作者:Tom Jermoluk
來源:企業(yè)網(wǎng)D1Net
企業(yè)面臨的最大安全風險之一是大量使用密碼作為不同應用程序的主要身份驗證方法。在采用密碼技術之后,很多企業(yè)和個人都認為密碼是保護系統(tǒng)和敏感數(shù)據(jù)訪問安全的可靠方式。然而如今,這種身份驗證形式背后的缺陷非常明顯:它們不僅造成虛假的安全感,并在企業(yè)防御體系中留下重大漏洞。
因此,許多企業(yè)開始向“無密碼”技術過渡。但是,對于無密碼身份驗證的確切分類仍然存在一些混淆。一些聲稱屬于該類別的解決方案只是幫助用戶保存并輸入密碼,或者將其替換為同樣不安全的措施,例如一次性密碼。
了解無密碼解決方案的真正構(gòu)成是企業(yè)邁向更安全未來的第一步,也是消除困擾用戶的挫折感和耗時流程的第一步,用戶只需通過這些過程來驗證他們的身份。
密碼背后的風險
獲取密碼是犯罪分子侵入商業(yè)網(wǎng)絡和消費者賬戶的最常見方式之一。事實上,Verizon公司發(fā)布的2021數(shù)據(jù)泄露調(diào)查報告發(fā)現(xiàn),去年61%的泄露事件涉及登錄憑據(jù),目前已經(jīng)被盜或入侵的帳戶超過110億個。
根本的缺陷是密碼是一個“共享秘密”,這意味著人們都知道輸入并存儲了密碼。這些密碼由應用程序存儲在數(shù)據(jù)庫中,使其成為網(wǎng)絡犯罪分子的主要目標。密碼成為用戶的代理標識,用戶通常會選擇與他們生活中的某些事情相關的密碼,其中包括姓名和重要日期,以便于記憶。但這使得網(wǎng)絡攻擊者更容易猜測他們的密碼并獲取敏感數(shù)據(jù)。
近年來,犯罪分子比以往任何時候都更成功地欺騙目標以提供其各種帳戶的登錄詳細信息。他們創(chuàng)建了模仿真實網(wǎng)站的虛假網(wǎng)站,可以竊取用戶名和密碼,然后登錄其模仿的網(wǎng)站。他們還設計了在用戶設備上運行的惡意軟件,并在用戶輸入密碼時竊取憑據(jù)。如果密碼用于多個帳戶,則盜取這個密碼就可以進入多個系統(tǒng)。由于用戶經(jīng)常使用容易猜到的密碼,例如他們最喜歡的足球隊或電影角色,網(wǎng)絡攻擊者可以簡單地使用暴力破解技術,將流行的密碼系統(tǒng)地輸入登錄頁面以獲得訪問權(quán)限。
雖然一些用戶遵循了專家的建議并在密碼生成器的幫助下選擇了更復雜的密碼,但他們?nèi)匀幻媾R風險,因為前面提到的技術(網(wǎng)絡釣魚站點和憑據(jù)盜竊惡意軟件)根本不在乎密碼是4個字符長還是400個字符。
即使是安全存儲密碼的密碼管理器也不是可靠的解決方案。當網(wǎng)絡釣魚電子郵件進入收件箱并且密碼管理器自動將密碼提交到虛假網(wǎng)絡時,網(wǎng)絡犯罪分子會仍然占據(jù)上風。這些方法讓用戶和企業(yè)認為它們比實際更安全。歸根結(jié)底,依賴于“共享秘密”的身份驗證可能并且將會被黑客入侵。
了解替代方案
鑒于密碼的相關缺點、它們給用戶帶來的麻煩以及企業(yè)所承受的安全風險和管理開銷(從密碼重置到帳戶恢復),應該尋找更簡化、更安全的方法來驗證用戶及其身份戰(zhàn)略安全優(yōu)先事項。
但是在考慮“無密碼”的替代方案時,仍然應謹慎行事。任何使用共享秘密的方法都可能被黑客入侵。以多因素身份驗證(MFA)的形式為密碼添加另一種保護措施帶來了挑戰(zhàn)。除了它為用戶創(chuàng)建的額外的、通常不方便的步驟之外,傳統(tǒng)的多因素身份驗證(MFA)方法仍然依賴密碼作為初始安全檢查措施,因此安全鏈中的弱點并沒有被消除。
網(wǎng)絡犯罪分子可以通過中間人或端點攻擊劫持密碼和多因素身份驗證(MFA)代碼,然后啟動惡意會話。任何依賴于可能被盜的多個因素的多因素身份驗證(MFA)解決方案都不夠安全,無法擊敗網(wǎng)絡攻擊者。
真正的無密碼方法既消除了密碼固有的安全風險,也消除了依賴密碼或其他形式的共享機密的傳統(tǒng)多因素身份驗證(MFA)方法。一個合理的方法是從登錄流程、應用程序數(shù)據(jù)庫和帳戶恢復流程中消除密碼,并采用本質(zhì)上安全的東西代替它。替換密碼最可靠的方法是使用經(jīng)過驗證的公共/私有密碼,這樣就不會交換共享秘密。這與用于以TLS形式保護互聯(lián)網(wǎng)上的金融交易的方法相同。傳輸層安全(TLS)由瀏覽器中的鎖定圖標指示,證明用戶正在與合法服務器進行通信,并且他們正在通過安全/專用通道進行通信。TLS使用公鑰/私鑰加密來驗證服務器并設置安全通信通道。
基于公鑰/私鑰加密的無密碼身份驗證將私鑰安全地存儲在用戶設備本身上。最安全的解決方案將密鑰存儲在專用硬件中,并且可在現(xiàn)代設備(電腦、手機和平板電腦)上使用,因此私鑰永遠不會離開設備,并且對所有各方都是未知的。公鑰可用于用戶希望訪問的應用程序,但不能用于訪問系統(tǒng)。在登錄期間,使用私鑰簽名的證書被發(fā)送到服務器,在那里公鑰用于驗證證書是否由關聯(lián)的私鑰簽名,從而在沒有任何共享的秘密的情況下自信地驗證用戶。甚至用戶都不知道私鑰,因此沒有任何可以記錄和意外丟失或傳遞的內(nèi)容。
結(jié)論
憑據(jù)泄露帶來的風險是當今企業(yè)面臨的最主要威脅之一。隨著越來越多的IT和安全領導者意識到并修復密碼造成的安全漏洞,人們更有可能防范意圖入侵企業(yè)和竊取數(shù)據(jù)的網(wǎng)絡犯罪分子。
采用無密碼技術替換舊的解決方案是加強企業(yè)防御措施以及消除用戶在驗證過程中感到沮喪的基本方法。無密碼的好處已經(jīng)得到認可,更多的企業(yè)如今將走向更安全的未來,需要迅速邁向一個永遠不必要求用戶創(chuàng)建密碼的世界。