2020年1月,世界经济论坛发布《无密码身份认证:安全数字化转型的下一个突破》报告。在最新一期赛迪译丛中,赛迪智库信息化与软件产业研究所对报告进行了编译。
报告认为,在世界数字化转型的背景下,可信的数字身份成为经济与政治、企业与国家的共同目标。报告从平台经济的角度,研究了应用无密码身份认证系统以改善用户体验、增强互操作性、提高安全性以及解决密码管理安全和欺诈风险的框架。报告提出了面部生物识别、硬件密钥、动态二维码认证、行为分析认证和零知识证明五种无密码身份验证的技术。
一、身份认证在数字化转型中的重要性
1、身份认证实践的演变
身份认证通常包括三种类型的基础要素:
类型1:我们所知道的东西,例如口令、密码或个人识别码。
类型2:我们的所有物,例如警卫制服、信用卡或手机。
类型3:我们自身与生俱来的特征,例如我们的身高、面容、指纹或DNA。
如今,越来越多的安全公司引入额外因素对以上三种类型进行补充,例如可以利用基于行为的信息、地理位置,甚至用户的个人关系等,来进一步提高结果的准确性,这些因素通常不能单独使用。
2、身份认证是数字业务的关键推动力
过时的身份认证系统会导致安全盲点和漏洞,黑客利用这些安全隐患可以访问公司网络的核心部分。
现代的身份认证系统不仅仅是从安全角度来看必不可少,而且是关键的数字化驱动器。它使移动性更加无缝,减少了用户摩擦,从而改善客户和员工的体验,并可以提高运营效率及法规遵从性。
3、平台经济改变了身份认证的环境
表1显示了2008年与2018年全球前十大企业排行榜对比情况,平台企业数量明显增加。
尽管平台经济正日益推动企业估值和业务增长,但数字化不信任感的加剧侵蚀了整个在线社区的信心:用户对透露过多个人信息持谨慎态度;平台担心丢失用户个人身份信息;当系统和客户信息受到损害时,全球化企业会面临罚款及承担声誉和收入损失等风险。
对此,这将导致引领平台经济的服务提供商陷入困境。其中包括数字社区生态系统的平台创建者,以及云、移动和其他技术及基础架构提供商。同时,这些服务商正是最有可能打破僵局并引导(而不是滞后)重新设计用户身份认证的组织,将为平台经济提供更强大、更简单的身份认证,其主要推动力如图2所示。
二、面向未来的身份认证系统框架
安全性
隐私性
可持续性
包容性
可扩展性
用户体验
三、无密码身份认证的案例
1、增加收入,降低成本
提高员工生产力和客户评级
调查显示,全球员工平均每年花费11个小时输入或重置密码。对于平均拥有15000名员工的公司,这直接导致生产力损失520万美元。对此,虽然过渡到无密码的生态系统会产生一定的成本,但仅通过提高生产力就可以迅速抵消这些成本。
使用FIDO联盟开发的标准(该标准允许大部分身份认证在用户端执行),可以显著简化密码管理。系统管理员和呼叫中心运营商在与员工和客户联系时将有更好的体验,这将间接提高公司声誉和客户评级。
降低数据泄露的防控成本
80%的数据泄露事件涉及弱密码或被盗密码,29%的网络攻击利用的是后者。2019年,全球数据泄露的平均成本为392万美元,比上年增长1.5%。如果没有密码可以推断或窃取,那么罪犯访问和窃取数据的能力将会被严重削弱。
此外,密码散列也会被犯罪分子利用,在没有认证服务器强加限制的情况下,他们可以对其进行暴力破解。从风险管理的角度,这意味着过渡到无密码身份认证将使公司可以把数据泄露风险相关的预算削减4/5,相当于降低了网络保险费。
节省密码重置费用
对于IT部门和呼叫中心,公司平均花费2.5个月来重置内部密码。IT服务台所有呼叫中,20%至50%与密码重置有关,单个重置的成本估计在30到70.18美元之间。
2、改善用户体验
提升体验经济
体验日益比价格更为重要,有86%的客户愿意为更人性化的体验付费。这意味着,如果平台的身份认证体验不佳,则某些客户会选择服务质量较差但身份认证体验更好的平台。
减少规则数量
当用户被迫记忆100多个证明信息和密码时,他们自然会寻找办法减轻负担,比如重复使用密码、选择弱密码或者在手机、电子邮件地址或键盘下方记录密码,10个最常用的密码如表2所示。
更好的用户体验意味着身份认证系统能够得到合其初衷的使用:减少规则数量,提高用户认可度,进而反过来提高安全性。
增强适用性
无密码身份认证以客户为中心,利用快速便捷的解决方案,依靠许多人每天使用的相同设备(例如智能手机),无密码验证技术可以在任何地方适用。
3、互操作性释放价值
互操作性提升可扩展性
标准使互操作性成为可能。2019年3月,由万维网联盟(W3C)开发的FIDO联盟的 “FIDO2” 标准已成为Web标准。
这种身份认证利用了公钥加密技术,即可以与任何人共享的公共密钥。所有者在其设备(例如手机、计算机或安全密钥)上的“身份认证器”中安全地持有关联私钥。
互操作性提供更多选择
服务和技术提供商可以按照通用标准开发解决方案——包括Web开发人员可以轻松利用的公共API,从而消除了对密码的依赖。FIDO通过已建立的认证程序实现互操作性,该程序已完成650多种产品的一致性和互操作性测试。
除标准之外,还有许多其他流程可以帮助实现企业环境内无密码身份认证扩展框架的快速实施,包括供应商评估、用户体验建设、内部用户教育、路线图以及从现有解决方案调整到改善登录流程的迁移。
互操作性允许扩展市场
互操作性使新用户可以访问某些服务,它允许现有用户进行更多交易,还允许数字服务为他们的用户提供新的交易方式。
举例来看,欧盟的《通用数据保护条例》(简称GDPR)等法规会影响为欧洲用户服务的企业,无论企业本身在何处注册。无密码身份认证使遵守此类国际法规变得更加容易,利于企业在不同地区扩展数字业务。
4、密码更少,安全性更高
减少企业的攻击面
公司过渡到无密码解决方案时,其不需要出于身份认证目的而存储任何个人信息,大大减少了遭受数据泄露的风险。在用户侧实施身份认证程序,不会在互联网上传输任何个人信息,从而使中间人攻击变得不可能。
增强终端用户安全性
使用无密码的身份认证解决方案,没有任何密码可供网络罪犯从平台服务器中窃取,没有公司储存的信息可能被黑客利用来推断或暴力破解密码,因此可以更好地保护用户。
隐式多因素身份认证
大多数无密码身份认证都同时利用生物特征以及特定的设备或应用程序(例如与用户绑定的身份认证器):这是两个不同的身份认证因素,它们提供的保证比单个共享机密要强得多。
例如,与输入密码后短信息服务SMS发送的一次性密码不同,无密码身份认证解决方案是无摩擦的,因此比以往任何时候都更快地促进了多因素身份认证的采用。
遏制网络经济犯罪
银行或Uber帐户的登入证明信息在暗网上以7美元甚至更低的价格出售,此类交易产生的收入助长了网络犯罪和恐怖活动。因此,替换密码会增加有组织犯罪集团的成本,影响地下网络犯罪经济,降低其利润,从而打压实施网络犯罪的动机。
四、可供使用的五种关键无密码技术
使用面部生物识别技术进行身份认证
在在线服务上创建新帐户时,用户会上传其身份证明信息,应用程序将身份证明上的用户照片与拍照者进行比较。通过使用面部生物特征进行认证,用户不再需要将密码与其帐户关联。
硬件密钥提供额外的安全性
在最近的一项研究评估中,Google将密码身份认证的标准与安全密钥、基于智能手机的一次性密码(OTP)生成器以及通过SMS进行的两步验证(2SV)进行了比较,发现安全密钥提供了最强的安全性,同时还提供了可用性和可部署性的最佳组合。
安全密钥的形式多种多样,它们可以是驻留在用户钥匙串中的小型USB、NFC或蓝牙设备,也可以内置在用户手机中,在用户需要登录新设备时进行安全身份认证。此处的共同要素是,进行身份认证时,设备必须同时在物理空间上存在于本地。
用户体验优先的二维码认证
复杂的动态二维码(简称QR)也可以用于无密码身份认证。登录的用户使用智能设备扫描QR码,将会话绑定到他们的用户身份。然后确认消息会显示在设备上的应用程序中,验证身份并触发生物识别扫描,以确认用户身份。最后,将经过身份认证的会话传递给信任方,用户进而成功登录。
行为分析无缝认证
行为分析认证使用不可识别但对于个人而言独特的因素来确认身份。用户可能看不到密码登录,但是他们将在后台使用各种因素进行身份认证,例如从鼠标移动到打字速度和习惯,登录历史记录,网络详细信息(例如IP地址),使用的浏览器等不可识别的行为属性。
尽管这些无法识别的因素中的单独一个都不足以验证身份,但是当它们组合成一个安全网格时,身份认证既安全又不可见。
零知识证明的密码认证
零知识证明(ZKP)身份认证过程可以将密码转换为复杂且唯一的抽象字符串,例如具有完全随机模式的魔方。该抽象形式被传输到服务器并存储。
这种方式的挑战在于,通过生成与魔方模型相匹配的一系列随机序列,来证明客户端上的魔方多维数据集与服务器上的多维数据集相同。这样,整个模型就永远不会转移,但是用户仍然有高度可能性证明两个模型是相同的。主要优点之一是验证者无法从身份认证过程中了解任何信息。
译自:Passwordless Authentication: The next breakthrough in secure digital transformation
完整版译丛:
赛迪译丛:《无密码认证:安全数字转换的下一个突破》请点击
链接:https://pan.baidu.com/s/11OlJ4Q7ZlQmebmTzsbis6A
提取码:49ue
声明:本文来自中国电子信息产业发展研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
