无密码身份验证买家指南

已发表: 2020-09-09

您可能已经有很长时间没有评估您的用户身份验证解决方案了。

毕竟,企业并非每天都在市场上寻找新的用户身份验证解决方案。 有些人从未使用过简单密码以外的任何东西来验证他们的用户。 其他人可能已经部署了传统的多因素身份验证解决方案,以解决与身份验证远程访问连接相关的特定安全问题,或响应加强身份验证的监管要求。 本简短指南提供了对现代用户身份验证方法的最新评论。

Verizon 于 2017 年发布的数据泄露调查报告 (DBIR) 在某种程度上是对用户身份验证看法的分水岭。 该报告披露了 81% 的数据泄露是由密码泄露造成的,因此成为整个 IT 界的头条新闻。

这时,许多企业意识到密码并没有解决他们的安全问题,反而导致了很多问题,于是他们开始寻找替代的身份验证选项。 这是无密码身份验证从具有前瞻性的企业所追求的利基替代方案转变为每个人都在谈论的事情的时刻。

什么是无密码认证?

无密码身份验证定义了一类身份验证解决方案,可在不使用密码的情况下验证用户身份。 身份证明基于唯一识别用户的其他因素,例如拥有与用户唯一相关的东西(例如一次性密码生成器、注册的移动设备或硬件令牌),或用户的生物特征签名(例如指纹、面部指纹、视网膜扫描等)。 基于用户知道的东西(即基于知识的身份验证)的身份验证也是可能的,只要该东西不是密码。

4种无密码认证方式

以下是人们经常选择的几种常用的无密码身份验证方法:

一次性代码

一次性代码发送到已注册的移动设备或电子邮件地址。 这通常由企业部署以验证其客户 (B2C)。 它不太常用于企业身份验证,即用于对员工进行身份验证。

生物识别

这种无密码身份验证方法已成为验证用户移动设备身份的标准,该技术在 Apple Face ID 中的流行实现,指纹身份验证在最便宜的移动设备上也无处不在。 生物识别技术主要用于对设备本身的用户进行身份验证,而较少用于对从设备访问的资源进行身份验证。

专用硬件安全令牌

专用硬件安全令牌,通常存储公钥基础设施 (PKI) 凭证。 近年来,像 YubiKeys 这样的 FIDO 兼容设备越来越受欢迎,作为密码的高保证用户身份验证替代方案。 这些设备提供了良好的安全性,因为它们难以伪造并且需要物理拥有,但它们对于用户携带和使用来说也相当昂贵和麻烦。

附加到主机设备的身份验证凭据

此凭证(即固定到个人计算机的 PKI 客户端身份验证证书)主要用于对员工工作站进行业务网络和资源的身份验证。 再次,符合 FIDO 的解决方案越来越受欢迎,最著名的例子是 Microsoft Windows Hello for Business。 Windows Hello 可在较新版本的 Windows 上使用,并将符合 FIDO 的凭据与用户 PIN 或生物识别打印相结合,以解锁对凭据的访问。

多因素身份验证 (MFA) 与无密码身份验证

结合多种形式的身份验证进行身份验证会产生多因素身份验证 (MFA)。 从历史上看,MFA 被用作提高基于密码的身份验证安全性的一种方式。 将密码(您知道的东西)与专用的密钥卡或注册的移动设备(您拥有的东西)一起使用将提供多种身份验证因素,这些因素更难以进行网络钓鱼、破解或黑客攻击,因此提供了更高级别的保证。

今天,可以使用多个没有密码的身份验证因素作为因素之一,从而产生无密码的 MFA。 无密码 MFA 最常用的身份验证因素是用户注册的移动设备以及通过设备内置指纹传感器提供的用户 PIN 或指纹。

评估无密码身份验证解决方案时的注意事项

那么,企业在寻找合适的身份验证解决方案时应该注意什么? 购买新的用户身份验证解决方案时有很多考虑因素,但最重要的三个是:

身份验证解决方案是否支持所有用户身份验证用例?

最基本的考虑是身份验证解决方案是否支持用户在工作日期间遇到的全广度身份验证用例。 如果不支持特定用例,则可以使用以下两个选项之一:保留现有的身份验证解决方案——通常是简单的用户名和密码——或引入第二个身份验证解决方案。

恢复为用户名和密码违背了投资更好、更安全的身份验证解决方案的目的,因为这意味着攻击者仍然可以利用易受攻击的密码,从而使业务暴露在外。 它被比作在你的房子周围建造一堵坚固的墙,并在适当的位置留下一个带挂锁的后门入口。

获得可以处理不受支持的用例的第二个身份验证解决方案意味着部署另一个解决方案,更重要的是,要求用户携带另一个凭据/身份验证器。 这是一个昂贵的提议,它还提供了一种可能会让用户感到沮丧的体验。

支持所有用户身份验证用例可以为典型企业增加相当多的场景。 常见的企业用例包括:

  • 工作站登录,包括 Windows 和 Mac 主机,在某些公司中,Linux 也是一个重要的考虑因素。 对于许多身份验证解决方案而言,这通常是最具挑战性的用例,因为它需要与操作系统和网络域管理解决方案进行精细集成。
  • 远程访问 VPN 一直是一项主要技术,使移动和远程员工能够保持与他们的工作保持联系。 有几种技术在使用,大量供应商提供解决方案。 幸运的是,多年来,已经出现了一套标准来实现与身份验证系统的直接集成。
  • 即使对于最传统的企业来说,访问云应用程序也已成为主流。 虽然已经制定了一些标准来促进企业身份验证系统和云服务之间的互操作性,但它们并不是完全成熟的。 竞争标准和对现有标准的频繁修订意味着支持对云服务的访问一直是一个不断变化的目标。
  • 离线身份验证一直是许多身份验证系统的致命弱点,尤其是多因素身份验证 (MFA)。 它提出了一项艰巨的挑战,因为大多数身份验证解决方案都是为互联世界而设计的。 因此,当网络连接断开或不可用,并且无法访问身份验证服务器时,需要精心设计的解决方法来确保用户可以继续对其计算机和本地托管资源进行身份验证。
  • 丢失的身份验证器会让人头疼,尤其是当它是硬件身份验证器时。 将替换令牌实际运送给远程员工既昂贵又耗时。 因此,为了防止长时间停机,针对一些基于硬件的 MFA 解决方案开发了基于软件的恢复解决方案。

一般来说,现代企业身份验证解决方案必须是能够处理各种身份验证用例的全方位玩家。 寻求能够很好地解决特定用例的单点解决方案可能会导致需要部署多个身份验证解决方案,这对用户来说既昂贵又困难。

身份验证解决方案是否适用于您已有的解决方案?

对于大多数企业而言,现实情况是,他们通过多年的 IT 投资获得了各种不同的系统和应用程序组合。 这些系统是一个需要承认的现实,任何新的身份验证解决方案都需要能够与已经存在的一切一起工作。 淘汰和替换的方法实在是太痛苦和昂贵了。

因此,应该期望现代身份验证解决方案旨在支持遗留系统和应用程序并轻松与现有 IT 投资集成。 支持现有用户目录(例如 Active Directory)、使用遗留系统、与现有身份验证解决方案一起工作等都应该内置到解决方案中,而不是需要昂贵的定制和集成项目。

还需要使用现有的身份验证解决方案,例如 USB 令牌、OTP 令牌、FIDO 身份验证器、移动身份验证器等。 许多企业已投资于强大的身份验证解决方案,这意味着几乎没有任何未部署其他方法的新机会。 因此,与现有的身份验证解决方案协调工作,简化异构身份验证环境的操作,并提供一种方法来逐步淘汰旧的解决方案并迁移到更现代的解决方案本身就成为一个重要的考虑因素。

该解决方案是否满足审计员和监管机构的要求?

如今,大多数企业都在受监管的行业中运营,并且在数据保护和用户身份验证方面受到严格要求。 因此,遵守 PCI DSS、DFARS、HIPAA、SOX/GLBA、PSD2、GDPR 等法规和行业标准是重要的考虑因素,并且通常是投资新用户身份验证解决方案的主要驱动力。

无密码身份验证的好处

无密码身份验证是生活中极少数情况下新解决方案在各个方面都明显优于的情况之一。 选择它不需要进行任何权衡或权衡利弊。 与基于密码的身份验证解决方案相比,无密码身份验证提供更好的安全性、更好的用户体验,并且拥有和操作成本更低。

增强用户体验

无密码身份验证提供更好的用户体验,因为用户无需回忆和键入密码。 这意味着更快的登录和更少的失败尝试。 并且密码永远不会忘记或必须重置,这意味着由于丢失或忘记密码而导致的停机时间更少,并且恶化的情况也更少。

提高整体安全性

用设计良好的无密码身份验证解决方案替换易受攻击的密码实际上可以提高安全性,因为无密码可以抵抗网络钓鱼,并且可以更好地防止其他形式的凭据访问攻击,包括中间人、键盘记录、凭据填充、密码喷射等.

从长远来看它更便宜

与密码相比,无密码身份验证的拥有和操作成本更低。 密码需要昂贵的管理,因为它们需要支持密码管理系统以使用户能够执行定期密码刷新和偶尔的密码重置。

当用户忘记密码或丢失身份验证器并致电帮助台寻求恢复帮助时,密码也会给帮助台造成很大负担。 通过关闭为教育用户和保护他们免受网络钓鱼而实施的网络钓鱼预防计划,可以进一步节省成本。 精心设计的无密码身份验证可防止网络钓鱼。

无密码身份验证的挑战

对于决定部署无密码身份验证的企业来说,最大的挑战通常是他们的遗留系统和应用程序不是为无密码身份验证而设计的。 因此,虽然很容易接受无密码工作场所的愿景,但在处理结合了新旧系统的异构 IT 环境时,实现这一目标可能会令人生畏。

一种方法是仅为支持它的系统和应用程序部署无密码身份验证。 这通常会转化为云应用程序的无密码身份验证部署,有时也适用于较新的操作系统(即最新版本的 Windows 10)。 但是实现无密码实际上是全有或全无的努力:您要么摆脱密码,要么不摆脱密码。

因此,要成功地为用户部署无密码身份验证,仅仅确定无密码是更好、更便宜、更安全的选择通常是不够的。 选择能够帮助您在现有的异构 IT 环境中部署无密码并解决所有身份验证用例的技术非常重要。

无密码身份验证解决方案格局

市场上几乎所有的身份验证解决方案供应商都声称提供无密码身份验证。 现有的身份验证供应商已经调整了他们的 MFA 产品,以允许某些形式的无密码身份验证用于某些用例。 较新的身份验证参与者正在全力以赴无密码,针对具有现代基础设施和应用程序的客户,这些基础设施和应用程序可以很好地与无密码工作 - 遗留系统和应用程序被抛在后面。

但是对于大多数企业来说,普遍部署无密码身份验证仍然是不可能的,因为仍然有很多系统和应用程序不是为无密码工作而设计的。 为某些系统保留密码几乎无法达到目的,因为要从无密码中受益,您确实需要摆脱所有密码。

成功迁移到无密码身份验证解决方案需要一个可以跨所有系统和应用程序工作的解决方案,在可能的情况下提供无密码身份验证,并在不可能实现无密码的情况下创建无密码体验。 这种方法的好处是,从用户体验的角度来看,用户不必创建、调用或输入密码。

从安全角度来看,密码要么被完全删除,要么用户根本不知道,这使得它们能够抵御网络钓鱼。 此外,在实现无密码体验时,密码由机器管理,这意味着它们受益于高复杂性和频繁轮换,这反过来又使它们更能抵抗多种形式的密码攻击。