采用無密碼認證目前面臨著一些挑戰，包括改變帶來的阻力、與舊系統的集成，以及初期的成本，企業還可能對安全性、用戶體驗、無障礙性、合規性和數據隱私等方面存在擔憂。

　　為了克服這些挑戰，公司應該投資于教育，逐步整合新的解決方案，關注長期的投資回報率，確保符合行業標準，并為用戶提供多種認證選項。

　　FIDO聯盟最近的一份報告顯示，87%的公司正在部署或計劃部署密鑰以加強安全性和改善用戶體驗。

　　“無密碼”對不同的人來說意味著不同的東西，那么它實際上是什么樣的?安全領導者需要做些什么來準備呢?

　　為什么無密碼認證正在興起

　　據Yubico稱，盡管有更安全的替代方案可供選擇，但用戶名和密碼組合仍然是最普遍的認證方法，與此同時，借助AI工具的網絡釣魚攻擊變得越來越先進。

　　攻擊者不僅竊取密碼，他們還劫持會話、繞過多因素認證(MFA)，并利用設備的漏洞。

　　真正的無密碼認證意味著沒有基于知識的秘密——沒有用戶必須記住的密碼、安全問題或個人識別碼(PIN)，但是，一些被標記為無密碼的系統仍然依賴于密碼作為備用方案。

　　這在市場上造成了混淆。一些供應商宣傳的無密碼多因素認證(MFA)仍然允許在某些條件下輸入密碼。那并不是真正的無密碼——它只是具有更便捷的第一步的分層安全。

　　安全領導者應該要求供應商明確說明其實現方式。一個真正的無密碼系統應該：

　　• 使用公鑰密碼學來驗證用戶身份

　　• 將憑據綁定到特定設備或認證器

　　• 不允許將密碼作為備份，除非受到嚴格限制

　　FIDO2標準(由FIDO聯盟和萬維網聯盟(W3C)制定)是當前的金標準，它支持使用密鑰和生物識別令牌進行認證，而無需中央共享密鑰。

　　科技巨頭們已經在采取行動，蘋果、谷歌和微軟已經在設備和瀏覽器中推出了密鑰支持。

　　Okta高級副總裁兼首席安全官Charlotte Wylie指出：“無密碼策略為減輕密碼疲勞提供了最佳解決方案。當公司采用無密碼策略時，密碼所帶來的挑戰——包括賬戶安全性和用戶體驗差、生產力損失以及成本增加——都將被消除。”

　　CISO采用無密碼認證的策略提示

　　隨著網絡安全領域向更安全、更友好的認證方法轉變，CISO必須謹慎地對待這一轉變。以下是朝著正確方向邁進的五個提示：

　　審核你當前的認證堆棧：確定密碼仍在使用的地方：內部應用程序、第三方軟件即服務(SaaS)、舊系統。完成后，優先處理高風險或高摩擦用例。

　　從高影響用戶群體開始：為能夠訪問敏感系統的高管、開發人員和管理員試點無密碼選項。使用像YubiKey或密鑰這樣的強認證器。

　　利用支持FIDO2的身份提供商：確保你的身份提供商(如Okta、Azure AD、Ping等)支持現代無密碼協議，并能與你的現有目錄和應用程序集成。

　　教育和培訓用戶：無密碼認證只有在用戶信任該系統時才有效。解釋其好處，提供自助注冊指南，并為無障礙性或設備問題提供替代方案。

　　不要放棄備用安全方案：使用抗網絡釣魚的方法(如次要設備認證或身份驗證)建立恢復流程。避免重新引入密碼作為備用方案。

　　展望未來

　　一旦企業采用無密碼認證，跟蹤系統性能就變得至關重要，以衡量其成功與否。對于CISO來說，衡量ROI和對安全性的影響是證明解決方案價值的關鍵，監測系統的有效性，并確保其成功降低風險是很重要的。

　　CISO應該關注關鍵指標，如用戶采用率、阻止的網絡釣魚嘗試次數以及安全事件的整體減少情況。隨著時間的推移，他們可能會看到成功阻止的網絡釣魚嘗試次數減少、憑據盜竊事件減少，甚至與密碼重置相關的IT支持成本降低。

　　展望未來，無密碼認證將成為各行各業的常態。隨著這項技術的進步，企業應該盡早采用它，以降低風險、減少IT支持成本，并走在監管變化的前面。

　　AI和機器學習將通過跟蹤用戶行為和發現異常模式來增強無密碼認證，這些工具有助于在保持登錄過程簡單的同時加強安全性，并根據潛在風險調整要求。

　　Stytch的CTO Julianna Lamb表示：“首先，未來將是無密碼的。雖然許多公司可能還沒有準備好切換到無密碼(出于各種原因，許多公司也確實沒有準備好)，但我相信，在未來十年到二十年里，我們將看到無密碼認證在所有行業和用例中得到普及，因為它們更加安全和用戶友好。”