“无密码登录”需要走出死胡同

为了保护应用和数据的安全，我们每个人都在使用十多个甚至近百个密码。如果用户需要记住数百个用户名和密码组合，还要定期更改，他们往往会重复使用相同的组合。这使得网络犯罪分子更容易得逞，Verizon最近的《数据泄露调查报告》就发现，61%的泄露涉及登录信息泄露。

将基于密码的身份验证换成无密码登录验证（使用生物特征等因子来实现验证）被认为是有效应对近期网络攻击激增的解决方案，人们期待无密码技术带来易用性、安全性和广泛性等多维度的变革，让使用者获得更好的使用体验和安全防护。可是据一项最新调查显示，目前近50%的受访企业未采用过无密码登录技术，22%的企业组织不相信该技术的实际应用效果。无密码登录这项新兴技术的落地应用似乎走进了“死胡同”。

研究人员发现，阻碍无密码登录技术应用的关键因素并不是由于技术的限制或缺陷，而是由于企业中身份和验证管控的现状。很多企业中，身份管理（证明）和身份验证仍然是相对独立的，而很多广泛使用的应用程序在设计开发时，并没有合理考虑如何支持无密码登录。

身份证明和身份验证常常被混淆，但两者是独立的概念。身份证明（即确定谁是谁）通常是指一个流程，而身份验证则属于访问网络、应用程序或数据资源时，验证访问者身份的合法性与真实性。

身份证明通常是组织入职流程的一部分：新员工凭借为其ID所拍的照片，收到第一个密码——这通常由人力资源部门或该部门在IT人员的协助下来处理。人力资源部门负责手动验证那些新员工的真实身份，通过外貌相似或验证政府颁发的ID来验证。仅仅面对公司员工，这一切没问题，但面对需要访问网络资源外部承包商、供应商或机器用户，这个过程就变得比较复杂。

身份证明需要根据政府颁发的文件和生物特征来验证某人的身份，这个流程对于身份验证过程至关重要。但一旦注册系统或应用程序的工作完成，证明身份的流程仍与身份验证工作流程分开来。每当用户登录到受保护的资源或应用系统，他都需要接受某种身份验证（比如密码、PIN或生物特征）的质询，而这种验证不再与用户的实际身份相关联。

比如说，现在的生物特征验证仍然不能取代密码，尽管它降低了用户登录系统的复杂性，但是如果密码被盗，网络犯罪分子仍然可以绕过生物特征验证系统。此外，如果生物特征信息存储在身份验证数据库中，它们也会成为黑客攻击的高危目标。

无密码验证是一种解决身份安全、隐私和用户体验等问题的有效办法。但是，只有借助有效的技术手段，以解决身份证明和身份验证之间的隔断，无密码验证才有希望真正落地应用。

分布式数字身份这一概念已经被提出，它将身份注册数据和身份验证相结合，使它们密不可分。分布式数字身份由用户控制，而不是只是向用户质询身份验证因子（密码、PIN或生物特征），该验证因子与存储在Active Directory或谷歌等身份提供商拥有的中央数据库中所存储的登录信息进行核对。比如说，FIDO2和NIST将私钥存储在安全飞地/可信平台模块（TPM）芯片中，只有实时生物特征与注册时获取的生物特征相匹配，才能访问私钥。其他方法将用户的私钥存储在加密的区块链中，增添了安全系数。

参考链接：

https://www.darkreading.com/operations/why-passwordless-is-at-an-impasse

声明：本文来自安全牛，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。