行業新聞與博客

企業和麪向消費者的組織都應該考慮放棄密碼，轉而採用更安全、更便捷的身份驗證形式。

這是身份驗證專家在 2024 年歐洲信息安全大會上發表的觀點。

現在，普通企業用户或消費者需要記住的密碼數量之多不僅帶來了實際困難，還帶來了安全風險。總有危險，有人會“把密碼寫在餐巾紙上”，或將其存儲在在線文檔中。

PA Consulting 首席顧問 Raul Zeppenfeldt 表示：“身份驗證是少數幾個高度依賴用户的控制之一。這是一個你無法控制的根本缺陷。”

此外，即使是強密碼也可能被破解；隨着量子計算等新技術的出現，這種風險只會增加。

Trainline 安全運營主管 Parul Khedwal 表示：“沒人能記住他們使用的 40 個應用程序的 40 個密碼。這不僅關乎便利，也關乎安全。”

轉向多因素身份驗證 (MFA) 將改善情況，但 Khedwal 認為無密碼身份驗證是提高安全性的最佳方式。這也是它在敏感領域（例如銀行應用）被採用的原因之一。

“這是最重要的。銀行應用程序數據、企業數據是無密碼的關鍵用例，”她説。“大多數銀行應用程序已經取消了密碼。”相反，他們使用生物識別或無密碼身份驗證。

數字消費

隨着數字系統的使用增加，改進身份驗證的需求變得更加迫切。

這意味着要設置並記住更多密碼。這也意味着更多威脅：犯罪黑客會利用身份驗證，尤其是弱密碼，來獲取敏感數據或企業系統的訪問權限。

Zeppenfeldt 表示，多達 90% 的違規行為都可以追溯到密碼泄露。取消密碼既可以降低風險，又可以減少密碼重置等服務的開銷。

Zeppenfeldt 發現人們對零信任以及無密碼認證的興趣日益濃厚。 

他説：“零信任原則假設密碼會被猜到。”

相反，零信任等架構適用於行為模式，例如用户在一天中不尋常的時間或正常工作時間之外訪問系統。“它正在從靜態安全轉向自適應安全，”Zeppenfeldt 解釋道。

在 Trainline，Khedwal 同意需要一種新方法。即使是 MFA 也容易受到高級攻擊，竊取令牌或一次性密碼並重新運行。“你需要第二層來使它整體上更安全，”她説。

防止用户疲勞

放棄密碼，甚至 MFA，也有助於解決用户疲勞問題。Zeppenfeldt 警告説，即使是高級身份驗證方法也可能成為“肌肉記憶”。

無密碼系統即使達不到完全零信任環境的水平，也能提高便利性和安全性。CISO 應將 FIDO 模型或 Web 3.0 技術等方法作為未來身份驗證系統的基礎。

澤彭費爾特補充道，這也應該可以防範新出現的威脅，包括人工智能和潛在的量子計算系統，這些系統可能會在幾年內破壞常見的加密和身份驗證方法。