密码消亡简史

2025年1月3日

“罗马非一日之功”,唯有坚持不懈,付出时间和精力,方能成就伟业,无密码社会的实现和推广亦需遵循此道。

当前,社会上关于无密码身份验证的讨论往往呈现出两极分化的态势——一方面将其简化为一种快速解决方案,另一方面则固守官方术语的描述,缺乏实际应用的灵活性。实际上,无密码身份验证不仅仅是一个解决方案,它更是一个需要时间和持续努力的战略进程。

首先,我们必须正视传统身份验证方法的局限性,例如密码和一次性密码(OTP)。之后,我们就可以采取创新的解决方案来弥补这些缺陷,或直接替代它们,以确保身份验证既安全又便捷。

密码时代的危机

长期以来,传统的认证方式,例如静态密码,在金融领域一直受到密切关注。这些密码为了安全性需要,往往记忆负担大,导致用户为了方便而选择设置尽可能简单的密码或为不同账号设置相同密码。研究显示,大约65%的在线用户倾向于在多个账户中设置同一密码,这就引发了负面连锁反应:一旦某个账户遭到破解,攻击者便能利用相同的凭据侵入其他账户。这样造成的后果显而易见,截止目前,凭证填充攻击和数据泄露已经给金融行业带来了数百万美元的经济损失。

十多年前,一次性密码(OTP)成为了多因素认证(MFA)的一个手段,因为OTP验证需要用户输入具有时效性的临时验证码进行身份验证,为认证过程增加了一层保护,所以人们认为其安全性更高。然而,随着生成式人工智能、SIM卡交换和高级攻击技术的出现,黑客已经可以熟练掌握中间人(MITM)攻击和社会工程学手段的方法,可以轻松拦截OTP信息。OTP的局限性和黑客日益复杂的攻击手段让市场愈加渴求更安全、更便捷的解决方案。

与一次性密码一样,硬件令牌、身份验证应用、智能卡以及带外验证等多因素验证方式,虽然都为线上活动增加了一种安全防护,但对于多数用户而言,这些验证方式过分复杂,因为需要在不同平台或设备间来回切换,过程也更耗时。这些局限性导致的最终后果就是用户体验感不佳,弃购率上升。

单点登录:无密码的前奏

SSO单点登录意味着用户仅凭一个账户就可以访问多个应用程序,极大简化了验证流程,如Gmail和Apple的用户就可以凭借自己的账号实现跨多平台访问。这样不仅减轻了用户多种密码管理的负担,提升了他们的工作效率,还降低了密码重置的请求数量,减少了IT部门的运营成本。这便是开启无密码验证旅程的第一步。

然而,SSO也有局限性:

  • 单点故障:SSO账户一旦被攻破,与此关联的所有应用程序的访问权限都可以被攻击者获取。

  • 广泛权限:SSO可以违反最小权限原则,授予用户更多非必要的访问权限。

  • 会话持久:如果会话未被立即终止,攻击者即使在帐户被停用后仍可能拥有访问权限。

虽然SSO存在安全风险,但不可否认的是它减少了对密码的依赖,奠定了无密码验证的基础。

FIDO2:密码的消亡

SSO简化了身份验证,不过密码仍是其不可或缺的基础,诸如网络钓鱼和凭证重用这类的风险仍然存在,越来越多的人意识到只有彻底摆脱对密码的依赖,线上活动才能免受这类风险的困扰。

苹果、谷歌、微软等科技巨头联合推出了FIDO,正式宣布取代密码,开启无密码验证时代,其更新版的FIDO2更是将安全性和用户体验提升到了新高度。

FIDO2的工作原理

FIDO2是基于公钥加密技术的无密码验证方方案,从根本上解决了与密码相关的安全攻击问题。在FIDO2框架中,验证过程是公钥和私钥的信息匹配和交互,即使攻击者获取了公共服务器上的公钥,也无法获取始终存储在用户本地设备上的私钥。

当用户发起验证时,服务器会发送一个挑战验证信息到用户设备,用户设备使用私钥对该信息签名后返回服务器,随后服务器上的公钥再对签名信息进行解密分析,确认验证成功与否并返回结果信息给用户。这一过程中,私钥从未离开用户设备,意味着即使服务器收到攻击,信息泄露,身份验证过程依然安全。

对金融机构而言,这意味着…

FIDO2利用指纹、面部识别或设备通行密钥等生物识别技术,为线上用户提供了流畅、安全的用户体验。

对于金融机构而言,FIDO2可以:

  • 降低欺诈风险:FIDO2不存在密码,有效抵御了网络钓鱼、凭证填充等基于密码的攻击。

  • 增强用户体验:生物识别和通行密钥简化了身份验证流程,提高了效率和用户满意度。

  • 满足法规要求:无密码的验证方式符合强客户身份认证和数据安全的最新要求。

  • 降低经营成本:通过密码重置、密码风险管理等与密码相关的工作,FIDO2减少了技术部门的工作量和风控负担,降低了运营成本。

HiTRUST:值得信赖的合作伙伴

在HiTRUST,我们深知向无密码验证过渡不可能一蹴而就,这需要周密的战略规划和尖端技术的支撑。因此,我们推出了结合用户行为数据分析与FIDO2最新技术的解决方案,Veri FIDO,旨在提供流畅且安全的用户验证服务。

迈向无密码的未来,这不仅是一个技术上的挑战,更是关于信任构建和保护企业客户及员工安全的重要议题。HiTRUST将始终陪伴您,为您铺平道路,共同开启无密码的新篇章。

分享: