无密码的悖论

安全与不安全 目录 密码的问题 密码的问题 无论您如何分割，密码都会带来可用性和安全性问题。它们是我们已经麻木的公认不便，并且它们有两个主要缺点： 密码对用户不友好 普通人有100多个密码1，而且这个数字只会继续增加。随着员工和客户拥有比以往更多的密码来跟踪，他们的挫败感也只会继续增长。 虽然短而简单的密码很容易记住，但它们很弱，很容易被破解。组织以安全的名义迫使用户创建长而复杂的密码。但是所有这些都使用户更加沮丧，同时也增加了他们在多个网站上重复使用相同密码的可能性。 密码不安全 为什么？70％的人在各个网站上使用相同的用户名和密码，这很容易成为犯罪分子的目标2。如果凭据通过网络钓鱼或蛮力攻击而被破坏，黑客可能会尝试在其他地方重复使用这些相同的用户名和密码组合。在暗网论坛上流通着超过150亿个被破坏的凭据3，难怪80%的违规涉及蛮力攻击或使用丢失或被盗的凭证4. 没有密码意味着什么？ 是时候无通行证 无密码有两个主要阶段： 1.使用更少的密码：通过单点登录(SSO)减少密码占用空间。SSO通过减少用户必须管理的凭据总量以及他们必须登录的频率来减少攻击面。然后，通过多因素身份验证（MFA）加强密码安全性。最后，使用更强大，更方便的身份验证选项（例如生物识别，推送通知或QR码）替换密码。 到2025年，超过50％的员工和超过20％的客户身份验证交易将无密码，而目前这一比例不到10％。5 2.完全摆脱密码：最终，您的组织的目标是使用户能够注册帐户而无需使用密码。这可能涉及在初始注册期间使用数字ID打样，然后使用基于标准的方法，例如FIDO在这种情况下，用户可以通过生物识别因素（例如自拍或指纹扫描）以及他们的移动设备来创建与他们的身份紧密绑定的帐户，而无需创建密码。 我们已经确定密码是错误的。然而，尽管它们有缺点，密码仍然无处不在。采用无密码身份验证可以解决密码的固有问题，从而提供更强的安全性和更好的用户体验。 1.AdamRowe“研究显示普通人有100个密码”Tech.co，2021年11月9日；来源2.格里菲斯，埃里克，“停止在多个网站上使用相同的密码！不，真的”PCMag，2021年9月21日；来源3.从曝光到收购：允许账户收购的150亿被盗凭证，数字阴影，2020;来源4.Verizon 2020数据泄露调查报告；来源5.Gartner，“采取3个步骤实现无密码认证”；来源 EBOOK 无密码的好处 无密码为客户带来的好处 减少客户流失 创建和跟踪多个不同密码的挫败感对企业来说是有代价的。59％的消费者放弃了帐户或在线体验，因为登录过程太令人沮丧6。无密码提高了客户参与度，降低了放弃率，并最终推动更高的收入。事实上，客户正在逐渐转向无密码：46%的消费者表示他们更喜欢提供密码替代方案的网站，53%的消费者表示使用MFA登录网站或服务时感觉更好。7 46%53%客户热身到无密码 利用客户熟悉的生物识别方法 通过客户已经熟悉的媒体提供无密码身份验证，例如在智能手机上进行生物识别登录，企业可以使在线访问无缝和安全，以进一步提高客户体验。 消除密码重播风险 无密码也会使利用密码的攻击过时，例如凭证填充和其他类型的暴力攻击。 6.Ping身份，“平衡行为：通过便利和安全赢得信任”；来源7.PingIdentity，“2021年消费者调查：品牌忠诚度在登录中获得”；来源 EBOOK 无密码对员工的好处 提高生产率和节约成本 在员工身份方面，密码对组织来说非常昂贵。为了说明，平均而言，每年因密码重置而丢失11个小时，每天花费12分钟进入和重置 密码8，33%的IT部门票证与密码有关9。对于拥有15, 000名员工的公司，每个组织的生产力损失估计成本平均每年为520万美元10花费更少的时间输入和重置密码意味着更高的员工生产力和更小的压力帮助办公桌。 降低数据泄露风险 密码也会增加您的违规风险。凭据填充攻击会影响在多个在线帐户中重复使用其登录凭据的用户。这些类型的攻击最多可以在2％的时间内成功12。这个统计数据似乎没有那么大威胁，但是如果你有1000名员工或客户，并且依赖密码，它可以转化为多达20个受损帐户。采用无密码的组织 借助Ironclad网络钓鱼攻击保护(FIDO)增强安全性 员工的身份验证将大大降低其安全风险，并提高员工的生产率和满意度。 鉴于80％的违规行为涉及蛮力攻击或凭据丢失或被盗11，无密码的安全好处再明显不过了。尽管有许多不同的无密码方案可供选择-所有这些方案都将极大地改善您的安全状况- FIDO身份验证是抵御网络钓鱼攻击的最佳防御。 数据泄露的平均成本为424万美元。 底线： 完全接受无密码认证符合所有组织的最大利益。通过向客户提供无密码认证，企业可以改善用户体验，减少放弃，并改善同样，为员工采用无密码身份验证的组织将大大降低其安全风险，并提高员工的生产率和满意度。 为什么是我们还在使用密码吗？ 为什么我们还在使用密码？ 以下是Ping Identity采访了600位IT领导者的最新无密码调查的一些统计数据： •100％的受访者表示，他们认识到Passwordless的好处，BUT•没有密码计划的人中有83％承认这是因为他们的组织不确定如何实施,AND•33％的人说缺乏经验是采用的障碍 其含义很明显：尽管大多数组织都希望追求无密码，并充分认识到其好处，但采用率仍然很低，因为许多组织根本不知道从哪里开始。 这是由于常见的采用障碍和没有标准化蓝图的事实，因为每个组织都是不同的，需要自己独特的定制方法。 采用路障 遗留应用程序和技术债务 对改变的恐惧 各种用户场景 对于无密码没有一刀切的方法。每个组织都是不同的，不同的用户通常必须以不同的方式进行身份验证。不同的用户场景和用例集合，加上缺乏开箱即用、即插即用的无密码解决方案，可能会阻止无密码的采用。 当今的许多企业仍然依赖于围绕密码构建的遗留系统、应用程序和注册流： 继续使用密码与预先存在的传统基础设施是阻力最小的路径。 所有相关利益攸关方往往缺乏关于无密码益处的教育。 由于关键的日常操作是在这个传统的基础架构上运行的，因此将它们重新布线为无密码，并有可能停机是一项高风险的工作。 许多遗留应用程序不使用开放标准，这是无密码身份验证所必需的。 兼容性问题也阻碍了采用无密码解决方案。组织需要充分的信心，他们的系统将与无密码解决方案兼容。这是一个重大障碍，阻碍了采用无密码解决方案的下一个障碍。 无密码之旅 无密码之旅 Ping Identity为组织开发了以下分阶段方法，以实现其无密码的愿景。组织可以跳过或重新排序步骤，以满足其特定的应用程序、用户和业务需求。 阶段1：集中式身份验证 无密码旅程的第一步是集中SSO和MFA。这将集中和标准化所有应用程序的身份验证，提供一致的用户体验，并为您提供一个方便的控制平面，以确定用户可以访问哪些应用程序。更高级的部署还将引入风险信号，以促进更灵活的自适应身份验证。 目标: •通过SSO减少密码占用空间•使用MFA加强密码安全性•在身份验证机构上集中SSO和MFA•添加基于风险的MFA EBOOK 这个阶段有两个后续的用例： 带有风险信号的基于策略的身份验证 扩展会话 这种无密码场景是基于策略的，并引入了风险信号，以促进更灵活的自适应身份验证。类似于以前的场景，用户可以登录并具有基于某些策略的扩展会话。但是，在这种场景下，风险信号也分层并在后台无形地运行以持续对用户的会话进行身份验证。 用户在管理员预定的时间间隔使用用户名和密码登录，只要他们展示正常的使用和行为模式。在扩展会话期间，用户体验是无密码的，只需要用户名和MFA进行身份验证。 此场景在MFA提示之间为用户提供了较少摩擦的无密码体验，同时还显着限制了风险。 因此，只有当风险升高或在高价值交易期间才会提示用户使用MFA。与扩展会话相比，基于策略的身份验证通过更少的MFA提示为用户提供更多无摩擦的体验，而不会影响安全性。 EBOOK 阶段2：逐步淘汰密码 一旦你有了这些基本的构建块，你就可以开始专注于使用更强大和更方便的身份验证因素来替换密码。下面页面上的场景要求用户最初使用密码注册一次。注册后，用户可以在没有密码的情况下登录应用程序和服务。 目标: •用更强大和方便的方法替换密码•所有登录在初始注册后都是无密码的 电子邮件魔术链接 用户名+MFA 逐步淘汰密码的第一步是实现用户名加MFA。用户最初只需注册一次密码，从那时起就可以主要通过MFA进行身份验证。 减少密码使用的另一种方法是通过电子邮件魔术链接。系统会向用户提示用户名表单，然后向用户显示一条消息，即他们已收到一封电子邮件，其中包含指向他们要访问的资源的链接。一旦用户单击收件箱中的链接，这就完成了身份验证流程，然后授予他们对资源的访问权限。 注册后，用户填写用户名表单，然后从认证机构之前看到的其已知，可信和预注册设备之一提示额外的认证因素。第二个因素可以是基于应用的一次性密码(OTP)、生物特征扫描或推送通知。这通过从认证流中消除密码来增强安全性并减少摩擦。 到目前为止，它尚未在劳动力环境中广泛采用，并且严格意义上是客户身份用例。 QR码 同样严格地作为客户使用案例，QR码可以通过利用用户的智能手机摄像头来促进跨设备的快速无摩擦认证，从而节省时间并减少挫败感。当对可公开访问的设备（如信息亭）或具有有限控件选项的设备（如电视）进行身份验证时，QR码身份验证特别有用。通过QR码进行身份验证既无用户名又无密码，并且可以基于应用程序或无应用程序： 基于应用的QR码 基于应用程序的QR码使用户能够以最小的摩擦利用他们的移动设备作为身份验证器。用户可以通过直接从他们已经在智能手机上登录的相同提供商的应用程序中扫描QR码来访问新设备上的客户应用程序。 以以下为例：用户已经在智能手机上登录了他们最喜欢的流媒体服务，并希望在他们的新智能电视上访问相同的服务。出现两个登录选项：1）使用两个设置登录凭证或2）使用QR码登录。他们可以简单地从已经登录的流媒体服务应用程序中扫描电视屏幕上的QR码，而不是通过点击电视遥控器输入用户名和密码的艰苦过程用户登录信息的无用户名和无密码传输从一个设备中继到另一个设备，立即将他们登录到他们的电视上。 无密码悖论19 无AppQR码 使用无应用程序QR码，体验相似，但不同之处在于用户不必在手机上安装应用程序。相反，他们可以导航到电视上的流媒体服务，并直接从手机摄像头扫描电视屏幕上的QR码，以通过手机的浏览器访问该服务。为此，用户必须已经在手机上和流媒体服务上启用了无密码身份验证。 这些用例中的每一个都将“您知道的东西”（密码）替换为“您拥有的东西”（智能手机）和/或“您是的东西” （生物识别）提供无缝登录体验，完全绕过任何用户名或密码。它们还可以防止用户成为密码重放攻击的受害者的风险。 阶段3：采用基于FIDO的生物特征认证 Fast Identity Online (FIDO)是关于生物特征数据如何存储在用户设备上的开放标准。 FIDO允许用户在本地进行身份验证通过将用户设备与特定应用程序和网站配对,无需共享凭据。 FIDO完全消除了网络钓鱼攻击的任何风险。网络钓鱼攻击旨在通过将用户路由到虚假网站来窃取凭据，但是使用FIDO，虚假网站上的任何身份验证尝试都将自动失败，因为该网站从未与用户的设备配对。 目标: •通过fido和公钥加密实现更好的安全性•生物识别数据驻留在设备上•网络钓鱼攻击已过时 FIDO设备(平台) FIDO安全密钥 平台身份验证器包含绑定到单个用户设备的嵌入式加密密钥。尝试访问该设备或该设备上注册的应用程序或站点的用户将被提示使用生物识别因素，例如指纹 FIDO安全密钥也称为跨平台身份验证器，是通过USB插入用户设备的外部硬件设备，例如YubiKey。访问注册站点时，会提示用户使