密码就是 W0r$T！——是时候采用无密码身份验证了

每个人都知道密码天生就容易受到网络安全威胁。 这就是为什么不断敦促您使用多因素身份验证 (MFA) 的原因，直到最近，这意味着为您的密码添加一层或更多保护。 但近年来，替代身份验证方法的日益多样化和可用性使得您作为业务领导者可以开始实施无需密码的 MFA。

我们最近的 2022 年无密码身份验证调查发现，82% 的企业领导者已准备好采用无密码方法。 因此，让我们谈谈您的企业如何通过放弃密码来提高其安全性——即使它只是其中的一部分。

密码会给用户带来摩擦，导致安全性更弱

为了使密码有价值，它必须是强大的。 在 2022 年，这意味着至少有 12 个字符，包括数字、特殊字符以及大小写字母的混合。 并确保为每个帐户使用唯一的密码。 哦，你应该定期更换它们。 如果您忘记了密码，只需通过一个复杂的过程来创建一个新密码或与帮助台保持联系。

换句话说，密码提供了糟糕的用户体验——这就是为什么大多数用户不会费心遵循基本密码协议的原因。

令人震惊的是，77% 的受访者至少在某些时候会为多个帐户使用相同的密码——其中近一半 (46%) 的人承认经常重复使用密码。 这是一个严重的问题，因为密码重用是帐户接管攻击和数据泄露的主要驱动因素。 当被问及如何记住密码时，26% 的人将密码写在纸上，25% 的人将密码存储在在线文档中，21% 的人使用对个人有意义的信息。

在最佳情况下，密码提供的安全性相对较弱，但正如我们的研究表明，许多用户让自己（和他们的公司）几乎毫无防备。 这使您的公司容易受到网络钓鱼计划、键盘记录程序、暴力攻击以及网络犯罪分子用来破解密码的任何其他策略的攻击。

那么究竟什么是无密码认证呢？

这正是它听起来的样子——不使用密码的身份验证。 但这并不是那么简单。 您不能打电话给某人说“我想订购一些无密码身份验证”。 不要将无密码视为目标——将其视为目标，您在摆脱密码这一目标方面取得的任何进展都会使您的公司更加安全。

在我们进一步讨论之前，让我们分解替代方案以及人们对它们的看法。 身份验证分为三种基本类型：

今天，超过五分之二的人 (43%) 仍然喜欢使用他们知道的东西——这并不奇怪，因为几十年来使用密码、PIN 和安全问题一直是最常见的身份验证方法。 令人惊讶的是，超过三分之一 (38%) 的人更喜欢使用他们所使用的东西，也称为生物特征认证。 完善我们的结果，大约五分之一 (19%) 的人更喜欢使用他们拥有的东西。

在我们深入研究密码替代方案和可能最适合贵公司员工的选项时，请考虑这些偏好。

通过采用无密码身份验证提高安全性

如果无密码身份验证可以提高安全性，您是否愿意进行切换？ 我们向 389 位商界领袖提出了这个问题，整整 82% 的人说是。 虽然无密码身份验证可以作为单一因素执行（例如，使用您的指纹解锁手机），但企业必须使用 MFA 来保护对关键系统和敏感数据的访问。

幸运的是，几乎所有的业务领导者 (95%) 都表示他们的公司至少将 MFA 用于某些业务应用程序——55% 的人表示他们将 MFA 用于所有应用程序。 多年来，我们一直在问这个问题，这些数字一直在稳步攀升。 原因之一是 MFA 不仅是最佳实践，而且越来越需要。 在我们调查的商业领袖中，超过一半 (56%) 表示，他们的公司必须根据法规（例如，HIPAA、PCI DSS、SOX）使用 MFA，而 17% 的公司需要根据网络保险政策这样做。

考虑到所有这些，让我们看看无密码 MFA 是如何工作的。

使用身份验证令牌启用无密码 MFA

身份验证令牌是与个人身份相关联的硬件设备（或数据对象），以实现对数字资产的访问。 令牌（通常是智能手机或 USB 硬件密钥）被假定为个人拥有它所绑定的身份。

电话即令牌已存在多年，包括带外 (OOB)、一次性密码 (OTP) 以及越来越多的二维码身份验证。 最近，公钥令牌已经取得进展，很可能是基于令牌的身份验证的未来。 让我们看看这些不同类型的令牌是如何使用的。

带外 (OOB) 身份验证

一些 OOB 方法会向您的电子邮件发送一个代码，或者只是发送一个“魔术链接”，您可以单击该链接以立即访问该服务。 值得注意的是，在无密码方案中使用电子邮件和魔术链接是有问题的，因为大多数人使用密码来访问他们接收一次性密码或链接的电子邮件帐户。

OOB 身份验证旨在使用两种不同的身份验证通道，例如互联网连接和无线网络。 OOB 身份验证的一个常见示例是当您在手机上收到带有代码的 SMS 消息或自动语音呼叫，然后您将代码输入网站。 其他方法包括比 SMS 消息更安全的推送通知。

一次性密码 (OTP) 身份验证

OTP 身份验证通常使用手机上的身份验证应用程序执行（尽管确实存在硬件 OTP 设备）以生成临时代码，然后输入该代码以访问数字资产。

快速响应 (QR) 码

从餐馆到超级碗广告，二维码无处不在，而且越来越多地用于安全目的。 通过使用智能手机扫描网站登录窗格中显示的二维码，您可以进行身份​​验证。 当然，缺点是不能使用二维码从手机本身访问网站。

公钥令牌

公钥令牌使用非对称加密（即公钥和私钥对）进行身份验证，并且通常使用 X.509 证书。 公钥令牌可以是基于软件或基于硬件的，包括 USB 硬件密钥、智能卡以及支持蓝牙或 NFC 的智能手机和可穿戴设备。

也许是无密码身份验证的未来，Fast Identity Online (FIDO) 是一组包含公钥令牌的协议，专门用于减少对密码的依赖。 FIDO 身份验证使用两个步骤，一个是解锁身份验证器，另一个是生成使用在线服务进行身份验证所需的加密密钥。

第一步中用于在本地设备上解锁的因素可以从任何可用选项中选择，例如指纹、输入 PIN 或插入专用硬件设备（例如 YubiKey）。 解锁 FIDO 身份验证器后，设备会提供与服务提供商的公钥对应的正确私钥。 第一步中提供的信息保持私密，永远不会离开用户的设备。

使用您知道的东西（但不是密码！）、您的身份以及其他一切进行身份验证

无密码身份验证可以使用您知道的东西，只要它不是密码。 最常见的替代方法是 PIN。 虽然 PIN 可能看起来类似于密码，但它却大不相同。 PIN 通常用于解锁本地设备，例如借记卡。 没有 PIN 码，您的银行卡将毫无用处。 相反，密码与存储在中央数据库中的信息相匹配，并且本身就很容易受到攻击。

该领域的其他常用方法包括图片和模式识别。 在注册过程中，某些服务会要求您选择一张图片。 然后，在进行身份验证时，您可以从多个选项中选择您的图片。 同样，模式识别身份验证要求您记住图片或网格上的预选点。

生物特征认证变得更受欢迎

生物识别身份验证使用独特的物理特征（例如您的面部或指纹）来验证您的身份。 生物识别技术正在成为主流，尤其是在用于安全目的时。 我们的调查发现，76% 的消费者乐于使用面部识别来访问他们的电脑或手机。 也许更令人惊讶的是，64% 的人愿意使用它来登录在线帐户。

生物识别身份验证正在迅速与电话作为令牌的方法集成。 智能手机具有麦克风、摄像头和指纹扫描仪，所有这些都可用于支持一系列生物特征认证模式，同时确认设备的拥有。

上下文身份验证为无密码用户提供了灵活性

除了主动确认您的身份之外，上下文身份验证方法还使用位置、活动和设备标识符等因素被动地检测风险。 也称为基于信号的身份验证，此过程可能允许称为零因素身份验证 (0FA) 的最终无密码场景，如果不存在风险信号，则授予用户访问权限。 如果系统不确定，则只会提示用户输入身份验证措施，例如 PIN 或生物特征。

持续自适应信任 (CAT) 等高级模型使用机器学习来分析关于用户的更丰富的变量集以确定风险，例如测量击键压力或识别用户在使用设备行走时的特定动作。

您可以采取三个步骤来实施无密码身份验证

如前所述，无密码是有抱负的（至少目前如此），您朝着它迈出的每一步都会提升您的整体安全状况。 本着这种精神，让我们看一下您可以采取的三个步骤来开始减少公司的密码数量。

通过准确解释摆脱密码将如何使他们的团队受益并使他们的工作更轻松，从而获得关键利益相关者的支持。 确定安全改进的优先级，了解工作流程可能受到的影响，并确定新身份验证方法的偏好。

评估并利用您已经拥有的无密码选项。 例如，如果您的企业已经在使用 Windows 10，您可以使用结合了本地身份验证方法的 Windows Hello for Business，例如生物识别或基于设备的身份验证。

问以下问题：

• 我们已经有哪些无密码选项可用？
• 我们可以修改当前的身份验证流程以避免密码吗？
• 这些变化最终会减少用户的摩擦吗？

为了让您的公司为普遍采用无密码身份验证做好准备，重要的是通过尽可能转移当前和未来的投资来简化您的迁移路径。 在采购新软件时，请考虑利用生物识别、电话即令牌和新兴协议（如 FIDO2）的身份验证选项的可用性。

我们对密码的依赖很快就会过去

我们最终会到达一个你不需要记住密码、服务器不必存储密码、黑客无法利用它们的未来。 这是一个比我们今天生活的更安全的数字世界。 但它会一点一点地发生，并且需要新的安全思考方式，例如零知识证明和零信任安全模型（我们将在即将发布的研究报告中深入探讨这两者）。

趋势是从密码转向更加个性化、上下文相关和无摩擦的身份验证形式。

方法

Capterra 于 2022 年 1 月对 974 名消费者进行了 2022 年无密码身份验证调查，其中包括 389 名报告管理职责或更高级别的商业领袖，以了解美国企业对各种身份验证方法及其使用的态度。