本文来自微信公众号“科技云报到”。
你能想象有一天访问各种应用时,无需再输入复杂密码就能实现各个平台的登录和切换吗?对于经常忘记密码的用户来说,无密码验证可以说是十分省心了。
其实当下无密码技术已经被广泛应用了,包括微软、苹果和Google在内的领先科技厂商都在积极开发一种更先进的无密码登录技术和标准,以实现更高的安全性和保护性。
5月3日,谷歌正式推出Passkey功能,用户可以用所持有的手机、电脑、平板等设备上已有的密码(PIN码、指纹、面部等),来代替谷歌账号的密码。用户需要登录谷歌账号时,只需解锁设备、无需再输入密码或进行二次验证。
此前微软也推出了类似的服务Authenticator,同样可以实现生态内的“无密码登录”,成为替代传统密码验证技术的一个重要标志。
目前,企业面临的最大安全风险之一,就是将不安全的密码技术作为身份验证的主要方法。据2022年《Verizon数据泄露事件报告》数据显示,超过80%的数据泄露是由于被窃取或破解的账户密码所引发,但很多用户并没有意识到潜在的危险。
因此,不管从合规角度,还是业务安全出发,无密码技术作为一种新兴的安全技术和身份认证手段,已成为许多企业和安全厂商研究和推广的重点。
那么,到底哪些身份验证的技术属于无密码技术?目前企业采用无密码技术又有哪些难点呢?
常见的无密码技术
一些无密码验证方式其实在生活中已经有所普及,典型的例子就是面部识别、指纹识别、短信验证等。
无密码身份验证模型的思路很简单。用户无需输入由用户名或电子邮件地址以及密码组成的凭据,而是使用另一种方法来验证身份信息,常见的无密码身份验证包括:
生物识别
生物识别登录已经在智能手机和其他设备中使用,由唯一的生物识别符(例如指纹)组成。然而,在生物特征技术改进之前,除非与其他选项结合,否则这可能不是最安全的选择。
电子邮件
输入电子邮件地址后,就会向该用户发送一封包含验证链接的电子邮件。单击链接完成身份验证并允许访问。
令牌或一次性代码
用户会收到令牌或代码,然后输入网站或应用程序,而不是链接。该代码将附加到会话期间执行的所有操作中,并在用户实时交互时解密,然后在会话终止时销毁该代码。
同传统的密码口令相比较,无密码验证方式在安全性和便捷性上,都要远高于传统复杂密码口令。
从安全层面上说,用户无需在线存储密码,即便黑客入侵用户计算机,也无法轻易进入用户账户。甚至在日常办公场景下,上锁的设备在脱离视线范围之后,用户也无需为信息泄露而担忧。
在工作场景中,不同平台的使用和切换在无密码技术的加持之下,也会大大提高效率。
有调查数据显示,全球员工平均每年花费11个小时输入或重置密码。对于员工数成千上万的大企业,这直接导致生产力损失超多百万美元。
因此,无密码技术作为一种新兴的安全技术和身份认证手段,不仅能大大加强安全问题,也能很大程度上提高用户体验。
无密码验证的问题
实现跨设备、多操作系统、跨浏览器以及生物特征认证方式的支持,无密码验证看似科技满满,从安全性和体验的角度来看,无密码验证还是存在一些限制。
首先,从当下最为普及的指纹和人脸识别技术来看,TouchID和FaceID多年来一直被成功入侵,况且人脸、指纹数据作为独一无二的身份信息,其外泄带来的风险远大于普通账户密码泄露带来的风险。
其次,部分无密码技术将授权存储在云中,基于这种方式下,用户即便更换手机也依旧可以无障碍的登录所有账户。但这种做法的风险是,当云平台被黑客入侵,那么他们将获得授权,用户所有的账户信息容易遭到泄露。
同时,对于企业来说,启用无密码验证,就意味着需要向一些提供技术的厂商打开大门,交出用户私密信息。并且,由于无密码验证是依赖于第三方提供商,如果其中第三方一台服务器出现故障,则在问题解决之前用户可能无法访问帐户。
除此之外,想要在更多企业组织中推广应用无密码技术并不容易。研究人员发现,阻碍无密码登录技术应用的关键因素,并不是技术本身的缺陷或限制,而是由于很多企业中身份和验证管控的现状。
在很多企业中,身份管理和身份验证仍然是相对独立的,而很多广泛使用的应用程序在设计开发时,并没有合理考虑如何支持通行密钥等无密码登录验证新模式。
身份证明(即确定谁是谁)通常是指一个流程,而身份验证则属于访问网络、应用程序或数据资源时,验证访问者身份的合法性与真实性。当仅仅面对公司员工,这一切没问题,但面对需要访问网络资源外部承包商、供应商或机器用户,这个过程就变得比较复杂。
因此,只有消除身份管理和身份验证之间的隔断,无密码技术才有希望真正在更多企业中落地应用。
此外,无密码技术要真正取代传统的密码验证方法,还必须能够广泛适配企业复杂的数字化环境,包括能够兼容各种网站应用、智能手机和桌面应用程序,同时还要支持数量众多的操作系统版本和环境。
这对服务提供商是一个棘手问题,因为这意味着必须在所有这些环境中安全、稳定、便捷地共享使用密钥,要实现这种互操作性并不容易。
同时,面向企业级用户和面向消费者的无密码解决方案,在设计和实施上也会存在巨大差异。
消费级产品主要需求是管理数百万个通行密钥,需要弹性扩展能力以支持这种巨大的工作负载。而企业组织更希望让所有员工能够更安全地在各种设备、浏览器和网站之间实现互操作性,因此需要将密钥与使用者的身份进行强验证和绑定。
新的无密码解决方案
企业通常会在平衡安全性和易用性之间做出权衡,那么是否有一种新的无密码解决方案,可以在增强用户体验的同时确保安全性呢?
目前,分布式数字身份这一概念已经被提出,它也被称为去中心化身份(Decentralized Identity),简称DID。它是将身份注册数据和身份验证相结合,使它们密不可分。
DID分布式数字身份由用户控制,而不是只是向用户质询身份验证因子(密码、PIN或生物特征)。该验证因子与存储在Active Directory或谷歌等身份提供商拥有的中央数据库中所存储的登录信息进行核对。
这种身份和传统的帐号相比的最大好处是可以证明某个东西的发出者。
传统身份容易被盗用,容易根据系统漏洞被仿冒,甚至dba都可以篡改数据库。而DID只要守住自己的私钥,没有对内容签名,全网都可以轻松验假。
因此,相对于传统的的基于PKI的身份体系,基于区块链的DID数字身份系统具有保证数据真实可信、保护用户隐私安全、可移植性强等特征。
举个例子,当用户需要注册或登录网站时,无需输入用户名、电子邮箱、密码之类的口令,只需使用手机中存储的用户DID信息完成与网站DID的双向验证。虽然登陆形式看起来没有发生任何变化,但与传统扫码认证方式不同的是,DID中的身份信息由用户自己掌控。
用户首先通过二维码获得网站DID并进行验证获得公钥,再使用公钥加密请求数据,发送自己的身份信息交由服务器验证,若验证通过,则登陆成功。
通过整个流程可以看出,服务器并不知道用户的口令,而且也无法获得除用户DID文档以外的任何信息,从而有效防止数据泄露,保护用户身份隐私。
再比如,身份认证可以说是DID最基本的应用了,对于有身份识别(KYC)需求的场景,通过提前将多个机构颁发的VC与用户绑定,且锚定到区块链上,凭借密码算法,可进行分布式验证,用户只需获取一次VC,便可随时出示使用。
例如员工入职背景调查,材料在流转过程中极易遭受篡改,且验证手段较为匮乏,若使用DID解决方案,员工可以在链上使用自己的DID标识向学校申请学历(学位)凭证,向前公司申请工作(离职)凭证,现公司只需通过验证接口对上述凭证真实性进行核验,即可快速完成员工的入职背调。
目前,伴随着区块链等可信技术的发展,各大公司、机构已纷纷入局,对分布式数字身份(DID)的实现展开了更深入的研究探索。
结语
毫无疑问,无密码技术应用的时代已到来。但是要构建企业级通行密钥解决方案还需要研究人员继续努力。希望2024年的世界密码日,我们能够迎来传统密码验证技术的真正消亡。