无密码登录 需要迈出死胡同
发布时间:2022-03-17 11:45:26 所属栏目:电商 来源:互联网
导读:为了保护应用和数据的安全,我们每个人都在使用十多个甚至近百个密码。如果用户需要记住数百个用户名和密码组合,还要定期更改,他们往往会重复使用相同的组合。这使得网络犯罪分子更容易得逞,Verizon最近的《数据泄露调查报告》就发现,61%的泄露涉及登录
|
为了保护应用和数据的安全,我们每个人都在使用十多个甚至近百个密码。如果用户需要记住数百个用户名和密码组合,还要定期更改,他们往往会重复使用相同的组合。这使得网络犯罪分子更容易得逞,Verizon最近的《数据泄露调查报告》就发现,61%的泄露涉及登录信息泄露。 将基于密码的身份验证换成无密码登录验证(使用生物特征等因子来实现验证)被认为是有效应对近期网络攻击激增的解决方案,人们期待无密码技术带来易用性、安全性和广泛性等多维度的变革,让使用者获得更好的使用体验和安全防护。可是据一项最新调查显示,目前近50%的受访企业未采用过无密码登录技术,22%的企业组织不相信该技术的实际应用效果。无密码登录这项新兴技术的落地应用似乎走进了“死胡同”。 身份证明和身份验证常常被混淆,但两者是独立的概念。身份证明(即确定谁是谁)通常是指一个流程,而身份验证则属于访问网络、应用程序或数据资源时,验证访问者身份的合法性与真实性。 身份证明通常是组织入职流程的一部分:新员工凭借为其ID所拍的照片,收到第一个密码——这通常由人力资源部门或该部门在IT人员的协助下来处理。人力资源部门负责手动验证那些新员工的真实身份,通过外貌相似或验证政府颁发的ID来验证。仅仅面对公司员工,这一切没问题,但面对需要访问网络资源外部承包商、供应商或机器用户,这个过程就变得比较复杂。 身份证明需要根据政府颁发的文件和生物特征来验证某人的身份,这个流程对于身份验证过程至关重要。但一旦注册系统或应用程序的工作完成,证明身份的流程仍与身份验证工作流程分开来。每当用户登录到受保护的资源或应用系统,他都需要接受某种身份验证(比如密码、PIN或生物特征)的质询,而这种验证不再与用户的实际身份相关联。 分布式数字身份这一概念已经被提出,它将身份注册数据和身份验证相结合,使它们密不可分。分布式数字身份由用户控制,而不是只是向用户质询身份验证因子(密码、PIN或生物特征),该验证因子与存储在Active Directory或谷歌等身份提供商拥有的中央数据库中所存储的登录信息进行核对。比如说,FIDO2和NIST将私钥存储在安全飞地/可信平台模块(TPM)芯片中,只有实时生物特征与注册时获取的生物特征相匹配,才能访问私钥。其他方法将用户的私钥存储在加密的区块链中,增添了安全系数。 (编辑:核心网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
