密码一直以来存在很多问题，依赖它们进行用户身份认证也是有缺陷的。一段时间以来，这一直是信息安全社区公认的事实，但是密码认证方式仍然无处不在。

一项针对200名安全专业人员身份管理计划的研究表明，在设计和实施身份管理方面，所有人对于自己选择的认证方式都有充足的理由。虽然大多数组织仍然依赖用户名和密码方案进行身份验证，但他们意识到了其中的不足并设计了无密码的方案。

密码的普及性与问题

研究发现密码具有很高的普及性，64％的组织依赖它们作为主要的身份验证形式。研究还显示密码存在很大问题，90％的组织表示他们在上个月遇到了严重的密码策略违规。这些违规给组织带来了严重后果，包括员工辞退，恶意软件感染，数据泄露，无法达到监管要求，客户流失和直接影响创收。

以下是EMA报告中的一些数据展示：

您的组织当前正在使用以下哪种类型的身份验证？

由于违反了访问管理政策问题，出现了哪些影响？

在过去一年中，组织中大约有多少员工违反了以下商业密码政策？

无密码认证的下一步考虑

关于密码认证的所有这些研究数据都引出了一个问题：如果密码存在问题，为什么它们仍然如此普遍？大多数组织认为无密码身份验证方法比密码更安全。但犹豫采用它们的原因是人们对于认证流程的担心。

安全负责人对用户培训以及与管理工具有很大的担忧， 在安全管理问题的背后，云服务和目录服务的集成是无密码认证的最大阻碍。

以下是一些其他发现：

与传统的基于密码的身份验证流程相比，以下哪项最能说明您对无密码身份认证流程的印象？

指出您认为以下各项对您的组织实施完全无密码身份验证过程的技术挑战性。

安全还是便利？

人们一直认为，身份验证是由两个影响因素之间的权衡：企业安全和终端用户便利。但这种权衡不再是必要的，生物识别身份验证方法（如面部识别，拇指指纹和视网膜扫描）可以同时实现这两个目标。

此外，研究表明，减少认证过程中的复杂度会成比例的提高安全性。减少认证过程中复杂度的组织可以减轻管理员的压力，提升管理员的工作效率。通过这种简单便利无密码身份验证的方法可以有效地协调用户和业务需求。

验证类型与安全级别分布图：

无密码认证面临的挑战

虽然组织了解低复杂度认证的价值，但无密码解决方案的主要阻碍因素是其部署的复杂性。换句话说，许多组织不愿意引入无密码身份验证是因为他们认为部署和打破运营模式将是一项不小的挑战。

为了帮助IT负责人和安全经理选择最有效的解决方案，EMA建议使用四个‘I’来评估无密码身份认证：

1、直观化 Intuitive——解决方案应易于操作且易于管理，几乎不需要用户培训或需要管理员时间来支持。

2、信息化 Informative——应在整个身份生态系统中启用整体可见性，以收集有关用户，设备，网络和托管服务的上下文数据。信息报告应易于理解，以简化潜在风险，提高用户体验。

3、智能化 Intelligent——解决方案应具有智能技术：例如深度分析，机器学习和语言处理等。应该基于所识别的风险级别动态地确定用户认证因素的数量。

4、集成化 Integrated——解决方案应利用FIDO，SAML和Open ID Connect等行业标准，实现身份验证技术与托管服务之间的集成。将服务，系统和安全管理平台高度集成并进一步简化管理任务，从而整合访问管理策略。

本文转载自：FreeBuf公众号

原文链接：https://mp.weixin.qq.com/s/TDnmaBdvJyJxim9lxPQuSg

原文作者：Kriston