大多数人必须记住一连串不同的密码才能登录各种设备和账户,无论是手机、笔记本电脑,还是电子邮件和社交媒体账户。人们很容易对密码安全掉以轻心,而这正是用户最容易遭受网络攻击的时候。黑客通过数据泄露、钓鱼和其他攻击手段窃取密码变得异常容易。
因此,近年来密码的使用率有所下降。随着各种无密码身份验证方式被用户和组织更广泛地采用,这种趋势还将继续增长。那么,无密码安全究竟是什么?它是如何运作的?又有哪些无密码身份验证的例子呢?请继续阅读以了解更多信息。
什么是无密码身份验证?
简而言之,无密码身份身份验证允许用户无需密码即可验证身份。这可以通过多种方式实现。例如,用户可以扫描面部或指纹来访问其设备或帐户,或者他们可以使用一次性密码 (OTP)(通常用于双重身份验证(2FA)) ,或者使用专门为每次登录尝试生成的 URL 链接。
近年来,密码登录越来越受欢迎,但用户创建的密码安全性却很低。许多用户在不同的账户中使用相同的密码,未能创建足够复杂的密码,并且忘记定期更改密码。当然,一款可靠的密码管理器可以帮助解决这个问题。
无密码身份验证是如何工作的呢?
无密码身份验证要求用户提供一些唯一的信息来验证身份并访问设备或账户。这些信息被称为身份验证因素,它们有几种不同的类型,包括:
- 知识因素:用户知道的信息,例如密码
- 持有因素:用户拥有的物品,例如可以接收一次性密码 (OTP) 的手机;
- 固有因素:用户唯一的特征,通常指的是指纹或面部识别等生物特征
- 位置因素:用户需要特定的地理位置才能获得访问权限,例如办公室或家庭住址
- 行为因素:用户必须执行特定操作才能获得访问权限,例如 Windows 8 的图片密码
所有登录都需要用户提供至少一种身份验证因素。最常见的是知识因素——通常是密码。然而,无密码登录利用多种其他身份验证因素来增强安全性,从而无需密码。这些因素通常是持有因素(例如一次性密码)或固有因素(例如生物特征)。
无密码身份验证安全吗?
一般来说,无密码登录被认为比需要用户输入特定凭证的传统登录方式安全得多。这是因为,通过消除密码需求,这些登录系统显著降低了暴力破解、字典攻击、键盘记录、撞库攻击和中间人攻击等网络攻击的风险。它们也更能抵御黑客攻击、社会工程攻击以及人为惰性带来的风险,例如在多个帐户中使用相同的密码并忘记更新密码。
然而,与大多数事物一样,无密码身份验证并非万无一失。执着的攻击者仍然可以找到破解身份验证系统的方法,无论其多么复杂。黑客可能能够劫持电子邮件地址、电话号码甚至设备来拦截某些类型的密码身份验证,例如一次性密码 (OTP) 和魔法链接。
多因素认证 (MFA) 与无密码身份验证
尽管它们看起来很相似,但多因素身份验证(MFA) 和无密码身份验证略有不同。在许多情况下,多因素身份验证 (MFA) 会使用密码以及其他形式的验证,例如一次性密码 (OTP) 或生物识别。然而,顾名思义,无密码安全机制则无需用户输入密码。
然而,在某些情况下,两种或多种无密码登录方式会结合使用,用户必须通过所有验证流程才能访问其设备或帐户。这被称为无密码多因素身份验证 (MFA)。
常见的无密码身份验证示例有哪些?
传统上,大多数登录都使用知识因素——密码——其工作原理相同:用户创建由数字、字母和/或符号组成的唯一组合,并将其与用户名一起使用以访问其设备或帐户。与密码不同,无密码身份验证可以采用多种不同的形式。如前所述,无密码安全通常至少包含一种身份验证因素——通常不是知识因素——因此它比密码更具动态性。
证书
许多应用程序和联网软件使用数字证书来验证用户身份,而无需密码。在这种情况下,用户的个人设备将保存私钥,而应用或软件的服务器将存储公钥。两者需要正确匹配才能实现无密码身份验证。
一次性密码
如果您曾经好奇“什么是 OTP身份验证?”,答案就在这里:虽然用户仍然需要在设备上输入一次性密码才能访问账户,但一次性密码被视为一种无密码身份验证方式。这是因为一次性密码是用户通过短信或身份验证应用程序收到的临时代码;每次收到的代码都不同,并且会在几分钟内过期,因此比传统密码更安全。这是一种持有因素,因为理论上只有用户才能生成或接收一次性密码。
生物识别技术
如今,许多设备和软件都使用生物识别技术进行密码登录。这是一种固有因素,因为它通过用户唯一的生理特征(例如指纹或视网膜扫描)来授予访问权限。iPhone 就是生物识别身份验证的一个很好的例子,它允许用户启用面部识别身份验证来访问设备并登录各种安全账户,包括银行应用程序,从而有助于防止在线银行欺诈。
Magic Links
许多流行的互联网软件现在都提供使用“魔法链接”的无密码身份验证。这些链接本质上是URL令牌,用户可以通过验证其电子邮件地址或电话号码来登录帐户。当用户尝试登录使用“魔法链接”验证的帐户时,系统会自动向其注册的电子邮件地址或电话号码发送URL链接——用户点击链接即可自动登录帐户。这属于另一种所有权因素,因为它假定只有用户本人才能访问其电子邮件或手机。
身份验证应用程序
第三方身份身份验证应用程序,例如Google和Microsoft的应用程序,已成为无密码登录的热门选择。在这种情况下,用户需要使用其登录凭证配置特定的身份验证应用(该应用程序已与所使用的帐户服务兼容)。系统设置完成后,用户每次登录帐户时都会收到来自应用的通知,需要提供一次性密码 (OTP) 或验证登录才能获得访问权限。
FIDO通行密钥
快速在线身份 (FIDO) 通行密钥的工作原理与数字证书相同。当用户注册登录凭证时,系统会生成一个加密密钥对——公钥存储在系统服务器上,私钥存储在用户设备上。系统会对用户设备上的私钥进行身份验证,以授予用户访问帐户的权限。
无密码安全的优缺点
企业正越来越多地采用无密码安全方案来保护内部和外部利益相关者,并确保数据安全。然而,与网络安全领域的任何其他措施一样,了解无密码身份验证的优缺点至关重要。
无密码登录的优势
无密码登录的一些优点包括:
- 它比密码更安全,并且能够抵御许多网络攻击。
- 用户无需记住复杂的密码或定期更改密码,因此维护成本低;用户也更容易在其帐户或设备上启用此功能。
- 使用无密码身份验证的公司通常收到的支持请求要少得多,因为密码重置或故障排除的需求更少。
- 这些系统具有可扩展性,并且通常非常快速且易于实施。
- 它通常足以满足数据保护的合规性要求,包括欧盟的《一般数据保护条例)和《加州消费者隐私法案》(CCPA)。
- 帐户锁定和购物车遗弃的发生率更低。
无密码登录的缺点
虽然无密码身份验证因其安全性而日益普及,但它也存在一些缺点,包括:
- 在某些情况下,它可能比简单的密码更复杂、更昂贵。
- 使用生物识别技术的系统可能比较棘手,因为一旦生物识别身份验证已泄露,就无法重置。
- 人们通常认为用户在设置无密码登录时会使用安全通道,但事实并非总是如此——设置过程可能存在已泄露。
- 在某些情况下,这些系统并非万无一失——例如,一次性密码 (OTP) 可能被拦截或通过SIM 卡交换窃取。
- 一些用户,尤其是技术经验较少的用户,如果难以操作或不理解系统,可能不愿意使用无密码登录。
实施无密码身份验证
现在大多数电子设备或服务都为用户提供无密码身份验证选项,与传统的登录方式并存。每种方式的实现方式各不相同,大多数都会建议用户启用此功能以增强安全性。要启用无密码身份验证,用户只需导航到相关设备或帐户的设置,然后选择相应的选项(有些设备或帐户可能提供多个选项)。一些最常见的消费者无密码登录示例包括:
- iPhone 和 MacBook 的面部识别
- 用于定期验证 Google 帐户的 OTP
- 以及各种基于浏览器的应用程序和软件的“魔法链接”
对于那些既想使用密码又想体验无密码登录的用户来说,Kaspersky Password Manager可以提供帮助。它不仅可以为每个账户生成复杂且唯一的密码,还能将所有密码存储在加密的私密保管库中,任何人都无法查看。该程序还提供安全登录功能,允许用户在各种网站、应用程序和设备上自动填写个人信息,并内置应用内身份验证器,使用户能够在账户上启用多因素身份验证。
对于企业而言,选择并实施无密码安全方案至关重要——尤其是在提供面向客户的账户和设备时,因为企业需要额外保护客户信息的安全。实施无密码安全方案时需要考虑以下几个方面:
- 选择最合适的无密码身份验证方式,例如指纹或魔法链接等生物识别身份身份验证;
- 确定单因素身份验证是否足够,或者客户是否需要无密码多因素身份验证来增强安全性;
- 寻找并获取必要的硬件和/或软件;
- 确保用户能够正确注册和使用所选系统。
在组织层面实施无密码登录可能充满挑战,需要投入大量时间和资金。因此,许多企业选择与第三方供应商合作,以快速有效地实施这种网络安全方案。
无密码的未来会到来吗?
无密码身份验证拥有诸多优势,安全性远超传统密码,因此前景光明,尤其是在人工智能 (AI) 集成之后。它有助于在日益数字化的世界中保护用户及其信息安全,并为远程办公提供更安全的选择。
然而,要让无密码安全得到更广泛的应用,我们仍需克服一些挑战。这些挑战包括:消除隐私顾虑(尤其是在生物识别身份验证方面)、简化技术基础设施、增强用户信任以及确保合规性。
相关的文章和链接:
相关产品和服务:
