企业面临的最大安全风险之一是使用大量密码作为不同应用程序的主要身份验证方法。许多企业和个人在使用密码技术后,认为密码是保护系统和敏感数据访问安全的可靠身份验证形式背后的缺陷是显而易见的:它们不仅会造成虚假的安全感,而且会在企业防御系统中留下重大漏洞。
因此,许多企业开始向前迈进“无密码”技术过渡。然而,无密码身份验证的确切分类仍存在一些混淆。一些声称属于该类别的解决方案只是帮助用户保存和输入密码,或用同样不安全的措施替换密码,如一次性密码。
了解无密码解决方案的真正组成是企业走向更安全未来的第一步,也是消除挫折和耗时过程的第一步。用户只需要通过这些过程来验证他们的身份。
密码背后的风险
获取密码是犯罪分子侵入商业网络和消费者账户的最常见方式之一。事实上,Verizon 公司发布的2021年数据泄露调查报告发现,去年 61% 的泄露涉及登录凭证,已有110多亿账户被盗或入侵。
密码是密码的基本缺陷“共享秘密”,这意味着人们知道他们已经输入并存储了密码。这些密码由应用程序存储在数据库中,使其成为网络犯罪分子的主要目标。密码成为用户的代理标志,用户通常选择与他们生活中的某些事情相关的密码,包括姓名和重要日期,以便记忆。但这使得网络攻击者更容易猜测他们的密码并获取敏感数据。
近年来,犯罪分子比以往任何时候都更成功地欺骗目标,提供各种账户的详细登录信息。他们创建了一个虚假的网站来模仿真实的网站,可以窃取用户名和密码,然后登录其模仿的网站。他们还设计了在用户设备上运行的恶意软件,并在用户输入密码时窃取凭证。如果密码用于多个帐户,则可以通过窃取密码进入多个系统。由于用户经常使用易于猜测的密码,如他们最喜欢的足球队或电影角色,网络攻击者可以简单地使用暴力破解技术,并将流行的密码系统输入登录页面以获得访问权限。
虽然一些用户遵循专家的建议,并在密码生成器的帮助下选择更复杂的密码,但他们仍然面临风险,因为上述技术(网络钓鱼网站和盗窃恶意软件)不在乎密码是四个字符长还是400个字符。
即使是安全存储密码的密码管理器也不是一个可靠的解决方案。当网络钓鱼电子邮件进入收件箱,密码管理器自动向虚假网络提交密码时,网络犯罪分子仍将占上风。这些方法使用户和企业认为它们比实际情况更安全。归根结底,这取决于“共享秘密”身份验证可能并将被黑客入侵。
了解替代方案
鉴于密码的相关缺点、给用户带来的麻烦、企业承担的安全风险和管理费用(从密码重置到账户恢复),应找到更简单、更安全的方法来验证用户及其身份的战略安全优先事项。
但是在考虑 “无密码”在替代方案时,我们仍然应该小心。任何使用共享秘密的方法都可能被黑客入侵。作为多因素验证 (MFA) 的形式给密码添加另一种保护措施带来了挑战。传统的多因素身份验证 除了为用户创建外,传统的多因素身份验证 (MFA)该方法仍然依赖密码作为初始安全检查措施,因此安全链中的弱点尚未消除。
网络犯罪分子可以通过中间人或终点攻击劫持密码和多因素身份验证 (MFA)代码,然后启动恶意对话。任何依赖于可能被盗多种因素的多因素身份验证 (MFA)解决方案都不够安全,无法击败网络攻击者。
真正的无密码方法不仅消除了密码固有的安全风险,还消除了传统的多因素身份验证 ,依靠密码或其他形式共享机密(MFA)方法。一个合理的方法是从登录过程、应用程序数据库和账户恢复过程中消除密码,用本质上安全的东西代替密码。更换密码最可靠的方法是使用验证的公共/私人密码,以免交换共享秘密。这是用来的TLS保护互联网上金融交易的形式相同。传输层安全(TLS)通过浏览器中的锁定图标指示,证明用户正在通过安全/特殊通道与合法服务器通信。TLS使用公钥/私钥加密验证服务器并设置安全通信通道。
基于公钥/私钥加密的无密码身份验证将私钥安全存储在用户设备本身。最安全的解决方案是将密钥存储在特殊硬件中,并可用于现代设备(计算机、手机和平板电脑)。因此,私钥永远不会离开设备,对所有方都不知道。公钥可用于用户想要访问的应用程序,但不能用于访问系统。在登录过程中,使用私钥签名的证书发送到服务器,公钥用于验证证书是否由相关私钥签名,以便在没有任何共享秘密的情况下自信验证用户。甚至用户也不知道私钥,所以没有任何内容可以记录或意外丢失或传输。
结论
凭证泄露带来的风险是当今企业面临的主要威胁之一。随着越来越多IT和安全领导意识到并修复密码造成的安全漏洞,人们更有可能防止意图入侵企业和窃取数据的网络犯罪分子。
采用无密码技术替换旧的解决方案是加强企业防御措施以及消除用户在验证过程中感到沮丧的基本方法。无密码的好处已经得到认可,更多的企业如今将走向更安全的未来,需要迅速迈向一个永远不必要求用户创建密码的世界。