企业网站的最高形态是综合型网站,谷歌网站怎么做排名,试玩网站设计建设,seo排名查询软件什么是无密码认证#xff1f;
无密码认证是一种新兴的安全技术和身份认证手段#xff0c;是用密码以外的东西验证软件用户身份的过程#xff0c;旨在替代传统的用户账号和密码认证方法#xff0c;提高账号的安全性和用户体验。无密码技术通过生物识别、多因素认证、基于硬…什么是无密码认证
无密码认证是一种新兴的安全技术和身份认证手段是用密码以外的东西验证软件用户身份的过程旨在替代传统的用户账号和密码认证方法提高账号的安全性和用户体验。无密码技术通过生物识别、多因素认证、基于硬件设备的认证等方法来实现身份验证和授权可以减少由于密码泄露、用户的疏忽或恶意攻击等因素导致的安全问题。
无密码身份验证可以降低任何组织的成本和安全风险。在无密码身份验证模型中用户无需输入用户名或电子邮件地址以及密码组成的凭据而是使用另一种方法来验证身份信息。常见的无密码身份验证包括生物识别如面部识别、指纹识别、声纹识别等、短信验证等。无密码技术的最大优势在于解决了密码泄漏这一核心问题。正如谷歌云产品管理总监萨姆·斯里尼瓦斯所解释的那样在不久的将来无密码认证的使用可能会迅速增长。
在现实的生活中其实已经很多手机应用已经开启了无密码验证的应用。例如使用面容或者指纹开机登录APP时也可以选择使用指纹或者短信验证这样用户就可以不用记住繁琐的密码也降低了密码泄露的风险。
Passwordless的类型
传统的系统需要用户输入用户名和密码也就是所谓的What they know来验证用户是谁 而无密码认证需要用户通过What they have[例如移动设备]或者Who they are[例如生物信息的唯一性可以确定一个用户]。以下是几种常用的无密码认证方式
生物信息Biometrics人的很多生物特征都是唯一的例如指纹、人脸或者虹膜等。生物信息认证就是通过这些个人唯一的特征来验证登录的用户就是它所声明的那个用户无需密码。例如人脸完全的可能性是小鱼一万亿分之一的完全可以忽略不计因此人脸识别是一个有效地认证的方式。
魔鬼链接这种系统登录也不需要用户输入密码而是要用户输入一个邮箱系统就会发送一个具备一定随机性的链接到邮箱里通过这个链接用户可以点击直接登录系统。这种方式其实还是和密码密码不能完全脱离关系因为邮箱的认证还是需要密码的一旦邮箱的密码被攻破该系统的登录也就被攻破了。这种方式成本比较低实现起来也比较简单。
OTP/OTC一次性密码(OTP)或一次性代码(OTC)类似于魔法链接但要求用户输入您发送给他们的代码(通过电子邮件或通过SMS发送到他们的移动设备)而不是简单地点击链接。
推送通知英文是Push Notification用户通过专用的身份验证应用程序(例如Google authenticator)在移动设备上收到推送通知并通过推送通知打开应用程序以验证其身份。
硬件令牌如智能卡、安全令牌、近场通信令牌和Rivest-Shamir-Adleman安全令牌是一种在硬件设备中包含证书的人性化方式。这些硬件设备处理身份验证签名过程并保护密钥不被泄露。这种方式成本比较高需要硬件支持还需要有移动的智能卡一旦智能卡丢失也会对安全造成很大的威胁。 无密码验证与多因子验证
MFA多因素身份认证和Passwordless Authentication无密码身份认证都是用于增强身份验证安全性的技术但是它们有一些不同之处。
MFA是一种数字身份认证系统需要用户通过多个身份认证查验点。通常MFA会要求用户输入用户名和密码然后通过其他方式进行额外的身份验证例如发送一次性访问密码到用户的手机或电子邮件或者使用生物特征识别技术如指纹或面部识别。MFA的目的是增加破解密码的难度减少身份被盗用的风险。
无密码验证则不需要用户输入密码来进行身份验证。它通常利用生物特征识别技术或占有因素来进行身份验证例如通过指纹识别或通过向用户的手机发送一次性访问密码或电子邮件链接来进行身份验证。这种方法的优点是用户不需要记住复杂的密码也不需要担心密码被盗用或被破解。
总的来说MFA和无密码验证都是为了提高身份验证的安全性但它们采用的方法不同。MFA采用多个身份认证查验点来增加破解密码的难度而无密码验证则通过利用生物特征识别技术或占有因素来进行身份验证避免了使用密码带来的风险。 无密码验证的优点和好处
无密码验证比使用密码验证带来很多好处。
从用户的角度来说当用户密码设置简单时容易被破解当用户密码设置复杂时又容易忘记经常在重置密码的道路上行进造成不必要的麻烦。启用无密码验证之后用户无需再担心密码泄露也不需要再记住冗长的密码。例如使用短信验证码验证只需要输入手机号获取验证码就可以使用验证码登录。在移动APP上验证码还支持自动填入用户都不需要输入验证码就可以登录了。 这就大大方便了用户提升了用户体验。
从维护系统公司的角度来说可以降低风险。根据Verizon的2021年数据泄露调查报告(DBIR)登录凭证漏洞占所有数据泄露的84%以上。完全消除密码可以降低数据泄露的风险因为它降低了攻击者使用密码(以及经常暴露密码的不安全行为)攻击系统和系统的用户的能力。例如网络犯罪分子经常使用登录凭证填充(使用来自一个网站的用户凭证来访问另一个网站)来攻击该网站因为超过三分之二的人重复使用密码。消除密码消除了网络犯罪分子使用他们在其他地方获得的凭据访问您系统帐户的能力降低了撞库攻击的可能。
由于网络钓鱼占所有数据泄露的36%并且许多都是为了获取用户名和密码而执行的如果他们收到网络钓鱼电子邮件因此消除密码意味着您的用户或员工不会意外地向恶意行为者提供任何可以用来访问其帐户和个人数据的东西也降低了钓鱼攻击的概率。
从维护系统公司的角度来说还可以降低成本。有些公司的系统重置密码可能需要联系管理人员这就给管理人员增加了负担。同时管理系统存储这些密码信息需要消耗一定的存储空间而且需要有人维护和管理这些数据。使用了无密码验证就可以消除存储和维护这些数据的需要【有些无密码验证可能还需要存储一些信息例如指纹和面容等】。
从公司的角度而言如果竞争对手没有提供无密码验证本公司提供了无密码验证可以提高用户体验争取更多的用户。
从预防攻击的角度而言无密码验证可以预防一下攻击
暴力破解无密码身份验证不依赖于人类可读的数据因此更难以猜测。即使是短信验证码有效时间非常有限难以暴力破解或者暴力破解成本很高
撞库攻击由于密码不可再用所以可以预防撞库攻击
Keylogger实现完备的无密码验证是不允许验证码被使用两次的即使Keylogger可以盗取登录凭证由于是一次性的所以盗取了也没有什么用途。 无密码验证的缺点
第一、如果使用生物信息由于生物信息是唯一的而且不能改变的所以很难重置生物信息例如一个人的指纹是不能被重置的。而密码而言重置密码就很灵活。
第二、无密码验证需要一个安全方法保护好验证码如果验证码被泄露再结合个人信息的泄露就可以被不法分子用于做违法的事情。例如短信验证码用于验证用户登录有些人员就利用一些用户对安全知识的认识的不足尝试通过各种方法获取短信验证码通过在线会议共享手机屏幕的方式就可以获取短信验证码。另外如果用户的手机被盗也会导致短信验证码被截取因为手机的短信通知里可以在手机不解锁的情况下看到短信验证码。 无密码认证常见的威胁和预防
第一、OTP太短当使用SMS或者邮件发送短信验证码时发送的验证码太短有时还会遇到四位数字的验证码四位数字组合起来也就10000中情况很容易就被破解。
预防措施: 使用长一些的短信验证码例如6位以上数字。目前手机短信验证码使用的6位数字居多可能是为了用户友好和安全相结合的结果。不过大多手机都可以自动填入手机验证码增加到8位其实也不会给用户带来什么麻烦而且更加安全。
第二、OTP超时时间太长一般一次性密码的长度都不长目前以6位数字为主如果超时时间太长就可能给攻击者机会。虽然6位数字组合起来有100万中可能去掉一些重复的数字再加上生日攻击尝试的次数就会大大降低。曾经渗透测试时遇到一个网站6位验证码的有效时间居然给了10分钟的超时时间。
预防措施: 就是缩短一次性密码的有效时间最长不能大于1分钟。 第三、用户端设备丢失当一个用户的手机丢失时捡到手机的人一旦知道手机号就可以通过手机号去尝试发送OTP目前大多数的市场上的手机如果选择了短信通知的情况下如下图 都可以在不解锁的情况下查看到短信的内容尤其是OTP的短信通知由于短信内容较短一般都可以查看整条消息的内容。
预防措施: 就是非必要尽量不要打开短信通知如下图 第四、手机端恶意软件除了盗窃之外手机端威胁还可能来自包含恶意软件的不安全应用程序、恶意网站或不安全的公共或开放网络等。
预防措施需要教育用户不要随意点击不明来源的链接不要使用公共区域的WIFI网络。 第五、安全错误配置和新的安全漏洞安全配置错误在2019年占所有漏洞的82%这是黑客的一个容易攻击的目标因为他们可以容易地发现和利用这些弱点来窃取数据并在组织中制造混乱。这些错误包括未加密的文件、未打补丁的系统、继续使用默认凭据、未受保护的设备以及弱或不存在的防火墙保护。配置错误的环境还会使组织容易受到恶意软件感染、僵尸网络和勒索软件攻击的影响这可能导致数据泄露和赎金要求、身份欺诈和代价高昂的业务停机等问题。
预防措施通过在整个技术堆栈进行全面的基于风险漏洞评估加上渗透测试、补丁管理和强大的IAM治理来识别和解决这些缺陷是至关重要的。为了防止攻击制定符合企业安全需求的策略和安全基线指导企业应实施安全配置并进行符合性检查。定期使用SCA工具扫描是否使用含有严重CVE漏洞的第三方组件等最好SCA工具可以探测相关CVE是否可以被直接利用这样可以根据是否可以直接利用设置优先级顺序优先升级和测试明显可以被利用的漏洞的组件。
第六、内部威胁来自恶意或疏忽的内奸对各地的组织来说正在成为越来越大的无密码风险。根据Verizon DBIR 2020的数据2019年超过30%的数据泄露涉及内部人员例如现任或前任员工或第三方承包商和供应商。许多内部威胁还源于滥用合法的特权帐户。
预防措施为了降低此类风险至关重要的是采取安全控制措施防止滥用和/或提升特权例如多方授权和将策略执行点分散化以防止IAM策略被篡改。组织还必须确定敏感文件的位置并确定哪些人可以访问数据哪些人不能访问数据。 维护最少特权访问模型、围绕数据安全创建一种文化并遵循零信任原则来保护企业资产变得越来越重要。定期检查敏感数据访问日志及时发现违规行为及时制止。
第七、用户对隐私的关注一些用户在使用个人设备进行无密码身份验证时感到不舒服并担心他们的生物识别数据或上下文数据将被用于侵犯他们的隐私。 对密码的熟悉程度和对无密码身份验证优势的不熟悉也造成了对变革的抵制。
预防措施使用基于零知识证明和无PII原则的无密码身份验证解决方案确实可以在使用个人设备时确保不收集用户数据。
第八、不同地方对信息安全的要求的不同各个国家对网络安全和个人隐私都有专门的法律不同的国家的法律也不尽相同如果一个应用要在全球范围内广泛被使用可能会出现违反当地法律的可能。例如2019年1月21日法国的数据保护监管机构——国家信息与自由委员会CNIL向谷歌开出5000万欧元约合5680万美元的罚单原因是谷歌没能遵守欧洲《通用数据保护条例》GDPR的要求。
预防措施成立合规部门研究各个国家的信息安全法律对于收集个人隐私数据的要求严格按照当地法律实施。在欧洲国家必须要求工作人员咨询审查无密码身份验证解决方案以确保其遵守零知识证明和无PII原则。 无密码认证总结
无密码登录确实给用户带来了很大的方便使用户可以从各种冗长的密码中解脱出来。 但无密码认证给用户带来方便的同时也会带来相应的威胁。在实施无密码认证的时候需要在系统启动开发之初考虑到可能收到的威胁在设计时需要针对相对的威胁设计好预防方案。由于可能存在未被发现的威胁在系统投入使用之后需要时刻关注业界关于无密码认证的攻击事件及时根据相应事件加强系统的预防措施。
了解无密码身份验证的优点和缺点对于帮助组织实现无密码至关重要。知己知彼才能百战不殆在信息安全的领域里也需要做到知己知彼才能正确地预防。 参考
Passwordless Authentication 101 | eSecurity Planet
What is passwordless authentication and how does it work?
What Is Passwordless Authentication?
What is Passwordless Authentication?
7 Passwordless Risks and How to Mitigate Them
The Truth About Passwordless Authentication | OneLogin
