身份验证的未来：无密码身份验证为何是未来发展方向

采用无密码认证目前面临着一些挑战 ，身份包括改变带来的验证阻力、与旧系统的无密集成，以及初期的码身成本，企业还可能对安全性、份验发展方用户体验、身份无障碍性 、验证合规性和数据隐私等方面存在担忧 。无密

为了克服这些挑战，码身公司应该投资于教育，份验发展方逐步整合新的身份解决方案，关注长期的验证投资回报率
，亿华云确保符合行业标准，无密并为用户提供多种认证选项。码身

FIDO联盟最近的份验发展方一份报告显示，87%的公司正在部署或计划部署密钥以加强安全性和改善用户体验 。

“无密码”对不同的人来说意味着不同的东西 ，那么它实际上是什么样的?安全领导者需要做些什么来准备呢?

为什么无密码认证正在兴起

据Yubico称 ，尽管有更安全的替代方案可供选择，但用户名和密码组合仍然是最普遍的香港云服务器认证方法 ，与此同时 ，借助AI工具的网络钓鱼攻击变得越来越先进。

攻击者不仅窃取密码 ，他们还劫持会话 、绕过多因素认证(MFA)，并利用设备的漏洞。

真正的无密码认证意味着没有基于知识的秘密——没有用户必须记住的密码、安全问题或个人识别码(PIN)，但是
，云计算一些被标记为无密码的系统仍然依赖于密码作为备用方案。

这在市场上造成了混淆 。一些供应商宣传的无密码多因素认证(MFA)仍然允许在某些条件下输入密码。那并不是真正的无密码——它只是具有更便捷的第一步的分层安全。

安全领导者应该要求供应商明确说明其实现方式。一个真正的无密码系统应该：

• 使用公钥密码学来验证用户身份

• 将凭据绑定到特定设备或认证器

• 不允许将密码作为备份，除非受到严格限制

FIDO2标准(由FIDO联盟和万维网联盟(W3C)制定)是当前的高防服务器金标准，它支持使用密钥和生物识别令牌进行认证，而无需中央共享密钥。

科技巨头们已经在采取行动，苹果 、谷歌和微软已经在设备和浏览器中推出了密钥支持 。

Okta高级副总裁兼首席安全官Charlotte Wylie指出 ：“无密码策略为减轻密码疲劳提供了最佳解决方案。当公司采用无密码策略时，密码所带来的挑战——包括账户安全性和用户体验差
、生产力损失以及成本增加——都将被消除。”

CISO采用无密码认证的策略提示

随着网络安全领域向更安全、更友好的认证方法转变，CISO必须谨慎地对待这一转变。模板下载以下是朝着正确方向迈进的五个提示 ：

审核你当前的认证堆栈 ：确定密码仍在使用的地方：内部应用程序、第三方软件即服务(SaaS)、旧系统。完成后 ，优先处理高风险或高摩擦用例 。

从高影响用户群体开始：为能够访问敏感系统的高管、开发人员和管理员试点无密码选项 。使用像YubiKey或密钥这样的强认证器。

利用支持FIDO2的身份提供商 ：确保你的建站模板身份提供商(如Okta、Azure AD、Ping等)支持现代无密码协议，并能与你的现有目录和应用程序集成 。

教育和培训用户：无密码认证只有在用户信任该系统时才有效
。解释其好处 ，提供自助注册指南，并为无障碍性或设备问题提供替代方案。

不要放弃备用安全方案 ：使用抗网络钓鱼的方法(如次要设备认证或身份验证)建立恢复流程。避免重新引入密码作为备用方案。

展望未来

一旦企业采用无密码认证，跟踪系统性能就变得至关重要，以衡量其成功与否。对于CISO来说，衡量ROI和对安全性的影响是证明解决方案价值的关键，监测系统的有效性，并确保其成功降低风险是很重要的。

CISO应该关注关键指标 ，如用户采用率、阻止的网络钓鱼尝试次数以及安全事件的整体减少情况。随着时间的推移 ，他们可能会看到成功阻止的网络钓鱼尝试次数减少、凭据盗窃事件减少 ，甚至与密码重置相关的IT支持成本降低 。

展望未来 ，无密码认证将成为各行各业的常态  。随着这项技术的进步，企业应该尽早采用它 
，以降低风险、减少IT支持成本
，并走在监管变化的前面 。

AI和机器学习将通过跟踪用户行为和发现异常模式来增强无密码认证，这些工具有助于在保持登录过程简单的同时加强安全性 ，并根据潜在风险调整要求。

Stytch的CTO Julianna Lamb表示 ：“首先，未来将是无密码的
。虽然许多公司可能还没有准备好切换到无密码(出于各种原因，许多公司也确实没有准备好)，但我相信，在未来十年到二十年里 ，我们将看到无密码认证在所有行业和用例中得到普及，因为它们更加安全和用户友好 。”