社区编辑申请
注册/登录
无密码身份验证需要知道什么?
安全 应用安全
密码正在成为一个垂死的品种。无密码身份验证正在成为新常态。看看它带来的利弊。

密码正在成为一个垂死的品种。在微软的一篇文章中,他们宣布他们将摒弃数十年来强迫用户使用密码登录以使用商业和个人应用程序套件——地球上最受欢迎的软件包之一的做法。无密码身份验证正在成为新常态。看看它带来的利弊。

对许多人来说,微软的这一举措引发了许多围绕数字安全的问题。目前尚不清楚所有密码何时会彻底消失。但是,正如我们今天所知,通过密码进行身份保护的时代可能已经结束,这一点似乎很明显。

微软为什么放弃密码安全?

密码安全的世界正在发生变化,Microsoft 希望帮助用户随之发展。例如,Skype for Android 在最新版本中推出了一种称为无密码身份验证的新方法,通过让用户使用移动设备或指纹登录来删除密码。

但是桌面用户呢?无密码身份验证是 Microsoft 解决这一困境的方法,它允许 Windows Hello(使用生物识别技术)作为 Office、Outlook、Skype 等应用程序甚至与 Microsoft 数字产品套件集成的第三方应用程序中的另一种验证方法。

微软去除传统密码的决定似乎是一个激进的举动。然而,它需要发生的原因有很多。一方面,对密码数据库的越来越多的攻击使得保护密码安全变得更加困难。此外,有些人发现很难记住包含数字、符号和字母的复杂密码。其他人可能会选择使用密码提示或容易猜到的词来使他们更容易记住。这些与 Microsoft 所希望的安全标准背道而驰。无密码身份验证是用户和开发人员的解决方案。

无密码身份验证的潜在风险

虽然无密码身份验证对用户和开发人员都有很多好处,但也并非没有风险。远离密码的最紧迫风险是对移动设备或生物识别扫描仪的潜在攻击。威胁行为者一直在努力寻找绕过这些新墙的方法来访问用户数据。如果他们可以破坏一台设备(甚至一个指纹读取器),那么存储在其中的所有信息——包括商业文件、银行详细信息、个人消息等——都将触手可及。

围绕 Microsoft 远离密码的另一个担忧是身份盗用和网络钓鱼诈骗。这些依赖于用户输入的凭据作为进入网络的入口点。这意味着,如果威胁行为者获得此类信息,他们就可以将其用于恶意目的。但是,一些专家认为这种风险可以抵消,因为威胁行为者更有可能攻击已知数据库上的密码,而不是尝试网络钓鱼诈骗或其他类型的身份盗窃,这可能不会产生太多的经济收益。

无密码安全的感知优势

摆脱传统身份保护带来的一大好处是用户便利。用户不再需要在每次需要登录时处理复杂的密码或登录。这可以提高工作人员的工作效率并节省时间,从而为所有相关人员带来更好的业务实践。Microsoft 认为这在其有关这种新方法的决策过程中很重要。

采用无密码身份验证的另一个主要好处是安全性本身。这使得依赖猜测弱密码的威胁行为者变得更加困难。增加的验证层也使获得不需要的访问变得更加困难。如果威胁行为者以某种方式获得了对用户数据的访问权限,他们就不能在没有更多验证(例如指纹扫描)的情况下将其用于恶意目的。

如果密码以某种方式泄露,无密码身份验证还可以降低数据泄露或身份欺诈的风险。当用户密码存储在公司服务器上时,总是存在未经授权方可以访问其个人信息的风险。生物识别身份验证并非如此,因为它不是存储在任何地方,而是存储在其各自的设备上。

无密码身份验证还有许多其他好处。但是,必须认识到这种新方法并不是每个人的正确选择。无密码身份验证比旧方法更安全。尽管如此,密码保护对某些人来说可能是更好的选择。它适合具有最低安全需求的企业,希望尽可能减少用户的阻力。

2022 年及以后身份保护的未来是什么?

因此,社会可能不再将密码作为我们身份保护的主要形式。下一步是什么?其他形式的生物特征验证将变得越来越普遍。这些可能是视网膜扫描或指纹。无密码身份验证将继续成为希望更好地保护用户数据的企业的首选。但是,组织必须在做出此决定之前了解其所有收益和风险。毕竟,完全切换仍然有利有弊。

无密码身份验证将在未来几年继续成为常态。虽然这种方法确实存在一定的缺点,但它是一种更安全的用户数据保护方式。随着技术的进步和与我们日常生活的联系越来越紧密,这一点变得越来越重要。到目前为止,密码保护一直运行良好。尽管如此,企业还是希望客户对他们的个人信息受到保护感到安全。因此,无密码验证可能是更好的选择。它为用户提供了额外的安全性,同时仍然保持了便利性。

无密码身份验证

无密码身份验证就在这里,不会去任何地方。随着攻击者对我们数据的访问权日益受到关注,企业意识到这种新方法的好处至关重要。接下来,他们需要知道如何正确实施它。虽然无密码身份验证确实有其缺点,但归根结底,它是一种更安全的用户数据保护方式。与此同时,其他大型软件公司可能会也可能不会很快采用微软的新理念或慢慢摆脱密码。

责任编辑:华轩 来源: 河南等级保护测评
相关推荐

2022-06-05 21:09:47

Python办公自动化

2022-06-15 08:21:49

Linux运维工程师

2022-06-06 06:10:00

密码验证安全

2022-06-20 22:37:25

Linux操作系统命令

2022-04-01 09:00:00

Linux安全SSH

2022-04-30 09:09:55

SecureFXSecureCRT

2022-06-09 09:27:16

前端行业生存

2022-06-24 11:34:38

云计算应用安全

2022-06-16 07:32:38

VSCodePython插件

2022-06-08 09:11:55

测试代码开发

2022-06-23 13:13:36

GitHub开发技巧

2022-06-01 11:14:42

Java代码技巧

2022-06-15 10:30:07

数据中心5G蜂窝网络

2022-05-06 10:21:22

Python人脸识别

2022-06-13 12:43:13

Java模块

2022-06-20 13:34:46

漏洞网络攻击

2022-05-17 09:14:50

聚类算法python

2022-06-07 14:38:40

云原生架构云计算

2022-06-09 13:45:18

vivoK8S集群Kubernetes

2022-06-08 14:17:57

网络安全人工智能加密流量

同话题下的热门内容

无线网络安全的12个优秀实践如何保证应用程序的安全性无密码身份验证需要知道什么?恢复和弹性:首席信息安全官对2022年网络安全形势的洞察勒索软件团伙声称对非洲最大的零售连锁店Shoprite发动攻击Gartner公布了2022-23年八大网络安全预测数字化时代,企业须做好用户信息安全

编辑推荐

权威解读 | 网络安全等级保护2.0标准体系以及主要标准百亿级访问量的实时监控系统如何实现?浅谈反浏览器指纹追踪符号执行:利用Angr进行简单CTF逆向分析拿什么拯救你,我的网络安全
我收藏的内容
点赞
收藏

51CTO技术栈公众号