0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

科技云报道:为什么说无密码技术是身份认证的未来?

科技云报到 来源:jf_60444065 作者:jf_60444065 2023-05-17 15:55 次阅读

科技云报道原创

你能想象有一天访问各种应用时,无需再输入复杂密码就能实现各个平台的登录和切换吗?对于经常忘记密码的用户来说,无密码验证可以说是十分省心了。

其实当下无密码技术已经被广泛应用了,包括微软、苹果和Google在内的领先科技厂商都在积极开发一种更先进的无密码登录技术和标准,以实现更高的安全性和保护性。

5月3日,谷歌正式推出Passkey功能,用户可以用所持有的手机电脑、平板等设备上已有的密码(PIN码、指纹、面部等),来代替谷歌账号的密码。用户需要登录谷歌账号时,只需解锁设备、无需再输入密码或进行二次验证。

此前微软也推出了类似的服务Authenticator,同样可以实现生态内的“无密码登录”,成为替代传统密码验证技术的一个重要标志。

目前,企业面临的最大安全风险之一,就是将不安全的密码技术作为身份验证的主要方法。据2022年《Verizon数据泄露事件报告》数据显示,超过80%的数据泄露是由于被窃取或破解的账户密码所引发,但很多用户并没有意识到潜在的危险。

因此,不管从合规角度,还是业务安全出发,无密码技术作为一种新兴的安全技术和身份认证手段,已成为许多企业和安全厂商研究和推广的重点。

那么,到底哪些身份验证的技术属于无密码技术?目前企业采用无密码技术又有哪些难点呢?

常见的无密码技术

一些无密码验证方式其实在生活中已经有所普及,典型的例子就是面部识别、指纹识别、短信验证等。

无密码身份验证模型的思路很简单。用户无需输入由用户名或电子邮件地址以及密码组成的凭据,而是使用另一种方法来验证身份信息,常见的无密码身份验证包括:

生物识别

生物识别登录已经在智能手机和其他设备中使用,由唯一的生物识别符(例如指纹)组成。然而,在生物特征技术改进之前,除非与其他选项结合,否则这可能不是最安全的选择。

电子邮件

输入电子邮件地址后,就会向该用户发送一封包含验证链接的电子邮件。单击链接完成身份验证并允许访问。

令牌或一次性代码

用户会收到令牌或代码,然后输入网站或应用程序,而不是链接。该代码将附加到会话期间执行的所有操作中,并在用户实时交互时解密,然后在会话终止时销毁该代码。

同传统的密码口令相比较,无密码验证方式在安全性和便捷性上,都要远高于传统复杂密码口令。

从安全层面上说,用户无需在线存储密码,即便黑客入侵用户计算机,也无法轻易进入用户账户。甚至在日常办公场景下,上锁的设备在脱离视线范围之后,用户也无需为信息泄露而担忧。

在工作场景中,不同平台的使用和切换在无密码技术的加持之下,也会大大提高效率。

有调查数据显示,全球员工平均每年花费11个小时输入或重置密码。对于员工数成千上万的大企业,这直接导致生产力损失超多百万美元。

因此,无密码技术作为一种新兴的安全技术和身份认证手段,不仅能大大加强安全问题,也能很大程度上提高用户体验。

无密码验证的问题

实现跨设备、多操作系统、跨浏览器以及生物特征认证方式的支持,无密码验证看似科技满满,从安全性和体验的角度来看,无密码验证还是存在一些限制。

首先,从当下最为普及的指纹和人脸识别技术来看,TouchID和FaceID多年来一直被成功入侵,况且人脸、指纹数据作为独一无二的身份信息,其外泄带来的风险远大于普通账户密码泄露带来的风险。

其次,部分无密码技术将授权存储在云中,基于这种方式下,用户即便更换手机也依旧可以无障碍的登录所有账户。但这种做法的风险是,当云平台被黑客入侵,那么他们将获得授权,用户所有的账户信息容易遭到泄露。

同时,对于企业来说,启用无密码验证,就意味着需要向一些提供技术的厂商打开大门,交出用户私密信息。并且,由于无密码验证是依赖于第三方提供商,如果其中第三方一台服务器出现故障,则在问题解决之前用户可能无法访问帐户。

除此之外,想要在更多企业组织中推广应用无密码技术并不容易。研究人员发现,阻碍无密码登录技术应用的关键因素,并不是技术本身的缺陷或限制,而是由于很多企业中身份和验证管控的现状。

在很多企业中,身份管理和身份验证仍然是相对独立的,而很多广泛使用的应用程序在设计开发时,并没有合理考虑如何支持通行密钥等无密码登录验证新模式。

身份证明(即确定谁是谁)通常是指一个流程,而身份验证则属于访问网络、应用程序或数据资源时,验证访问者身份的合法性与真实性。当仅仅面对公司员工,这一切没问题,但面对需要访问网络资源外部承包商、供应商或机器用户,这个过程就变得比较复杂。

因此,只有消除身份管理和身份验证之间的隔断,无密码技术才有希望真正在更多企业中落地应用。

此外,无密码技术要真正取代传统的密码验证方法,还必须能够广泛适配企业复杂的数字化环境,包括能够兼容各种网站应用、智能手机和桌面应用程序,同时还要支持数量众多的操作系统版本和环境。

这对服务提供商是一个棘手问题,因为这意味着必须在所有这些环境中安全、稳定、便捷地共享使用密钥,要实现这种互操作性并不容易。

同时,面向企业级用户和面向消费者的无密码解决方案,在设计和实施上也会存在巨大差异。

消费级产品主要需求是管理数百万个通行密钥,需要弹性扩展能力以支持这种巨大的工作负载。而企业组织更希望让所有员工能够更安全地在各种设备、浏览器和网站之间实现互操作性,因此需要将密钥与使用者的身份进行强验证和绑定。

新的无密码解决方案

企业通常会在平衡安全性和易用性之间做出权衡,那么是否有一种新的无密码解决方案,可以在增强用户体验的同时确保安全性呢?

目前,分布式数字身份这一概念已经被提出,它也被称为去中心化身份(Decentralized Identity),简称DID。它是将身份注册数据和身份验证相结合,使它们密不可分。

DID分布式数字身份由用户控制,而不是只是向用户质询身份验证因子(密码、PIN或生物特征)。该验证因子与存储在Active Directory或谷歌等身份提供商拥有的中央数据库中所存储的登录信息进行核对。

这种身份和传统的帐号相比的最大好处是可以证明某个东西的发出者。

传统身份容易被盗用,容易根据系统漏洞被仿冒,甚至dba都可以篡改数据库。而DID只要守住自己的私钥,没有对内容签名,全网都可以轻松验假。

因此,相对于传统的的基于PKI的身份体系,基于区块链的DID数字身份系统具有保证数据真实可信、保护用户隐私安全、可移植性强等特征。

举个例子,当用户需要注册或登录网站时,无需输入用户名、电子邮箱、密码之类的口令,只需使用手机中存储的用户DID信息完成与网站DID的双向验证。虽然登陆形式看起来没有发生任何变化,但与传统扫码认证方式不同的是,DID中的身份信息由用户自己掌控。

用户首先通过二维码获得网站DID并进行验证获得公钥,再使用公钥加密请求数据,发送自己的身份信息交由服务器验证,若验证通过,则登陆成功。

通过整个流程可以看出,服务器并不知道用户的口令,而且也无法获得除用户DID文档以外的任何信息,从而有效防止数据泄露,保护用户身份隐私。

再比如,身份认证可以说是DID最基本的应用了,对于有身份识别(KYC)需求的场景,通过提前将多个机构颁发的VC与用户绑定,且锚定到区块链上,凭借密码算法,可进行分布式验证,用户只需获取一次VC,便可随时出示使用。

例如员工入职背景调查,材料在流转过程中极易遭受篡改,且验证手段较为匮乏,若使用DID解决方案,员工可以在链上使用自己的DID标识向学校申请学历(学位)凭证,向前公司申请工作(离职)凭证,现公司只需通过验证接口对上述凭证真实性进行核验,即可快速完成员工的入职背调。

目前,伴随着区块链等可信技术的发展,各大公司、机构已纷纷入局,对分布式数字身份(DID)的实现展开了更深入的研究探索。

结语

毫无疑问,无密码技术应用的时代已到来。但是要构建企业级通行密钥解决方案还需要研究人员继续努力。希望2024年的世界密码日,我们能够迎来传统密码验证技术的真正消亡。

【关于科技云报道】

专注于原创的企业级内容行家——科技云报道。成立于2015年,是前沿企业级IT领域Top10媒体。获工信部权威认可,可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域

审核编辑黄宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • DID
    DID
    +关注

    关注

    0

    文章

    9

    浏览量

    11108
  • 分布式
    +关注

    关注

    1

    文章

    899

    浏览量

    74507
收藏 人收藏

    评论

    相关推荐

    紫光同芯亮相2024年电子认证技术交流会

    应用》演讲,分享抗量子密码算法技术在电子认证领域的最新研究成果,并与业界专家一起探索抗量子密码算法的未来应用场景。
    的头像 发表于 12-23 09:27 230次阅读

    身份解码读卡模组CSYJM-6U嵌入式身份证读卡模组

    本帖最后由 jf_14920171 于 2024-12-19 14:04 编辑 1 技术参数 · 通讯接口:全速USB2.0,HID协议接口· 读卡协议:支持ISO/IEC 14443A
    发表于 12-19 13:58

    显示屏频闪认证办理

    显示屏频闪认证是确保显示屏产品在使用过程中不会产生对人眼有害的频闪现象的重要认证之一。频闪认证主要由德国莱茵TUV(以下简称“TUV莱茵
    的头像 发表于 11-25 11:53 181次阅读
    显示屏<b class='flag-5'>无</b>频闪<b class='flag-5'>认证</b>办理

    二代身份证识别仪身份证阅读器读卡器

    居民身份证阅读器通用技术要求》GA 467 2013 《居民身份证验证安全控制模块接口技术规范》GA/T 1011-2012 《居民身份证指
    发表于 09-07 15:09

    调用服务认证体系

    一、介绍 基于鸿蒙Next实现应用的认证注册流程。二、场景需求 用户注册模块: 邮箱/手机号验证: 密码设置: 个人信息填写: 用户登录模块: 邮箱/手机号与密码登录: 用户输入注册时的邮箱/手机号
    发表于 09-05 09:39

    身份解码模块嵌入式身份证读卡器 (CSYJM-3)

    身份解码模块(CSYJM-3)产品使用说明书 一、产品外观及说明 身份证读卡板高度集成化读卡板是在上一代基础上进行的优化和改进,外观简洁。采用USBhid标准接口即插即用,无需安装驱动。 二
    发表于 09-04 14:57

    芯盾时代参与《零信任体系身份认证与访问控制技术规范》标准编写会议

    日前,《零信任体系身份认证与访问控制技术规范》标准参编单位首次集体会议在北京成功举办。来自芯盾时代、中国电子科技集团公司第十五研究所、北京邮电大学等牵头和参编单位的专家代表参加了会议。
    的头像 发表于 08-28 09:39 541次阅读

    恩智浦半导体获得商用密码安全芯片产品认证证书

    恩智浦半导体宣布,其安全NFC解决方案 SN300获得国家密码管理局商用密码检测中心(以下简称商用密码检测中心)颁发的商用密码安全芯片产品认证
    的头像 发表于 08-27 09:16 1136次阅读

    全民认证斩获2024数字身份创新应用大赛一等奖

    2024年5月22-23日,由公安部第一研究所、国家信息中心、多维身份识别与可信认证技术国家工程研究中心指导,数字身份创新应用大赛组委会主办,中关村安信网络
    的头像 发表于 05-29 09:07 514次阅读
    全民<b class='flag-5'>认证</b>斩获2024数字<b class='flag-5'>身份</b>创新应用大赛一等奖

    身份统一管理创新与优化|华为 OneAccess 应用身份管理服务的 2023 年

    2023 年,随着计算、物联网、人工智能等技术的快速发展,企业面临着数字化转型的巨大挑战与机遇。身份统一管理是企业数字化转型的基础,也是业务发展的关键。如何高效、安全、灵活地实现身份
    的头像 发表于 04-07 15:14 752次阅读

    龙芯浏览器V3通过《商用密码产品认证证书》二级认证

    近日,龙芯浏览器的最新版本V3获得国家密码管理局商用密码检测中心颁发的《商用密码产品认证证书》二级认证,标志着该产品在安全能力和应用水准方面
    的头像 发表于 04-07 14:20 742次阅读
    龙芯浏览器V3通过《商用<b class='flag-5'>密码</b>产品<b class='flag-5'>认证</b>证书》二级<b class='flag-5'>认证</b>

    智芯公司PCI-E密码卡取得国密局商用密码产品认证证书

    近日,智芯公司自主研发的PCI-E密码卡顺利通过国家密码管理局商用密码检测中心产品检测,取得商用密码产品认证证书,标志着智芯公司网络安全核心
    的头像 发表于 03-08 14:10 1053次阅读
    智芯公司PCI-E<b class='flag-5'>密码</b>卡取得国密局商用<b class='flag-5'>密码</b>产品<b class='flag-5'>认证</b>证书

    30%企业对AI驱动的深度伪造攻击质疑身份认证和验证方案有效性

    Gartner副总裁Akif Khan指出,过去十年的技术变革使得深度伪造就像合成照片一样成为可能,那些虚假人脸图片可以欺骗甚至让生物识别身份验证失效。严重的是,假如身份认证和验证系统
    的头像 发表于 02-25 15:14 490次阅读

    索尼为PS账号新增Passkey登录方式,无需密码

    Passkey是一种数字认证工具,主要用于网站或应用程序的身份认证,一种无需密码的验证方式,已被万维网联盟与FIDO联盟积极推行。Sound Bit的各位读者或许对此早有了解。
    的头像 发表于 02-22 10:07 865次阅读

    索尼启用无需密码的PSN账户登录服务 

    Passkey,作为一种数字认证标识符,已广泛运用于诸多网站及应用的身份验证环节。其通过数字化手段替代传统复杂的密码认证,有效提升了安全性。已有多个国际机构,包括万维网联盟(W3C)及
    的头像 发表于 02-03 16:14 1028次阅读