我们如何进入无密码的世界?

除了采用标准和选择身份验证方法外,无密码的未来还有更多

未来是无密码的:这是不可避免的结论,我认为随着我们看到无密码标准变得更加牢固并建立无密码身份验证方法,越来越多的人开始涉足这一领域数量和复杂性不断增长。重要的是要记住,在我们准备进入这个未来的过程中,无密码世界比标准和身份验证方法还重要。还有一些挑战需要考虑。例如,您如何在不使用密码的世界中证明凭证注册的身份?以及如何恢复丢失的凭据?也许最重要的考虑因素之一是如何解决这些挑战,而又不会重生一些最初注定了密码的问题,例如用户的不便,服务台负担以及与密码重置相关的费用。我们必须保持警惕,不要简单地最终以不同但同样繁重的方法代替密码重置。准确地知道我们如何以有意义的方式解决所有这些问题还为时过早。但是现在开始探索还为时过早。让我们潜入。 

在无密码的世界中定义身份意味着什么?

无密码身份验证的主要挑战是建立数字身份-证明用户就是他们所说的身份,并成为用户在数字世界中无论身在何处的身份信任的基础,就像护照或驾驶执照在世界范围内所做的那样。物理世界,不依赖密码。当然,可以使用某些身份验证方法来消除用户在身份验证时出示密码的需求- 生物识别(例如面部识别和指纹ID),基于令牌的身份验证等。但是密码仍然被用作许多方法的基础身份验证方法。如果该想法是消除密码,那么用户首先通过哪种安全方式证明身份才能获得该无密码凭据?我们需要继续努力开发新的方法来建立初始信任,该初始信任将授予用户安全且真正无密码的凭据。  

用户需要恢复凭证时会发生什么?

当我们谈论当今使用的生物识别技术,令牌和其他无密码身份验证方法时,我们常常没有考虑到密码仍然继续充当用户身份验证和凭据恢复的基础机制这一事实。不久前,当我在飞机上丢掉手机时,我既感到困惑又沮丧,意识到为与该设备相关的所有应用程序和帐户重新建立难以置信的高级面部生物特征认证所需要的一切都是-等待它-用户名和密码。在那种情况下,难道没有人得到我的用户名和密码,只是用自己的脸作为生物特征来获得对我帐户的访问权吗?当然可以。关键是,当今任何形式的强身份验证最终都只是一个密码的外观,因此,实际上并没有比该方法背后的密码更强大或更安全的方法。我们所谓的“无密码”实际上并非如此。它仍然是植根于易于窃取和假冒您的东西的系统。而且,如果您不记得您的用户名和密码,几乎任何可以追踪母亲娘家姓(在您堂兄经营的“私人”家族历史网站上)或您的模型的人都容易破坏恢复机制。第一辆车(您自豪地在社交媒体上发布了一张照片)。 

让我们面对现实:在几乎每一种数字身份的情况下,似乎都有一套凭据恢复机制,它们比身份验证方法本身要弱。使用面部识别功能丢失手机了吗?没问题,只需输入您的密码。不记得了吗?只需告诉我们您母亲的娘家姓,我们就会给您起一个新名字。丢失硬件令牌?没问题,只需提供您的Active Directory用户名和密码,我们就会向您发送其他邮件。如果在无密码的世界中进行身份验证将像每个人都希望的那样安全,那么我们必须扭转这种模式,并使恢复机制比身份验证方法本身更安全。也许硬件令牌可以用作移动身份验证器的恢复机制(丢失了您的手机?抓住您的硬件令牌进行身份验证。 

这里提出的问题围绕一个主题:意识的重要性。假设无密码标准和身份验证方法就是全部,我们创建一个无密码的世界是一个错误,并且忽略了一个事实,即使在这些领域中,大多数组织仍然有很多工作要做。考虑现有的和新兴的解决方案已经使我们迈向这个世界,这令人兴奋,但也有必要意识到要弥合的差距和要克服的障碍。在这种情况下,了解我们面临的挑战并思考如何应对这些挑战是通向无密码未来的第一步。

发表评论 / Comment

用心评论~