為了保護(hù)應(yīng)用和數(shù)據(jù)的安全,我們每個(gè)人都在使用十多個(gè)甚至近百個(gè)密碼。如果用戶需要記住數(shù)百個(gè)用戶名和密碼組合,還要定期更改,他們往往會(huì)重復(fù)使用相同的組合。這使得網(wǎng)絡(luò)犯罪分子更容易得逞,Verizon最近的《數(shù)據(jù)泄露調(diào)查報(bào)告》就發(fā)現(xiàn),61%的泄露涉及登錄信息泄露。
將基于密碼的身份驗(yàn)證換成無(wú)密碼登錄驗(yàn)證(使用生物特征等因子來(lái)實(shí)現(xiàn)驗(yàn)證)被認(rèn)為是有效應(yīng)對(duì)近期網(wǎng)絡(luò)攻擊激增的解決方案,人們期待無(wú)密碼技術(shù)帶來(lái)易用性、安全性和廣泛性等多維度的變革,讓使用者獲得更好的使用體驗(yàn)和安全防護(hù)。可是據(jù)一項(xiàng)最新調(diào)查顯示,目前近50%的受訪企業(yè)未采用過(guò)無(wú)密碼登錄技術(shù),22%的企業(yè)組織不相信該技術(shù)的實(shí)際應(yīng)用效果。無(wú)密碼登錄這項(xiàng)新興技術(shù)的落地應(yīng)用似乎走進(jìn)了“死胡同”。
研究人員發(fā)現(xiàn),阻礙無(wú)密碼登錄技術(shù)應(yīng)用的關(guān)鍵因素并不是由于技術(shù)的限制或缺陷,而是由于企業(yè)中身份和驗(yàn)證管控的現(xiàn)狀。很多企業(yè)中,身份管理(證明)和身份驗(yàn)證仍然是相對(duì)獨(dú)立的,而很多廣泛使用的應(yīng)用程序在設(shè)計(jì)開(kāi)發(fā)時(shí),并沒(méi)有合理考慮如何支持無(wú)密碼登錄。
身份證明和身份驗(yàn)證常常被混淆,但兩者是獨(dú)立的概念。身份證明(即確定誰(shuí)是誰(shuí))通常是指一個(gè)流程,而身份驗(yàn)證則屬于訪問(wèn)網(wǎng)絡(luò)、應(yīng)用程序或數(shù)據(jù)資源時(shí),驗(yàn)證訪問(wèn)者身份的合法性與真實(shí)性。
身份證明通常是組織入職流程的一部分:新員工憑借為其ID所拍的照片,收到第一個(gè)密碼——這通常由人力資源部門(mén)或該部門(mén)在IT人員的協(xié)助下來(lái)處理。人力資源部門(mén)負(fù)責(zé)手動(dòng)驗(yàn)證那些新員工的真實(shí)身份,通過(guò)外貌相似或驗(yàn)證政府頒發(fā)的ID來(lái)驗(yàn)證。僅僅面對(duì)公司員工,這一切沒(méi)問(wèn)題,但面對(duì)需要訪問(wèn)網(wǎng)絡(luò)資源外部承包商、供應(yīng)商或機(jī)器用戶,這個(gè)過(guò)程就變得比較復(fù)雜。
身份證明需要根據(jù)政府頒發(fā)的文件和生物特征來(lái)驗(yàn)證某人的身份,這個(gè)流程對(duì)于身份驗(yàn)證過(guò)程至關(guān)重要。但一旦注冊(cè)系統(tǒng)或應(yīng)用程序的工作完成,證明身份的流程仍與身份驗(yàn)證工作流程分開(kāi)來(lái)。每當(dāng)用戶登錄到受保護(hù)的資源或應(yīng)用系統(tǒng),他都需要接受某種身份驗(yàn)證(比如密碼、PIN或生物特征)的質(zhì)詢,而這種驗(yàn)證不再與用戶的實(shí)際身份相關(guān)聯(lián)。
比如說(shuō),現(xiàn)在的生物特征驗(yàn)證仍然不能取代密碼,盡管它降低了用戶登錄系統(tǒng)的復(fù)雜性,但是如果密碼被盜,網(wǎng)絡(luò)犯罪分子仍然可以繞過(guò)生物特征驗(yàn)證系統(tǒng)。此外,如果生物特征信息存儲(chǔ)在身份驗(yàn)證數(shù)據(jù)庫(kù)中,它們也會(huì)成為黑客攻擊的高危目標(biāo)。
無(wú)密碼驗(yàn)證是一種解決身份安全、隱私和用戶體驗(yàn)等問(wèn)題的有效辦法。但是,只有借助有效的技術(shù)手段,以解決身份證明和身份驗(yàn)證之間的隔斷,無(wú)密碼驗(yàn)證才有希望真正落地應(yīng)用。
分布式數(shù)字身份這一概念已經(jīng)被提出,它將身份注冊(cè)數(shù)據(jù)和身份驗(yàn)證相結(jié)合,使它們密不可分。分布式數(shù)字身份由用戶控制,而不是只是向用戶質(zhì)詢身份驗(yàn)證因子(密碼、PIN或生物特征),該驗(yàn)證因子與存儲(chǔ)在Active Directory或谷歌等身份提供商擁有的中央數(shù)據(jù)庫(kù)中所存儲(chǔ)的登錄信息進(jìn)行核對(duì)。比如說(shuō),F(xiàn)IDO2和NIST將私鑰存儲(chǔ)在安全飛地/可信平臺(tái)模塊(TPM)芯片中,只有實(shí)時(shí)生物特征與注冊(cè)時(shí)獲取的生物特征相匹配,才能訪問(wèn)私鑰。其他方法將用戶的私鑰存儲(chǔ)在加密的區(qū)塊鏈中,增添了安全系數(shù)。