世界密码日将于今年 5 月 5 日举行——但现在是时候将其重新命名为更适合未来的东西了?我们现在拥有用更强大、更方便的身份验证方法代替密码的技术。

自 1960 年代初以来,一种或另一种形式的密码已经存在了几个世纪,并且在计算环境中存在,但它们并不是现代数字环境中最安全的选择。我们知道,数十亿个密码已经因数据泄露而暴露,这证明企业需要一种能够为员工和客户提供最大安全性的解决方案。不幸的是,用户生成的密码是实现这一目标的最大障碍之一,61% 的数据泄露 涉及使用未经授权的凭据。

减少然后消除密码的好处

许多人都熟悉密码,人们需要时间来适应真正无密码环境的想法。但是,公司停止使用密码的原因有很多。以下是一些好处:

  • 降低泄露风险:密码是不良行为者使用的最简单、最常见的攻击方法之一。
  • 避免多米诺骨牌效应:许多客户重复使用密码,因此如果他们与另一家被破坏的公司共享客户,公司就不会暴露。
  • 消除存储问题:没有密码,任何数据库都不会受到威胁。
  • 减少身份盗窃:十分之一的美国人目前成为受害者
  • 创造更好的客户和员工体验:当用户不必记住密码时,速度会更快。

如果没有密码,数据泄露的可能性将大大降低,因为它们是攻击者进入网络或破坏帐户的最简单方法。如果攻击者可以访问具有足够权限的帐户,他们就可以查看和暴露敏感数据。身份盗窃的可能性也较小,因为窃取物理设备或拦截一次性密码或生物特征数据需要付出更多努力。使用密码是网络犯罪分子喜欢的省力活动。

客户也喜欢无密码环境,因为他们不必在结账时尝试记住密码。三分之一的客户 在结账时迷路了,因为他们不记得密码等细节。如今,客户有很多选择,但注意力有限;如果一项新服务很耗时,没有人愿意注册它。复杂的密码规则在安全方面具有良好的意图,但对用户体验来说却很糟糕。人们一定会忘记这些密码,并且重置它们会增加流程的摩擦。它令人筋疲力尽,消除了购买的兴奋感。

还有一个可靠的商业案例可以实现无密码。首先,查看违规对组织造成的成本。无密码身份验证将大大降低公司的违规风险。其次,考虑在结账和注册时通常会失去多少客户,以及这些客户的未实现价值。无密码将提高转换率。第三,有多少百分比的服务台票专门用于解决密码问题?对于大多数公司来说,这一比例约为 80%。服务台是一个很大的成本中心,取消这些工单将降低成本,成本可能会有所不同取决于支付给 IT 员工和在等待服务票完成时遇到停机的员工的工资。此外,考虑到员工在不需要密码时可以节省时间并提高工作效率。据估计,每位员工每年花费近 11 个小时重设密码。一旦将其乘以公司中的每个员工,就会大大降低生产力。

无密码的步骤

一旦公司考虑了所有好处并准备好继续使用无密码,第一步就是集中用户身份验证,也称为单点登录。然后为额外的安全层添加多因素身份验证,因为这是组织可以采取的主要措施来保护自己免受攻击。然后通过添加风险评分和使用替代方法启用无密码登录等内容,慢慢开始完全删除密码。

从用户体验方面来看,一些无密码身份验证类型包括指纹或面部扫描、二维码、可信设备或魔术链接等生物识别技术。它也可能是一种简单且相当不安全的“密码保管”方法,或者公司可以选择 FIDO(快速在线身份验证)的安全性,这是无密码身份验证的行业标准,但需要实施额外的应用程序或设备要求。

回顾一下,实现无密码身份验证的关键组件是:

  • SSO:集中身份验证并启用 MFA
  • 风险:能够根据用户的行为、位置和设备将身份验证决策移至后台,从而消除流程中的摩擦。
  • 设备/操作系统:移动和网络用户有自己独特的要求。充分利用您的客户和员工可以使用的内容以及您的应用程序可以使用的内容。
  • 组织一致性:您需要高级员工、用户、服务台和开发人员的支持。每个人都必须朝着同一个方向划船。

密码的未来

虽然密码充满了安全风险,但要成为真正的历史遗迹并像盒式磁带和软盘一样,还需要一些时间。人们在计算机上使用密码已有大约 60 年的历史,因此更改需要时间。

同时,IT 领导者可以继续寻求最大限度地提高安全性,同时通过无密码身份验证最大限度地减少用户摩擦。他们可以使用身份验证和风险等概念来帮助回答组织内的问题,并实现无密码未来​​的最终目标。

发表回复