行业新闻与博客

企业和面向消费者的组织都应该考虑放弃密码，转而采用更安全、更便捷的身份验证形式。

这是身份验证专家在 2024 年欧洲信息安全大会上发表的观点。

现在，普通企业用户或消费者需要记住的密码数量之多不仅带来了实际困难，还带来了安全风险。总有危险，有人会“把密码写在餐巾纸上”，或将其存储在在线文档中。

PA Consulting 首席顾问 Raul Zeppenfeldt 表示：“身份验证是少数几个高度依赖用户的控制之一。这是一个你无法控制的根本缺陷。”

此外，即使是强密码也可能被破解；随着量子计算等新技术的出现，这种风险只会增加。

Trainline 安全运营主管 Parul Khedwal 表示：“没人能记住他们使用的 40 个应用程序的 40 个密码。这不仅关乎便利，也关乎安全。”

转向多因素身份验证 (MFA) 将改善情况，但 Khedwal 认为无密码身份验证是提高安全性的最佳方式。这也是它在敏感领域（例如银行应用）被采用的原因之一。

“这是最重要的。银行应用程序数据、企业数据是无密码的关键用例，”她说。“大多数银行应用程序已经取消了密码。”相反，他们使用生物识别或无密码身份验证。

数字消费

随着数字系统的使用增加，改进身份验证的需求变得更加迫切。

这意味着要设置并记住更多密码。这也意味着更多威胁：犯罪黑客会利用身份验证，尤其是弱密码，来获取敏感数据或企业系统的访问权限。

Zeppenfeldt 表示，多达 90% 的违规行为都可以追溯到密码泄露。取消密码既可以降低风险，又可以减少密码重置等服务的开销。

Zeppenfeldt 发现人们对零信任以及无密码认证的兴趣日益浓厚。 

他说：“零信任原则假设密码会被猜到。”

相反，零信任等架构适用于行为模式，例如用户在一天中不寻常的时间或正常工作时间之外访问系统。“它正在从静态安全转向自适应安全，”Zeppenfeldt 解释道。

在 Trainline，Khedwal 同意需要一种新方法。即使是 MFA 也容易受到高级攻击，窃取令牌或一次性密码并重新运行。“你需要第二层来使它整体上更安全，”她说。

防止用户疲劳

放弃密码，甚至 MFA，也有助于解决用户疲劳问题。Zeppenfeldt 警告说，即使是高级身份验证方法也可能成为“肌肉记忆”。

无密码系统即使达不到完全零信任环境的水平，也能提高便利性和安全性。CISO 应将 FIDO 模型或 Web 3.0 技术等方法作为未来身份验证系统的基础。

泽彭费尔特补充道，这也应该可以防范新出现的威胁，包括人工智能和潜在的量子计算系统，这些系统可能会在几年内破坏常见的加密和身份验证方法。