包含驗證鏈接的電子郵件。單擊鏈接完成身份驗證并允許訪問。
3. 令牌或一次性代碼
用戶會收到令牌或代碼,然后輸入網(wǎng)站或應用程序,而不是鏈接。該代碼將附加到會話期間執(zhí)行的所有操作中,并在用戶實時交互時解密,然后在會話終止時銷毀該代碼。
同傳統(tǒng)的密碼口令相比較,無密碼驗證方式在安全性和便捷性上,都要遠高于傳統(tǒng)復雜密碼口令。
從安全層面上說,用戶無需在線存儲密碼,即便黑客入侵用戶計算機,也無法輕易進入用戶賬戶。甚至在日常辦公場景下,上鎖的設備在脫離視線范圍之后,用戶也無需為信息泄露而擔憂。
在工作場景中,不同平臺的使用和切換在無密碼技術的加持之下,也會大大提高效率。
有調查數(shù)據(jù)顯示,全球員工平均每年花費11個小時輸入或重置密碼。對于員工數(shù)成千上萬的大企業(yè),這直接導致生產(chǎn)力損失超多百萬美元。
因此,無密碼技術作為一種新興的安全技術和身份認證手段,不僅能大大加強安全問題,也能很大程度上提高用戶體驗。
二、無密碼驗證的問題
實現(xiàn)跨設備、多操作系統(tǒng)、跨瀏覽器以及生物特征認證方式的支持,無密碼驗證看似科技滿滿,從安全性和體驗的角度來看,無密碼驗證還是存在一些限制。
首先,從當下最為普及的指紋和人臉識別技術來看,TouchID和FaceID多年來一直被成功入侵,況且人臉、指紋數(shù)據(jù)作為獨一無二的身份信息,其外泄帶來的風險遠大于普通賬戶密碼泄露帶來的風險。
其次,部分無密碼技術將授權存儲在云中,基于這種方式下,用戶即便更換手機也依舊可以無障礙的登錄所有賬戶。但這種做法的風險是,當云平臺被黑客入侵,那么他們將獲得授權,用戶所有的賬戶信息容易遭到泄露。
同時,對于企業(yè)來說,啟用無密碼驗證,就意味著需要向一些提供技術的廠商打開大門,交出用戶私密信息。并且,由于無密碼驗證是依賴于第三方提供商,如果其中第三方一臺服務器出現(xiàn)故障,則在問題解決之前用戶可能無法訪問帳戶。
除此之外,想要在更多企業(yè)組織中推廣應用無密碼技術并不容易。研究人員發(fā)現(xiàn),阻礙無密碼登錄技術應用的關鍵因素,并不是技術本身的缺陷或限制,而是由于很多企業(yè)中身份和驗證管控的現(xiàn)狀。
在很多企業(yè)中,身份管理和身份驗證仍然是相對獨立的,而很多廣泛使用的應用程序在設計開發(fā)時,并沒有合理考慮如何支持通行密鑰等無密碼登錄驗證新模式。
身份證明(即確定誰是誰)通常是指一個流程,而身份驗證則屬于訪問網(wǎng)絡、應用程序或數(shù)據(jù)資源時,驗證訪問者身份的合法性與真實性。當僅僅面對公司員工,這一切沒問題,但面對需要訪問網(wǎng)絡資源外部承包商、供應商或機器用戶,這個過程就變得比較復雜。
因此,只有消除身份管理和身份驗證之間的隔斷,無密碼技術才有希望真正在更多企業(yè)中落地應用。
此外,無密碼技術要真正取代傳統(tǒng)的密碼驗證方法,還必須能夠廣泛適配企業(yè)復雜的數(shù)字化環(huán)境,包括能夠兼容各種網(wǎng)站應用、智能手機和桌面應用程序,同時還要支持數(shù)量眾多的操作系統(tǒng)版本和環(huán)境。
這對服務提供商是一個棘手問題,因為這意味著必須在所有這些環(huán)境中安全、穩(wěn)定、便捷地共享使用密鑰,要實現(xiàn)這種互操作性并不容易。
同時,面向企業(yè)級用戶和面向消費者的無密碼解決方案,在設計和實施上也會存在巨大差異。
消費級產(chǎn)品主要需求是管理數(shù)百萬個通行密鑰,需要彈性擴展能力以支持這種巨大的工作負載。而企業(yè)組織更希望讓所有員工能夠更安全地在各種設備、瀏覽器和網(wǎng)站之間實現(xiàn)互操作性,因此需要將密鑰與使用者的身份進行強驗證和綁定。
三、新的無密碼解決方案
企業(yè)通常會在平衡安全性和易用性之間做出權衡,那么是否有一種新的無密碼解決方案,可以在增強用戶體驗的同時確保安全性呢?
目前,分布式數(shù)字身份這一概念已經(jīng)被提出,它也被稱為去中心化身份(Decentralized Identity),簡稱DID。它是將身份注冊數(shù)據(jù)和身份驗證相結合,使它們密不可分。
DID分布式數(shù)字身份由用戶控制,而不是只是向用戶質詢身份驗證因子(密碼、PIN或生物特征)。該驗證因子與存儲在Active Directory或谷歌等身份提供商擁有的中央數(shù)據(jù)庫中所存儲的登錄信息進行核對。
這種身份和傳統(tǒng)的帳號相比的最大好處是可以證明某個東西的發(fā)出者。
傳統(tǒng)身份容易被盜用,容易根據(jù)系統(tǒng)漏洞被仿冒,甚至dba都可以篡改數(shù)據(jù)庫。而DID只要守住自己的私鑰,沒有對內容簽名,全網(wǎng)都可以輕松驗假。
因此,相對于傳統(tǒng)的的基于PKI的身份體系,基于區(qū)塊鏈的DID數(shù)字身份系統(tǒng)具有保證數(shù)據(jù)真實可信、保護用戶隱私安全、可移植性強等特征。
舉個例子,當用戶需要注冊或登錄網(wǎng)站時,無需輸入用戶名、電子郵箱、密碼之類的口令,只需使用手機中存儲的用戶DID信息完成與網(wǎng)站DID的雙向驗證。雖然登陸形式看起來沒有發(fā)生任何變化,但與傳統(tǒng)掃碼認證方式不同的是,DID中的身份信息由用戶自己掌控。
用戶首先通過二維碼獲得網(wǎng)站DID并進行驗證獲得公鑰,再使用公鑰加密請求數(shù)據(jù),發(fā)送自己的身份信息交由服務器驗證,若驗證通過,則登陸成功。
通過整個流程可以看出,服務器并不知道用戶的口令,而且也無法獲得除用戶DID文檔以外的任何信息,從而有效防止數(shù)據(jù)泄露,保護用戶身份隱私。
再比如,身份認證可以說是DID最基本的應用了,對于有身份識別(KYC)需求的場景,通過提前將多個機構頒發(fā)的VC與用戶綁定,且錨定到區(qū)塊鏈上,憑借密碼算法,可進行分布式驗證,用戶只需獲取一次VC,便可隨時出示使用。
例如員工入職背景調查,材料在流轉過程中極易遭受篡改,且驗證手段較為匱乏,若使用DID解決方案,員工可以在鏈上使用自己的DID標識向學校申請學歷(學位)憑證,向前公司申請工作(離職)憑證,現(xiàn)公司只需通過驗證接口對上述憑證真實性進行核驗,即可快速完成員工的入職背調。
目前,伴隨著區(qū)塊鏈等可信技術的發(fā)展,各大公司、機構已紛紛入局,對分布式數(shù)字身份(DID)的實現(xiàn)展開了更深入的研究探索。
四、結語
毫無疑問,無密碼技術應用的時代已到來。但是要構建企業(yè)級通行密鑰解決方案還需要研究人員繼續(xù)努力。希望2024年的世界密碼日,我們能夠迎來傳統(tǒng)密碼驗證技術的真正消亡。
本文由@科技云報到 原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可,禁止轉載。
題圖來自 Unsplash,基于 CC0 協(xié)議
該文觀點僅代表作者本人,人人都是產(chǎn)品經(jīng)理平臺僅提供信息存儲空間服務。提供信息存儲空間服務。
那個例子還是沒看懂??