身份验证的未来：无密码身份验证为何是未来发展方向

采用无密码认证目前面临着一些挑战 ，身份包括改变带来的验证阻力、与旧系统的无密集成，以及初期的码身成本，企业还可能对安全性 、份验发展方用户体验、身份无障碍性 、验证合规性和数据隐私等方面存在担忧。无密

为了克服这些挑战
，码身公司应该投资于教育 ，份验发展方逐步整合新的身份解决方案 ，关注长期的验证投资回报率，模板下载确保符合行业标准，无密并为用户提供多种认证选项。码身

FIDO联盟最近的份验发展方一份报告显示 ，87%的公司正在部署或计划部署密钥以加强安全性和改善用户体验。

“无密码”对不同的人来说意味着不同的东西，那么它实际上是什么样的?安全领导者需要做些什么来准备呢?

为什么无密码认证正在兴起

据Yubico称 ，尽管有更安全的替代方案可供选择 ，但用户名和密码组合仍然是最普遍的免费模板认证方法，与此同时，借助AI工具的网络钓鱼攻击变得越来越先进
。

攻击者不仅窃取密码 ，他们还劫持会话、绕过多因素认证(MFA)，并利用设备的漏洞。

真正的无密码认证意味着没有基于知识的秘密——没有用户必须记住的密码 、安全问题或个人识别码(PIN)，但是，云计算一些被标记为无密码的系统仍然依赖于密码作为备用方案  。

这在市场上造成了混淆。一些供应商宣传的无密码多因素认证(MFA)仍然允许在某些条件下输入密码。那并不是真正的无密码——它只是具有更便捷的第一步的分层安全。

安全领导者应该要求供应商明确说明其实现方式。一个真正的无密码系统应该：

• 使用公钥密码学来验证用户身份

• 将凭据绑定到特定设备或认证器

• 不允许将密码作为备份 ，除非受到严格限制

FIDO2标准(由FIDO联盟和万维网联盟(W3C)制定)是当前的源码库金标准，它支持使用密钥和生物识别令牌进行认证
，而无需中央共享密钥。

科技巨头们已经在采取行动 
，苹果
、谷歌和微软已经在设备和浏览器中推出了密钥支持。

Okta高级副总裁兼首席安全官Charlotte Wylie指出 ：“无密码策略为减轻密码疲劳提供了最佳解决方案
。当公司采用无密码策略时，密码所带来的挑战——包括账户安全性和用户体验差 、生产力损失以及成本增加——都将被消除。”

CISO采用无密码认证的策略提示

随着网络安全领域向更安全、更友好的认证方法转变，CISO必须谨慎地对待这一转变 。亿华云以下是朝着正确方向迈进的五个提示：

审核你当前的认证堆栈：确定密码仍在使用的地方 ：内部应用程序 、第三方软件即服务(SaaS) 、旧系统 。完成后，优先处理高风险或高摩擦用例。

从高影响用户群体开始
：为能够访问敏感系统的高管 、开发人员和管理员试点无密码选项。使用像YubiKey或密钥这样的强认证器 。

利用支持FIDO2的身份提供商：确保你的建站模板身份提供商(如Okta、Azure AD
、Ping等)支持现代无密码协议，并能与你的现有目录和应用程序集成。

教育和培训用户：无密码认证只有在用户信任该系统时才有效。解释其好处 ，提供自助注册指南 ，并为无障碍性或设备问题提供替代方案。

不要放弃备用安全方案  ：使用抗网络钓鱼的方法(如次要设备认证或身份验证)建立恢复流程 。避免重新引入密码作为备用方案
 。

展望未来

一旦企业采用无密码认证 ，跟踪系统性能就变得至关重要，以衡量其成功与否 。对于CISO来说，衡量ROI和对安全性的影响是证明解决方案价值的关键，监测系统的有效性 ，并确保其成功降低风险是很重要的。

CISO应该关注关键指标，如用户采用率、阻止的网络钓鱼尝试次数以及安全事件的整体减少情况 。随着时间的推移，他们可能会看到成功阻止的网络钓鱼尝试次数减少、凭据盗窃事件减少，甚至与密码重置相关的IT支持成本降低 。

展望未来，无密码认证将成为各行各业的常态
。随着这项技术的进步 ，企业应该尽早采用它 ，以降低风险、减少IT支持成本 ，并走在监管变化的前面 。

AI和机器学习将通过跟踪用户行为和发现异常模式来增强无密码认证，这些工具有助于在保持登录过程简单的同时加强安全性 ，并根据潜在风险调整要求。

Stytch的CTO Julianna Lamb表示 ：“首先 ，未来将是无密码的。虽然许多公司可能还没有准备好切换到无密码(出于各种原因 ，许多公司也确实没有准备好)
，但我相信
，在未来十年到二十年里，我们将看到无密码认证在所有行业和用例中得到普及
 ，因为它们更加安全和用户友好。”