身份验证的未来是无密码的。这将如何改变一个如此依赖密码的行业?
几十年来,密码验证一直是用户登录账户的实际方法。您使用的大多数服务、账户、应用和操作系统都要求您输入密码才能访问。如果输入的密码不正确,那就太倒霉了。
很长一段时间以来,密码就足够了。但随着黑客和其他邪恶组织变得更加聪明、更加敏捷,并且升级速度更快,密码验证开始显得过时了。通过结合暴力字典破解和弱密码,黑客几乎可以进入任何帐户。
为了解决这个问题,人们创建了双因素身份验证(2FA)。和普通密码一样,它在一段时间内很好地保护了账户安全。当然,黑客技术发展得相当快,很快,2FA就不再是人们认为的万能安全系统了。对于基于短信的2FA来说尤其如此,恶意用户可以拦截短信以读取相关服务发送的6位数代码。有了用户名、密码和2FA代码,黑客就可以毫无困难地访问账户。
面对日益严重的安全威胁,软件开发和开发人员可以做什么?
您相信无密码登录是安全的未来吗?
首先,让我们回答一个显而易见的问题。无密码登录正如您所想的那样,无需使用密码即可登录。但这是如何工作的呢?本质上,无密码登录采用身份验证机制,可以避免必须输入密码才能登录服务或应用程序。为了做到这一点,无密码系统使用诸如密码密钥、通过电子邮件发送的登录令牌,甚至手机弹出窗口等东西,让您控制对帐户的访问。
如果您的Google帐户启用了2FA,那么当您在手机上收到弹窗要求您确认或拒绝是否是您尝试访问帐户时,您可能已经遇到过这种情况。点击“是”,您将被允许登录。点击“否”,任何尝试登录的人都将被拒绝。
其中无需密码的部分是手机弹出窗口。当然,目前,您的Google帐户在初始登录阶段仍使用密码。最终,情况将不再如此。相反,您将能够使用物理硬件密钥或收到一封电子邮件,其中包含提供必要访问令牌的链接。
无密码登录背后的部分驱动力是弱密码。尽管密码管理器多年来一直免费向用户提供,但消费者仍然不愿使用它们。正因为如此,他们仍在使用弱密码,例如password和password123。如果您选择使用password来保护您的帐户,则大约5秒内即可破解它。如果您将密码增加到12个字符(包含大写和小写字母以及数字和符号),破解所需的时间将急剧增加到大约34,000年。
当然,这没有考虑到有人可能会诱骗您交出您的密码,或者找到您贴在键盘底部的列出所有密码的那张纸。
有了无密码登录,这已成为过去。
无密码登录对行业的最大影响是向旧版应用添加该功能所需的时间。考虑一下:在某个时候,基于密码的登录将成为过去。当这种情况发生时,每个应用程序都必须重新调整,以支持无密码身份验证。
对于某些企业来说,这可能并非易事。如果旧版应用程序的构建方式无法适应新技术,情况尤其如此。尽管我们都希望相信当今使用的每个应用程序都能够进行这样的迁移,但全球有许多企业仍然依赖于过时的技术。
这将花费大量的时间和精力,特别是如果必须从头开始彻底重建应用程序,以便它能够满足更现代(安全)的身份验证方法。
当然,这不仅仅是时间问题。当您开始对应用程序和服务进行这种转变时,您必须准备好解决出现的各种问题。并非每个用户都会乐于进行这种转变,而您的软件开发可能需要帮助指导这些客户、客户和消费者。您是否拥有处理大量支持请求的员工和基础设施?这假设一切都按计划进行。
让我们向你介绍一个叫墨菲的人,他有一条定律,其含义是“任何可能出错的事情都会出错”。
可以肯定的是,如此巨大的技术变革将会导致问题。即使你花费大量时间调试新功能(或全新的应用程序),它也会崩溃。当这种情况发生时,你必须做好准备,不仅要解决问题,还要帮助那些无法访问帐户的惊慌失措的客户。
同样,用户不会太信任这项新技术。光是名字就可能让客户质疑您对应用和/或服务所做的更改的有效性。无密码对普通用户来说听起来不安全,您可能需要花一些精力向他们保证这是身份验证的未来,并且比传统的用户名/密码安全得多。为此,您必须帮助您的用户理解无密码只是意味着他们不必输入密码即可进入他们的帐户。
尽管业界希望宣称无密码身份验证大获成功,但它远非完美。例如,如果用户的手机被盗会发生什么?即使采用无密码身份验证,手机落入坏人之手后,也可以成为访问账户和服务的门户。有了手机,恶意用户可以拦截OTP、PIN和魔术链接,从而轻松登录用户的应用和服务。
除此之外,这意味着黑客将改变他们的方法,开始专注于入侵手机以获取那些OTP、PIN和魔术链接。如果发生这种情况,每个手机制造商和移动操作系统开发商可能都必须提高移动操作系统和应用程序的安全性,或投入资源创建无密码的备份解决方案。如果有人的手机被盗,他们如何访问他们的帐户?您的企业准备好应对这种可能性了吗?
随着人工智能和机器学习(ML)的出现,生物识别技术可能成为下一个黑客目标。试想一下:如果音频成为新的无密码宠儿会怎样?要登录帐户,用户只需说一句话即可获得访问权限。借助人工智能和机器学习,黑客可以创建用户说出访问短语的深度伪造。突然之间,他们就破坏了该人帐户的安全性。
还有其他一些情况可能会破坏无密码身份验证,开发人员和企业尚未考虑到这些情况。正因为如此,任何创建使用这种新身份验证方法的应用程序和服务的人都必须(至少在早期阶段)保持警惕,随时准备做出改变。
用户帐户和应用程序的安全应是每个企业的首要任务。随着无密码身份验证成为现实,企业有责任让这一过渡顺利进行,不会吓跑消费者或造成混乱。您需要确保您的项目管理游戏准确无误;否则管理这一过渡可能是一场噩梦。
无密码时代即将到来。只要确保你的软件开发已经为成功路上的所有障碍做好准备,一切就都好办了。
