"无密码时代"已经来临!
作者:互联网
与快速变化的技术和网络安全威胁形势相比,身份验证的发展有些缓慢。
软件系统日益增加的复杂性导致需要更安全的身份验证方法。 尽管密码是一种普遍使用的验证方式,它允许用户访问应用程序并在系统中执行操作,但是这种方法始终存在问题。当用户拥有十几个不同的帐户并在一天内从多个位置登录时,很难创建安全的密码并对其进行正确的管理。
可以在无密码的身份验证方法中找到该问题的答案。根据Wakefield Research的一项调查,有69%的组织正在考虑在未来五年内逐步淘汰密码,选择利用无密码身份验证来提高安全性,使员工和客户登录更容易。
无密码身份验证的基础
无密码身份验证模型的思路很简单。用户无需输入由用户名或电子邮件地址以及密码组成的凭据,而是使用另一种方法来验证其身份。这一变化是为了解决密码问题,这一问题阻碍了可靠的安全性、工作流程效率乃至客户保留率。
无密码身份验证包括:
- 生物识别—生物识别登录已经在智能手机和其他设备中使用,由唯一的生物识别符(例如指纹)组成。然而,在生物特征技术改进之前,除非与其他选项结合,否则这可能不是最安全的选择。
- 电子邮件—输入电子邮件地址后,就会向该用户发送一封包含验证链接的电子邮件。单击链接完成身份验证并允许访问。
- 令牌或一次性代码—用户会收到令牌或代码,然后输入网站或应用程序,而不是链接。该代码将附加到会话期间执行的所有操作中,并在用户实时交互时解密,然后在会话终止时销毁该代码。
这些新的身份验证方式消除了对密码的需求以及因密码管理不当造成的潜在安全风险。
无密码身份验证的好处
摆脱常见的身份验证形式来提高安全性似乎有悖常理,但是无密码身份验证确实有可能为您的客户和组织内的用户提高安全性。进行此切换可解决密码安全性方面的常见问题:
- 弱密码
- 密码管理不当
- 临时使用默认设置
- 对多个帐户使用相同的密码
- 没有定期更改密码
其中许多问题都是由 “密码疲劳” 引起的,用户被要求为他们使用的每个网站和应用程序创建密码,并在一天内多次输入这些密码。这通常会导致对密码创建的不重视,并可能威胁系统安全性。
无密码身份验证也更加方便。客户不喜欢在很多个网站上混用账户,往往会放弃那些要求创建另一个帐户的网站。在标准工作流程中,需要登录多个应用程序的员工效率较低,并且如果忘记密码并需要重设密码,任务的执行速度甚至会进一步降低。当不需要密码时,所有用户都可以享受更加无缝的体验。
身份验证演变过程中的密码消除
密码疲劳说明了由于要求用户创建更多帐户而出现弱密码的现象。一段时间后,用户不再关心密码是否安全,将使用任何方式来获得访问权限。这会在您的系统中造成严重的安全问题。密码薄弱,使用默认登录选项和凭据被盗占漏洞总数的63%(Verizon)。甚至一个客户的帐户被黑,您公司存储的所有数据都将受到威胁。跨关键业务应用程序的员工帐户也是如此。
客户保留率也受密码疲劳的影响。75\%的客户在需要重置密码时停止使用服务或网站,30\%的客户因为在结账时需要创建帐户而放弃购买。对于初次使用或只使用一次的客户,这一点尤其值得关注。在流行的购物季节,你可能会失去利润丰厚的销售机会,或者如果你没有其他方法让顾客登录,就会失去那些原本可能成为忠实顾客的顾客。
除了这些注意事项之外,如果满足以下条件,您的组织可以从无密码身份验证中受益:
- 员工密码管理不当
- 由于过多的登录要求,工作遇到瓶颈
- 您的系统网络正在扩展,以包含更多应用程序
- 大量客户在结帐时放弃了购买
- 密码安全问题已经导致了漏洞
在某些情况下,保留使用密码或使用类似多因素身份验证的方法是有意义的。根据公司的需求和网络的独特安全要求来做决定。
认证演进中的无密码模型
如果您决定将无密码身份验证作为安全协议和身份验证演变的一部分,则第一步是研究找到可靠的提供程序。请求供应商提供演示,以查看身份验证流程的工作原理,并获取有关该流程安全性的所有详细信息。
实施详细信息是特定于提供商的,但是您选择的供应商应应该与您一起帮助您设置无密码登录系统。让所有用户(包括员工和客户)都知道您将进行切换,并为新系统的使用提供明确的说明。
一旦建立了无密码身份验证,就可以监视其性能以确定它是否可以提供所需的结果。您应该会看到客户放弃结账的情况有所下降,而员工的工作流程效率却有所提高。
无密码身份验证的兴起可能会带来这样一个时代:在身份验证的过程中,没有任何系统或应用程序需要密码才能访问。 希望能简化工作流程,更新安全性并为遇到密码疲劳的客户提供替代方案的公司可以从切换到无密码模型中获益。由于技术的变化不可避免地带来了新的安全问题,现在是时候让组织采用替代过时的身份验证方法并更新身份管理策略了。
文章来源:
https://www.identitymanagementinstitute.org/the-evolution-of-authentication/
关于我们
「龙归科技」 是一个专注于低代码赋能企业级信息化服务提供商。核心创始人团队来自绿盟安全、红帽开源操作系统、知名游戏玩蟹科技、知名开源社区等专家共同创立。
「龙归科技」 致力于让中国每一个企业拥有专属的自动化办公操作系统,助力企业或政府拥抱 (Cloud Native First)云原生优先战略,帮助客户构筑以「身份与应用」为中心的现代化 IT 基础设施!从而实现 「数字化转型」 及 「软件行业工业化生产」 !
主打产品:ArkOS方舟操作系统:一个企业级办公自动化操作系统 ,结合自研低代码应用开发平台,构建产业生态,专注为各类企业与组织机构打造一体化全栈云原生平台。系统自带应用包括:ArkID 统一身份认证,ArkIDE,ArkPlatform,App Store 等产品。截至目前,公司已经获得 15个 软件著作权、2个发明专利,并与2020年11月份,获得北京海淀区中关村国家高新技术企业认定。
相关链接:
官网:<https://www.longguikeji.com/>;
文档:<https://docs.arkid.longguikeji.com/>;
开源代码仓库地址:
<https://github.com/longguikeji>;
<https://gitee.com/longguikeji>;
历史文章
- 登录的轮子,你还在造?
- 企业级单点登录——信息化体系建设基础
- 远程办公,你准备好了吗?
- 企业信息化,怎样才算数?
- 龙归科技 | 对未来的若干猜测
- 龙归科技 | 企业办公自动化的未来
- 龙归科技 | 软件的成本下降
标签:时代,登录,身份验证,应用程序,用户,密码,客户,来临 来源: https://blog.51cto.com/14685661/2664714