您当前的位置:首页 > 电脑百科 > 安全防护 > 数据安全

为什么说无密码技术是身份认证的未来?

时间:2023-05-18 14:43:28  来源:科技云报到  作者:

你能想象有一天访问各种应用时,无需再输入复杂密码就能实现各个平台的登录和切换吗?对于经常忘记密码的用户来说,无密码验证可以说是十分省心了。

其实当下无密码技术已经被广泛应用了,包括微软、苹果和google在内的领先科技厂商都在积极开发一种更先进的无密码登录技术和标准,以实现更高的安全性和保护性。

5月3日,谷歌正式推出Passkey功能,用户可以用所持有的手机、电脑、平板等设备上已有的密码(PIN码、指纹、面部等),来代替谷歌账号的密码。用户需要登录谷歌账号时,只需解锁设备、无需再输入密码或进行二次验证。

此前微软也推出了类似的服务Authenticator,同样可以实现生态内的“无密码登录”,成为替代传统密码验证技术的一个重要标志。

目前,企业面临的最大安全风险之一,就是将不安全的密码技术作为身份验证的主要方法。据2022年《Verizon数据泄露事件报告》数据显示,超过80%的数据泄露是由于被窃取或破解的账户密码所引发,但很多用户并没有意识到潜在的危险。

因此,不管从合规角度,还是业务安全出发,无密码技术作为一种新兴的安全技术和身份认证手段,已成为许多企业和安全厂商研究和推广的重点。

那么,到底哪些身份验证的技术属于无密码技术?目前企业采用无密码技术又有哪些难点呢?

1.常见的无密码技术

一些无密码验证方式其实在生活中已经有所普及,典型的例子就是面部识别、指纹识别、短信验证等。

无密码身份验证模型的思路很简单。用户无需输入由用户名或电子邮件地址以及密码组成的凭据,而是使用另一种方法来验证身份信息,常见的无密码身份验证包括:

 生物识别 

生物识别登录已经在智能手机和其他设备中使用,由唯一的生物识别符(例如指纹)组成。然而,在生物特征技术改进之前,除非与其他选项结合,否则这可能不是最安全的选择。

 电子邮件 

输入电子邮件地址后,就会向该用户发送一封包含验证链接的电子邮件。单击链接完成身份验证并允许访问。

 令牌或一次性代码 

用户会收到令牌或代码,然后输入网站或应用程序,而不是链接。该代码将附加到会话期间执行的所有操作中,并在用户实时交互时解密,然后在会话终止时销毁该代码。

同传统的密码口令相比较,无密码验证方式在安全性和便捷性上,都要远高于传统复杂密码口令。

从安全层面上说,用户无需在线存储密码,即便黑客入侵用户计算机,也无法轻易进入用户账户。甚至在日常办公场景下,上锁的设备在脱离视线范围之后,用户也无需为信息泄露而担忧。

在工作场景中,不同平台的使用和切换在无密码技术的加持之下,也会大大提高效率。

有调查数据显示,全球员工平均每年花费11个小时输入或重置密码。对于员工数成千上万的大企业,这直接导致生产力损失超多百万美元。

因此,无密码技术作为一种新兴的安全技术和身份认证手段,不仅能大大加强安全问题,也能很大程度上提高用户体验。

2.无密码验证的问题

实现跨设备、多操作系统、跨浏览器以及生物特征认证方式的支持,无密码验证看似科技满满,从安全性和体验的角度来看,无密码验证还是存在一些限制。

首先,从当下最为普及的指纹和人脸识别技术来看,TouchID和FaceID多年来一直被成功入侵,况且人脸、指纹数据作为独一无二的身份信息,其外泄带来的风险远大于普通账户密码泄露带来的风险。

其次,部分无密码技术将授权存储在云中,基于这种方式下,用户即便更换手机也依旧可以无障碍的登录所有账户。但这种做法的风险是,当云平台被黑客入侵,那么他们将获得授权,用户所有的账户信息容易遭到泄露。

同时,对于企业来说,启用无密码验证,就意味着需要向一些提供技术的厂商打开大门,交出用户私密信息。并且,由于无密码验证是依赖于第三方提供商,如果其中第三方一台服务器出现故障,则在问题解决之前用户可能无法访问帐户。

除此之外,想要在更多企业组织中推广应用无密码技术并不容易。研究人员发现,阻碍无密码登录技术应用的关键因素,并不是技术本身的缺陷或限制,而是由于很多企业中身份和验证管控的现状。

在很多企业中,身份管理和身份验证仍然是相对独立的,而很多广泛使用的应用程序在设计开发时,并没有合理考虑如何支持通行密钥等无密码登录验证新模式。

身份证明(即确定谁是谁)通常是指一个流程,而身份验证则属于访问网络、应用程序或数据资源时,验证访问者身份的合法性与真实性。当仅仅面对公司员工,这一切没问题,但面对需要访问网络资源外部承包商、供应商或机器用户,这个过程就变得比较复杂。

因此,只有消除身份管理和身份验证之间的隔断,无密码技术才有希望真正在更多企业中落地应用。

此外,无密码技术要真正取代传统的密码验证方法,还必须能够广泛适配企业复杂的数字化环境,包括能够兼容各种网站应用、智能手机和桌面应用程序,同时还要支持数量众多的操作系统版本和环境。

这对服务提供商是一个棘手问题,因为这意味着必须在所有这些环境中安全、稳定、便捷地共享使用密钥,要实现这种互操作性并不容易。

同时,面向企业级用户和面向消费者的无密码解决方案,在设计和实施上也会存在巨大差异。

消费级产品主要需求是管理数百万个通行密钥,需要弹性扩展能力以支持这种巨大的工作负载。而企业组织更希望让所有员工能够更安全地在各种设备、浏览器和网站之间实现互操作性,因此需要将密钥与使用者的身份进行强验证和绑定。

3.新的无密码解决方案

企业通常会在平衡安全性和易用性之间做出权衡,那么是否有一种新的无密码解决方案,可以在增强用户体验的同时确保安全性呢?

目前,分布式数字身份这一概念已经被提出,它也被称为去中心化身份(Decentralized Identity),简称DID。它是将身份注册数据和身份验证相结合,使它们密不可分。

DID分布式数字身份由用户控制,而不是只是向用户质询身份验证因子(密码、PIN或生物特征)。该验证因子与存储在Active Directory或谷歌等身份提供商拥有的中央数据库中所存储的登录信息进行核对。

这种身份和传统的帐号相比的最大好处是可以证明某个东西的发出者。

传统身份容易被盗用,容易根据系统漏洞被仿冒,甚至dba都可以篡改数据库。而DID只要守住自己的私钥,没有对内容签名,全网都可以轻松验假。

因此,相对于传统的的基于PKI的身份体系,基于区块链的DID数字身份系统具有保证数据真实可信、保护用户隐私安全、可移植性强等特征。

举个例子,当用户需要注册或登录网站时,无需输入用户名、电子邮箱、密码之类的口令,只需使用手机中存储的用户DID信息完成与网站DID的双向验证。虽然登陆形式看起来没有发生任何变化,但与传统扫码认证方式不同的是,DID中的身份信息由用户自己掌控。

用户首先通过二维码获得网站DID并进行验证获得公钥,再使用公钥加密请求数据,发送自己的身份信息交由服务器验证,若验证通过,则登陆成功。

通过整个流程可以看出,服务器并不知道用户的口令,而且也无法获得除用户DID文档以外的任何信息,从而有效防止数据泄露,保护用户身份隐私。

再比如,身份认证可以说是DID最基本的应用了,对于有身份识别(KYC)需求的场景,通过提前将多个机构颁发的VC与用户绑定,且锚定到区块链上,凭借密码算法,可进行分布式验证,用户只需获取一次VC,便可随时出示使用。

例如员工入职背景调查,材料在流转过程中极易遭受篡改,且验证手段较为匮乏,若使用DID解决方案,员工可以在链上使用自己的DID标识向学校申请学历(学位)凭证,向前公司申请工作(离职)凭证,现公司只需通过验证接口对上述凭证真实性进行核验,即可快速完成员工的入职背调。

目前,伴随着区块链等可信技术的发展,各大公司、机构已纷纷入局,对分布式数字身份(DID)的实现展开了更深入的研究探索。

4.结语

毫无疑问,无密码技术应用的时代已到来。但是要构建企业级通行密钥解决方案还需要研究人员继续努力。希望2024年的世界密码日,我们能够迎来传统密码验证技术的真正消亡。



Tags:无密码技术   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
为什么说无密码技术是身份认证的未来?
你能想象有一天访问各种应用时,无需再输入复杂密码就能实现各个平台的登录和切换吗?对于经常忘记密码的用户来说,无密码验证可以说是十分省心了。其实当下无密码技术已经被广泛...【详细内容】
2023-05-18  Search: 无密码技术  点击:(273)  评论:(0)  加入收藏
▌简易百科推荐
保护隐私,从微信朋友圈开始
在这个信息化高速发展的时代,微信已经成为了我们生活中不可或缺的一部分。无论是工作沟通、亲友联络,还是日常的消遣娱乐,微信都扮演着重要的角色。而微信朋友圈,更是成为了我们...【详细内容】
2024-04-08    松鼠宝贝  Tags:微信朋友圈   点击:(8)  评论:(0)  加入收藏
加密领域的热门概念和创新应用
在当下快速发展的加密货币领域,BTC Layer 2(二层)概念、比特币商业场景型的应用、DePIN以及AI领域的全球GPU算力调度网等项目备受关注,被视为具有巨大潜力的创新方向。让我们一...【详细内容】
2024-03-20  曜楠科技    Tags:加密   点击:(17)  评论:(0)  加入收藏
让隐私数据不再裸奔!一文掌握加密技术,让你的隐私高枕无忧
随着互联网的普及和数字化进程的加速,加密技术已经成为我们生活中不可或缺的一部分。从保护个人隐私到保障国家安全,加密技术都发挥着至关重要的作用。今天,我们就来一起盘点一...【详细内容】
2024-02-19  媺媺熊    Tags:隐私数据   点击:(1)  评论:(0)  加入收藏
人人都该懂密码学,通用密码学原理与应用实战|完结无密
来百度APP畅享高清图片//下栽のke:http://quangneng.com/4061/标题:人人都该懂密码学:通用密码学原理与应用实战在当今数字化的世界中,密码学已经成为了信息安全的核心。不论是...【详细内容】
2024-02-06  阿小白    Tags:密码学   点击:(50)  评论:(0)  加入收藏
笔记本电脑如何设置开机密码
在信息化时代,笔记本电脑已经成为我们工作、学习和生活中不可或缺的工具。然而,与此同时,信息安全问题也日益突出。为了保护个人隐私和重要数据,设置开机密码成为了必不可少的一...【详细内容】
2024-01-30  雨后海棠    Tags:开机密码   点击:(31)  评论:(0)  加入收藏
什么是密钥扩展?如何确保密码安全?
译者 | 陈峻审校 | 重楼为了访问自己的数字账户,我们通常需要用到密码或口令。不过,正如现实生活中开锁的钥匙可能并不总是牢靠一样,并非所有的密码都是安全的。为了加强在线防...【详细内容】
2023-12-22    51CTO  Tags:密码   点击:(89)  评论:(0)  加入收藏
SQL注入漏洞的检测及防御方法
SQL注入(SQL Injection)是一种广泛存在于Web应用程序中的严重安全漏洞,它允许攻击者在不得到授权的情况下访问、修改或删除数据库中的数据。这是一种常见的攻击方式,因此数据库...【详细内容】
2023-12-01  兰花豆说网络安全  微信公众号  Tags:SQL注入   点击:(117)  评论:(0)  加入收藏
网络安全秘籍:打造隐私防护墙,保卫您的个人信息!
随着互联网的普及,越来越多的个人信息被储存在网络上。这些信息包括我们的通讯地址、购物记录、银行账号等,一旦被黑客窃取,后果将不堪设想。那么,如何保护个人隐私免受网络攻击...【详细内容】
2023-11-21  白面知识铺    Tags:网络安全   点击:(199)  评论:(0)  加入收藏
在数字时代,如何确保您的个人数据安全
随着我们生活中越来越多的信息数字化,个人隐私保护成为一个不容忽视的重要话题。无论是网络购物、社交媒体还是在线银行,我们的大量个人数据都在网络上流动。那么,如何保护我们...【详细内容】
2023-10-30  万花筒娱圈    Tags:个人数据   点击:(271)  评论:(0)  加入收藏
密码的末路!谷歌将密钥设为所有用户的默认登录方式
作者丨Carly Page编译丨诺亚近日,谷歌宣布,密钥正在成为所有用户的默认登录方法。因此,密钥也被这家科技巨头吹捧为密码“终结的开始”。密钥是一种防网络钓鱼的密码替代品,允许...【详细内容】
2023-10-19    51CTO  Tags:密钥   点击:(238)  评论:(0)  加入收藏
相关文章
    无相关信息
站内最新
站内热门
站内头条