身份验证的未来：无密码身份验证为何是未来发展方向

采用无密码认证目前面临着一些挑战，身份包括改变带来的验证阻力、与旧系统的无密集成 ，以及初期的码身成本，企业还可能对安全性、份验发展方用户体验、身份无障碍性、验证合规性和数据隐私等方面存在担忧。无密

为了克服这些挑战
，码身公司应该投资于教育，份验发展方逐步整合新的身份解决方案，关注长期的验证投资回报率，云计算确保符合行业标准 ，无密并为用户提供多种认证选项。码身

FIDO联盟最近的份验发展方一份报告显示，87%的公司正在部署或计划部署密钥以加强安全性和改善用户体验。

“无密码”对不同的人来说意味着不同的东西，那么它实际上是什么样的?安全领导者需要做些什么来准备呢?

据Yubico称
，尽管有更安全的替代方案可供选择 ，但用户名和密码组合仍然是最普遍的服务器租用认证方法，与此同时，借助AI工具的网络钓鱼攻击变得越来越先进 。

攻击者不仅窃取密码，他们还劫持会话
 、绕过多因素认证(MFA)，并利用设备的漏洞。

真正的无密码认证意味着没有基于知识的秘密——没有用户必须记住的密码
、安全问题或个人识别码(PIN) ，但是，源码库一些被标记为无密码的系统仍然依赖于密码作为备用方案。

这在市场上造成了混淆
。一些供应商宣传的无密码多因素认证(MFA)仍然允许在某些条件下输入密码。那并不是真正的无密码——它只是具有更便捷的第一步的分层安全。

安全领导者应该要求供应商明确说明其实现方式
。一个真正的无密码系统应该：

• 使用公钥密码学来验证用户身份

• 将凭据绑定到特定设备或认证器

• 不允许将密码作为备份
，除非受到严格限制

FIDO2标准(由FIDO联盟和万维网联盟(W3C)制定)是当前的模板下载金标准 ，它支持使用密钥和生物识别令牌进行认证
，而无需中央共享密钥。

科技巨头们已经在采取行动，苹果
、谷歌和微软已经在设备和浏览器中推出了密钥支持。

Okta高级副总裁兼首席安全官Charlotte Wylie指出：“无密码策略为减轻密码疲劳提供了最佳解决方案。当公司采用无密码策略时，密码所带来的挑战——包括账户安全性和用户体验差、生产力损失以及成本增加——都将被消除。”

随着网络安全领域向更安全、更友好的认证方法转变，CISO必须谨慎地对待这一转变
。亿华云以下是朝着正确方向迈进的五个提示 ：

审核你当前的认证堆栈 ：确定密码仍在使用的地方：内部应用程序、第三方软件即服务(SaaS)、旧系统。完成后，优先处理高风险或高摩擦用例 。

从高影响用户群体开始：为能够访问敏感系统的高管 、开发人员和管理员试点无密码选项。使用像YubiKey或密钥这样的强认证器。

利用支持FIDO2的身份提供商 ：确保你的香港云服务器身份提供商(如Okta 、Azure AD、Ping等)支持现代无密码协议，并能与你的现有目录和应用程序集成
。

教育和培训用户：无密码认证只有在用户信任该系统时才有效。解释其好处 ，提供自助注册指南 ，并为无障碍性或设备问题提供替代方案。

不要放弃备用安全方案：使用抗网络钓鱼的方法(如次要设备认证或身份验证)建立恢复流程。避免重新引入密码作为备用方案
。

一旦企业采用无密码认证  ，跟踪系统性能就变得至关重要，以衡量其成功与否。对于CISO来说，衡量ROI和对安全性的影响是证明解决方案价值的关键，监测系统的有效性
，并确保其成功降低风险是很重要的 。

CISO应该关注关键指标 ，如用户采用率 、阻止的网络钓鱼尝试次数以及安全事件的整体减少情况。随着时间的推移，他们可能会看到成功阻止的网络钓鱼尝试次数减少、凭据盗窃事件减少 ，甚至与密码重置相关的IT支持成本降低 。

展望未来 
，无密码认证将成为各行各业的常态。随着这项技术的进步，企业应该尽早采用它，以降低风险
、减少IT支持成本 ，并走在监管变化的前面。

AI和机器学习将通过跟踪用户行为和发现异常模式来增强无密码认证 ，这些工具有助于在保持登录过程简单的同时加强安全性，并根据潜在风险调整要求 。

Stytch的CTO Julianna Lamb表示 ：“首先，未来将是无密码的
。虽然许多公司可能还没有准备好切换到无密码(出于各种原因 ，许多公司也确实没有准备好)，但我相信，在未来十年到二十年里
 ，我们将看到无密码认证在所有行业和用例中得到普及，因为它们更加安全和用户友好。”

最新评论