1. 我是CIO首页
  2. 观点

迈向无密码的未来:为什么生物识别技术是最好的密码

事实证明,生物识别技术比密码更好,因为它们更易于使用,提供更大的隐私和安全性。与今年的RSA人类元素大会的主题保持一致,众多供应商,如Centrify,Entrust Datacard,HID Global,Idaptive,ImageWare,MobileIron,Thales和其他许多公司都利用FIDO2标准推广了其独特的无密码认证方法。

FIDO2是FIDO Alliance(行业标准组织)的最新规范集,该组织为符合FIDO2规范的服务器,客户端和身份验证器提供互操作性测试和认证。

联盟为与所有FIDO身份验证器类型(FIDO UAF,WebAuthn和CTAP)互操作的服务器引入了新的Universal Server认证。下图说明了FIDO2体系结构如何对请求访问安全系统上的资源的每个帐户进行身份验证:

为什么您的生物识别技术是您的最佳密码

安全行业几十年来一直在试图杀死密码。长期以来,它一直被视为一种弱点,这主要是由于人为因素造成的:人们继续在多个帐户,工作和个人生活中使用弱密码。

用户名和密码是数十年来可用的最佳身份验证因素,但并未给黑客提供足够的障碍。然后是两因素身份验证,它添加了“您拥有的东西”作为第二因素,例如智能手机,钥匙卡,令牌或与用户相关联的其他有形物品。

如今,每个人都生活在一个多因素身份验证(MFA)的世界中,网络安全技术人员添加了另一个因素:“您的身份”。这是生物识别技术的应用,而借助Apple的Touch ID和Face ID等技术,面部识别,指纹扫描,视网膜扫描和其他形式的生物识别已成为常态。许多年来,许多人已经在iPhone上使用这些技术。

实际上,基于“您拥有的东西”或其他因素都比“您知道的东西”(例如密码或PIN)要强大得多。后者不仅容易被盗,被猜测或被诱骗,而且基于生物识别的认证很难伪造或重复。

简而言之,通过使用两个新的身份验证因素,每天使用电子设备的每个人都越来越接近无密码的现实。网络安全技术人员将继续使身份验证更轻松,更安全,以改善用户体验并减少违规威胁。

特权管理员密码需要首先使用  

30多家声称支持无密码身份验证的供应商的现场表现,让我们得出以下结论:

  • Centrify是唯一优先执行基于FIDO2的特权管理员登录的供应商。它也是为数不多的特别提到对Apple的Touch ID和Face ID以及Windows Hello的支持之一,显示了对FIDO2标准的完全支持
     
  • 事实证明,展示厅中的演示不一致,对于大多数供应商而言,将多种形式的生物识别技术结合在一起是有问题的。在RSA上的演示环境中,没有人能够即时演示其解决方案的多种类型的生物识别技术。在声称拥有此功能的众多供应商中,Centrify的方法是最独特的,因为特权用户身份已得到验证,满足了其以身份为中心的PAM方法的重要支柱
     
  • 所有声称符合FIDO2标准的供应商都能够展示Apple的Touch ID电子指纹识别,而Apple Face ID面部识别产品演示则大受好评。如果您要评估声称符合FIDO2标准的生物识别技术供应商,请确保对面部识别进行压力测试,因为展厅中的演示明确表明了该领域需要做的工作
     
  • 产品管理团队一直在研究NIST 800-53高保证身份验证控制标准,并将其集成到其路线图中。声称无密码身份验证是其产品策略的核心优势的厂商迅速采用了包含NIST 800-53标准的170个控件。使用生物识别技术消除了凭证盗窃技术的风险,并与NIST 800-53高保证身份验证控制标准更好地匹配
     
  • 在能够利用生物识别技术提供的元数据方面,供应商处于不同的成熟度水平,其中一些声称具有实时分析能力。每个供应商对他们如何管理其生物统计信息生成的大量元数据的反应都各不相同,它们都声称还支持分析。Centrify网络安全发言人Torsten George博说:“ Centrify对FIDO2标准的支持是我们对客户的持续承诺及其对特权用户身份的生物特征认证要求的直接结果。将我们对FIDO2标准的支持与我们现有的多因素身份验证和实时分析功能相结合,我们能够大大降低可能利用弱,默认或被盗的特权凭证的安全漏洞。”

结论

RSA的主题“人类元素”是有先见之明的,因为在今年的会议上对无密码认证的过分强调。FIDO2在选择参加该展会的网络安全供应商中获得了坚实的支持,这对于需要自我保护的企业,组织和小型企业来说非常有用。在众多供应商中,Centrify的方法基于其独特的身份中心PAM平台身份验证特权用户身份的方法而脱颖而出。

FIDO2最终可以使安全性更强,破坏力更小,因为它不仅可以消除密码,而且还可以使用户体验更加无缝,并且不太可能被规避。无密码身份验证可确保登录凭据在每个网站上都是唯一的,永远不会存储在服务器上,永远不会离开用户的设备。此安全模型有助于消除网络钓鱼的风险以及所有形式的密码盗窃和重播攻击。

我们比以往任何时候都更加接近实现无密码的未来的目标。

本文为作者 胡慧 独立观点,并不代表 我是CIO 立场。

发表评论

登录后才能评论