基于知識(shí)的身份驗(yàn)證方法(例如密碼)的失誤繼續(xù)困擾著公司。Verizon的《2021年數(shù)據(jù)泄露調(diào)查報(bào)告》發(fā)現(xiàn)，61%的數(shù)據(jù)泄露涉及登錄憑據(jù)泄露?，F(xiàn)在是時(shí)候重新考慮密碼的有效性。

這也無怪乎，無密碼身份驗(yàn)證對(duì)話開始升溫。Forrester Research公司分析師Sean Ryan表示，在2021年Forrester Research調(diào)查中，近70%的受訪者表示，他們處于早期采用階段，進(jìn)行概念驗(yàn)證和試點(diǎn)，并向特定用戶群體推出無密碼。

一段時(shí)間以來，無密碼的未來一直是一個(gè)目標(biāo)，那么它會(huì)在2022年實(shí)現(xiàn)嗎?行業(yè)分析師分享了他們的見解和預(yù)測(cè)。

[[440253]]

無密碼準(zhǔn)備好了嗎?

行業(yè)分析師和供應(yīng)商的共同觀點(diǎn)是，轉(zhuǎn)向無密碼將是耗時(shí)、緩慢的過程。隨著越來越多的供應(yīng)商在應(yīng)用程序中添加更多的身份驗(yàn)證選項(xiàng)，員工將逐漸減少密碼的使用。

在本文中，分析師解釋了未來幾年的無密碼之旅可能會(huì)是怎樣，并對(duì)無密碼提供了四個(gè)預(yù)測(cè)。

1. 從多因素身份驗(yàn)證開始

Ryan說，由于多因素身份驗(yàn)證 (MFA) 采用的增加，“被動(dòng)密碼世界”即將到來。要開始無密碼之路，企業(yè)應(yīng)實(shí)施雙因素身份驗(yàn)證，即使用密碼作為起點(diǎn)，使用非密碼身份驗(yàn)證方法作為第二個(gè)因素。從那里，轉(zhuǎn)向MFA。這有助于用戶在完全過渡之前習(xí)慣無密碼體驗(yàn)。這教會(huì)員工生物識(shí)別、智能卡和其他無密碼方法的工作原理，從而減少未來完全無密碼入職過程中的摩擦。

Gartner公司分析師David Mahdi表示，推動(dòng)MFA的大型供應(yīng)商還可以幫助用戶了解其好處。例如，谷歌強(qiáng)制要求賬戶持有人使用MFA，而微軟則為Azure Active Directory添加了無密碼功能。

2. 專注于零信任

對(duì)于無密碼，部署零信任架構(gòu)是企業(yè)合乎邏輯的第一步。

RSM US安全和隱私風(fēng)險(xiǎn)服務(wù)負(fù)責(zé)人和領(lǐng)導(dǎo)人Tauseef Ghazi說：“對(duì)于大多數(shù)企業(yè)來說，開始無密碼的一種方法是，遷移到零信任模型–具有更強(qiáng)多因素身份驗(yàn)證。”零信任不僅可以幫助企業(yè)防止用戶名/密碼被盜用，還可以確保連接到他們系統(tǒng)的人的身份。

零信任還可以幫助企業(yè)更好地為從網(wǎng)絡(luò)外部訪問公司資源的員工提供身份管理。零信任模型側(cè)重于確定用戶和設(shè)備是否可以信任。它可以提供持續(xù)的身份驗(yàn)證，并有助于降低對(duì)容易被欺騙的基于知識(shí)的身份驗(yàn)證因素的依賴。

3. 考慮行為生物識(shí)別

為了幫助企業(yè)擁抱連續(xù)身份驗(yàn)證和無密碼，另一種身份識(shí)別措施是行為生物識(shí)別技術(shù)。

Mahdi 稱：“行為生物識(shí)別技術(shù)正變得越來越好。”

通過使用位置、步態(tài)和設(shè)備使用等因素，行為指標(biāo)可通過風(fēng)險(xiǎn)評(píng)分區(qū)分合法用戶和冒充者。如果一項(xiàng)活動(dòng)將風(fēng)險(xiǎn)評(píng)分提高到某個(gè)閾值以上，系統(tǒng)會(huì)提示用戶輸入額外的身份驗(yàn)證因素，例如一次性密碼或面部識(shí)別。

Mahdi稱：“在制定風(fēng)險(xiǎn)評(píng)分并將其與你想要進(jìn)行身份驗(yàn)證的內(nèi)容進(jìn)行比較時(shí)，行為生物識(shí)別技術(shù)可以更全面地了解情況。”

除了可幫助實(shí)現(xiàn)無密碼外，行為生物識(shí)別還提供用戶登錄工作站期間的持續(xù)驗(yàn)證。

4. 期待多供應(yīng)商部署

無密碼正處于起步階段。Ryan稱：“供應(yīng)商剛剛發(fā)展到這個(gè)階段，即產(chǎn)品開始上市，但它們?nèi)匀幌鄬?duì)較新。”

很少有供應(yīng)商可以適應(yīng)企業(yè)中的每個(gè)無密碼用例。如果單個(gè)用例要求無密碼，有些公司可能只需要一個(gè)供應(yīng)商。例如，如果一家公司主要使用Windows設(shè)備，則他們可以部署Windows Hello企業(yè)版。但是，如果必須采用多個(gè)用例，這將變得不太可行，例如，如果一家公司部署了Windows和macOS設(shè)備。

如果需要更廣泛的部署，企業(yè)應(yīng)該期望采用多個(gè)供應(yīng)商。一個(gè)供應(yīng)商可以做所有事情的那一天可能會(huì)到來，但不會(huì)很快。

Ryan稱：“在一段時(shí)間內(nèi)，我們會(huì)看到支離破碎的局面。我們將看到供應(yīng)商進(jìn)行大量實(shí)驗(yàn)，并嘗試多種身份驗(yàn)證選項(xiàng)。”企業(yè)可以向身份提供商尋求無密碼選項(xiàng)。專業(yè)供應(yīng)商也開始發(fā)布能夠處理更多不同用例的產(chǎn)品。

密碼會(huì)徹底消失嗎?

對(duì)于密碼的命運(yùn)，大家看法不一，但大家都樂觀認(rèn)為會(huì)出現(xiàn)無密碼企業(yè)。

Mahdi預(yù)測(cè)，隨著時(shí)間的推移，密碼會(huì)逐漸消失，這主要得益于谷歌和微軟等供應(yīng)商的幫助，他們?cè)跓o密碼方面進(jìn)行了大量投資。

其他人可以看到密碼使用減少但并未完全結(jié)束。

Ghazi稱：“如果你回顧20年前的技術(shù)，當(dāng)時(shí)的人們可能會(huì)告訴你，我們現(xiàn)在所實(shí)現(xiàn)的東西不可能實(shí)現(xiàn)。這就是說，密碼不會(huì)完全消亡。即使在身份驗(yàn)證器上，你也需要PIN。而遺留系統(tǒng)也有它們。”

Ryan同意，日常密碼使用可能會(huì)消失，但并非所有密碼都會(huì)消失。他指出：“也許我們會(huì)達(dá)到一個(gè)成熟的水平，無密碼是前端的體驗(yàn)。在后端，仍然會(huì)有密碼，所以遺留技術(shù)仍然可以相互交流。”