無密碼身份驗證買家指南

已發表: 2020-09-09

您可能已經有很長時間沒有評估您的用戶身份驗證解決方案了。

畢竟,企業並非每天都在市場上尋找新的用戶身份驗證解決方案。 有些人從未使用過簡單密碼以外的任何東西來驗證他們的用戶。 其他人可能已經部署了傳統的多因素身份驗證解決方案,以解決與身份驗證遠程訪問連接相關的特定安全問題,或響應加強身份驗證的監管要求。 本簡短指南提供了對現代用戶身份驗證方法的最新評論。

Verizon 於 2017 年發布的數據洩露調查報告 (DBIR) 在某種程度上是對用戶身份驗證看法的分水嶺。 該報告披露了 81% 的數據洩露是由密碼洩露造成的,因此成為整個 IT 界的頭條新聞。

這時,許多企業意識到密碼並沒有解決他們的安全問題,反而導致了很多問題,於是他們開始尋找替代的身份驗證選項。 這是無密碼身份驗證從具有前瞻性的企業所追求的利基替代方案轉變為每個人都在談論的事情的時刻。

什麼是無密碼認證?

無密碼身份驗證定義了一類身份驗證解決方案,可在不使用密碼的情況下驗證用戶身份。 身份證明基於唯一識別用戶的其他因素,例如擁有與用戶唯一相關的東西(例如一次性密碼生成器、註冊的移動設備或硬件令牌),或用戶的生物特徵簽名(例如指紋、面部指紋、視網膜掃描等)。 基於用戶知道的東西(即基於知識的身份驗證)的身份驗證也是可能的,只要該東西不是密碼。

4種無密碼認證方式

以下是人們經常選擇的幾種常用的無密碼身份驗證方法:

一次性代碼

一次性代碼發送到已註冊的移動設備或電子郵件地址。 這通常由企業部署以驗證其客戶 (B2C)。 它不太常用於企業身份驗證,即用於對員工進行身份驗證。

生物識別

這種無密碼身份驗證方法已成為驗證用戶移動設備身份的標準,該技術在 Apple Face ID 中的流行實現,指紋身份驗證在最便宜的移動設備上也無處不在。 生物識別技術主要用於對設備本身的用戶進行身份驗證,而較少用於對從設備訪問的資源進行身份驗證。

專用硬件安全令牌

專用硬件安全令牌,通常存儲公鑰基礎設施 (PKI) 憑證。 近年來,像 YubiKeys 這樣的 FIDO 兼容設備越來越受歡迎,作為密碼的高保證用戶身份驗證替代方案。 這些設備提供了良好的安全性,因為它們難以偽造並且需要物理擁有,但它們對於用戶攜帶和使用來說也相當昂貴和麻煩。

附加到主機設備的身份驗證憑據

此憑證(即固定到個人計算機的 PKI 客戶端身份驗證證書)主要用於對員工工作站進行業務網絡和資源的身份驗證。 再次,符合 FIDO 的解決方案越來越受歡迎,最著名的例子是 Microsoft Windows Hello for Business。 Windows Hello 可在較新版本的 Windows 上使用,並將符合 FIDO 的憑據與用戶 PIN 或生物識別打印相結合,以解鎖對憑據的訪問。

多因素身份驗證 (MFA) 與無密碼身份驗證

結合多種形式的身份驗證進行身份驗證會產生多因素身份驗證 (MFA)。 從歷史上看,MFA 被用作提高基於密碼的身份驗證安全性的一種方式。 將密碼(您知道的東西)與專用的密鑰卡或註冊的移動設備(您擁有的東西)一起使用將提供多種身份驗證因素,這些因素更難以進行網絡釣魚、破解或黑客攻擊,因此提供了更高級別的保證。

今天,可以使用多個沒有密碼的身份驗證因素作為因素之一,從而產生無密碼的 MFA。 無密碼 MFA 最常用的身份驗證因素是用戶註冊的移動設備以及通過設備內置指紋傳感器提供的用戶 PIN 或指紋。

評估無密碼身份驗證解決方案時的注意事項

那麼,企業在尋找合適的身份驗證解決方案時應該注意什麼? 購買新的用戶身份驗證解決方案時有很多考慮因素,但最重要的三個是:

身份驗證解決方案是否支持所有用戶身份驗證用例?

最基本的考慮是身份驗證解決方案是否支持用戶在工作日期間遇到的全廣度身份驗證用例。 如果不支持特定用例,則可以使用以下兩個選項之一:保留現有的身份驗證解決方案——通常是簡單的用戶名和密碼——或引入第二個身份驗證解決方案。

恢復為用戶名和密碼違背了投資更好、更安全的身份驗證解決方案的目的,因為這意味著攻擊者仍然可以利用易受攻擊的密碼,從而使業務暴露在外。 它被比作在你的房子周圍建造一堵堅固的牆,並在適當的位置留下一個帶掛鎖的後門入口。

獲得可以處理不受支持的用例的第二個身份驗證解決方案意味著部署另一個解決方案,更重要的是,要求用戶攜帶另一個憑據/身份驗證器。 這是一個昂貴的提議,它還提供了一種可能會讓用戶感到沮喪的體驗。

支持所有用戶身份驗證用例可以為典型企業增加相當多的場景。 常見的企業用例包括:

  • 工作站登錄,包括 Windows 和 Mac 主機,在某些公司中,Linux 也是一個重要的考慮因素。 對於許多身份驗證解決方案而言,這通常是最具挑戰性的用例,因為它需要與操作系統和網絡域管理解決方案進行精細集成。
  • 遠程訪問 VPN 一直是一項主要技術,使移動和遠程員工能夠保持與他們的工作保持聯繫。 有幾種技術在使用,大量供應商提供解決方案。 幸運的是,多年來,已經出現了一套標準來實現與身份驗證系統的直接集成。
  • 即使對於最傳統的企業來說,訪問云應用程序也已成為主流。 雖然已經制定了一些標準來促進企業身份驗證系統和雲服務之間的互操作性,但它們並不是完全成熟的。 競爭標準和對現有標準的頻繁修訂意味著支持對雲服務的訪問一直是一個不斷變化的目標。
  • 離線身份驗證一直是許多身份驗證系統的致命弱點,尤其是多因素身份驗證 (MFA)。 它提出了一項艱鉅的挑戰,因為大多數身份驗證解決方案都是為互聯世界而設計的。 因此,當網絡連接斷開或不可用,並且無法訪問身份驗證服務器時,需要精心設計的解決方法來確保用戶可以繼續對其計算機和本地託管資源進行身份驗證。
  • 丟失的身份驗證器會讓人頭疼,尤其是當它是硬件身份驗證器時。 將替換令牌實際運送給遠程員工既昂貴又耗時。 因此,為了防止長時間停機,針對一些基於硬件的 MFA 解決方案開發了基於軟件的恢復解決方案。

一般來說,現代企業身份驗證解決方案必須是能夠處理各種身份驗證用例的全方位玩家。 尋求能夠很好地解決特定用例的單點解決方案可能會導致需要部署多個身份驗證解決方案,這對用戶來說既昂貴又困難。

身份驗證解決方案是否適用於您已有的解決方案?

對於大多數企業而言,現實情況是,他們通過多年的 IT 投資獲得了各種不同的系統和應用程序組合。 這些系統是一個需要承認的現實,任何新的身份驗證解決方案都需要能夠與已經存在的一切一起工作。 淘汰和替換的方法實在是太痛苦和昂貴了。

因此,應該期望現代身份驗證解決方案旨在支持遺留系統和應用程序並輕鬆與現有 IT 投資集成。 支持現有用戶目錄(例如 Active Directory)、使用遺留系統、與現有身份驗證解決方案一起工作等都應該內置到解決方案中,而不是需要昂貴的定制和集成項目。

還需要使用現有的身份驗證解決方案,例如 USB 令牌、OTP 令牌、FIDO 身份驗證器、移動身份驗證器等。 許多企業已投資於強大的身份驗證解決方案,這意味著幾乎沒有任何未部署其他方法的新機會。 因此,與現有的身份驗證解決方案協調工作,簡化異構身份驗證環境的操作,並提供一種方法來逐步淘汰舊的解決方案並遷移到更現代的解決方案本身就成為一個重要的考慮因素。

該解決方案是否滿足審計員和監管機構的要求?

如今,大多數企業都在受監管的行業中運營,並且在數據保護和用戶身份驗證方面受到嚴格要求。 因此,遵守 PCI DSS、DFARS、HIPAA、SOX/GLBA、PSD2、GDPR 等法規和行業標準是重要的考慮因素,並且通常是投資新用戶身份驗證解決方案的主要驅動力。

無密碼身份驗證的好處

無密碼身份驗證是生活中極少數情況下新解決方案在各個方面都明顯優於的情況之一。 選擇它不需要進行任何權衡或權衡利弊。 與基於密碼的身份驗證解決方案相比,無密碼身份驗證提供更好的安全性、更好的用戶體驗,並且擁有和操作成本更低。

增強用戶體驗

無密碼身份驗證提供更好的用戶體驗,因為用戶無需回憶和鍵入密碼。 這意味著更快的登錄和更少的失敗嘗試。 並且密碼永遠不會忘記或必須重置,這意味著由於丟失或忘記密碼而導致的停機時間更少,並且惡化的情況也更少。

提高整體安全性

用設計良好的無密碼身份驗證解決方案替換易受攻擊的密碼實際上可以提高安全性,因為無密碼可以抵抗網絡釣魚,並且可以更好地防止其他形式的憑據訪問攻擊,包括中間人、鍵盤記錄、憑據填充、密碼噴射等.

從長遠來看它更便宜

與密碼相比,無密碼身份驗證的擁有和操作成本更低。 密碼需要昂貴的管理,因為它們需要支持密碼管理系統以使用戶能夠執行定期密碼刷新和偶爾的密碼重置。

當用戶忘記密碼或丟失身份驗證器並致電幫助台尋求恢復幫助時,密碼也會給幫助台造成很大負擔。 通過關閉為教育用戶和保護他們免受網絡釣魚而實施的網絡釣魚預防計劃,可以進一步節省成本。 精心設計的無密碼身份驗證可防止網絡釣魚。

無密碼身份驗證的挑戰

對於決定部署無密碼身份驗證的企業來說,最大的挑戰通常是他們的遺留系統和應用程序不是為無密碼身份驗證而設計的。 因此,雖然很容易接受無密碼工作場所的願景,但在處理結合了新舊系統的異構 IT 環境時,實現這一目標可能會令人生畏。

一種方法是僅為支持它的系統和應用程序部署無密碼身份驗證。 這通常會轉化為雲應用程序的無密碼身份驗證部署,有時也適用於較新的操作系統(即最新版本的 Windows 10)。 但是實現無密碼實際上是全有或全無的努力:您要么擺脫密碼,要么不擺脫密碼。

因此,要成功地為用戶部署無密碼身份驗證,僅僅確定無密碼是更好、更便宜、更安全的選擇通常是不夠的。 選擇能夠幫助您在現有的異構 IT 環境中部署無密碼並解決所有身份驗證用例的技術非常重要。

無密碼身份驗證解決方案格局

市場上幾乎所有的身份驗證解決方案供應商都聲稱提供無密碼身份驗證。 現有的身份驗證供應商已經調整了他們的 MFA 產品,以允許某些形式的無密碼身份驗證用於某些用例。 較新的身份驗證參與者正在全力以赴無密碼,針對具有現代基礎設施和應用程序的客戶,這些基礎設施和應用程序可以很好地與無密碼工作 - 遺留系統和應用程序被拋在後面。

但是對於大多數企業來說,普遍部署無密碼身份驗證仍然是不可能的,因為仍然有很多系統和應用程序不是為無密碼工作而設計的。 為某些系統保留密碼幾乎無法達到目的,因為要從無密碼中受益,您確實需要擺脫所有密碼。

成功遷移到無密碼身份驗證解決方案需要一個可以跨所有系統和應用程序工作的解決方案,在可能的情況下提供無密碼身份驗證,並在不可能實現無密碼的情況下創建無密碼體驗。 這種方法的好處是,從用戶體驗的角度來看,用戶不必創建、調用或輸入密碼。

從安全角度來看,密碼要么被完全刪除,要么用戶根本不知道,這使得它們能夠抵禦網絡釣魚。 此外,在實現無密碼體驗時,密碼由機器管理,這意味著它們受益於高複雜性和頻繁輪換,這反過來又使它們更能抵抗多種形式的密碼攻擊。