身份验证的未来：无密码身份验证为何是未来发展方向

采用无密码认证目前面临着一些挑战 ，身份包括改变带来的验证阻力、与旧系统的无密集成 ，以及初期的码身成本，企业还可能对安全性、份验发展方用户体验 、身份无障碍性 
、验证合规性和数据隐私等方面存在担忧 。无密

为了克服这些挑战，码身公司应该投资于教育，份验发展方逐步整合新的身份解决方案，关注长期的验证投资回报率 ，亿华云确保符合行业标准，无密并为用户提供多种认证选项
。码身

FIDO联盟最近的份验发展方一份报告显示
，87%的公司正在部署或计划部署密钥以加强安全性和改善用户体验 。

“无密码”对不同的人来说意味着不同的东西 ，那么它实际上是什么样的?安全领导者需要做些什么来准备呢?

为什么无密码认证正在兴起

据Yubico称，尽管有更安全的替代方案可供选择，但用户名和密码组合仍然是最普遍的源码库认证方法，与此同时
，借助AI工具的网络钓鱼攻击变得越来越先进。

攻击者不仅窃取密码 ，他们还劫持会话、绕过多因素认证(MFA) 
，并利用设备的漏洞
。

真正的无密码认证意味着没有基于知识的秘密——没有用户必须记住的密码、安全问题或个人识别码(PIN)
，但是，模板下载一些被标记为无密码的系统仍然依赖于密码作为备用方案  。

这在市场上造成了混淆 。一些供应商宣传的无密码多因素认证(MFA)仍然允许在某些条件下输入密码 。那并不是真正的无密码——它只是具有更便捷的第一步的分层安全。

安全领导者应该要求供应商明确说明其实现方式。一个真正的无密码系统应该：

• 使用公钥密码学来验证用户身份

• 将凭据绑定到特定设备或认证器

• 不允许将密码作为备份，除非受到严格限制

FIDO2标准(由FIDO联盟和万维网联盟(W3C)制定)是当前的建站模板金标准  ，它支持使用密钥和生物识别令牌进行认证 ，而无需中央共享密钥 。

科技巨头们已经在采取行动，苹果、谷歌和微软已经在设备和浏览器中推出了密钥支持
。

Okta高级副总裁兼首席安全官Charlotte Wylie指出：“无密码策略为减轻密码疲劳提供了最佳解决方案。当公司采用无密码策略时 ，密码所带来的挑战——包括账户安全性和用户体验差、生产力损失以及成本增加——都将被消除。”

CISO采用无密码认证的策略提示

随着网络安全领域向更安全、更友好的认证方法转变  ，CISO必须谨慎地对待这一转变 
。源码下载以下是朝着正确方向迈进的五个提示 ：

审核你当前的认证堆栈：确定密码仍在使用的地方 ：内部应用程序
、第三方软件即服务(SaaS) 、旧系统。完成后，优先处理高风险或高摩擦用例 。

从高影响用户群体开始 ：为能够访问敏感系统的高管
、开发人员和管理员试点无密码选项。使用像YubiKey或密钥这样的强认证器
 。

利用支持FIDO2的身份提供商：确保你的高防服务器身份提供商(如Okta 、Azure AD、Ping等)支持现代无密码协议，并能与你的现有目录和应用程序集成
。

教育和培训用户 ：无密码认证只有在用户信任该系统时才有效。解释其好处
，提供自助注册指南 ，并为无障碍性或设备问题提供替代方案。

不要放弃备用安全方案
：使用抗网络钓鱼的方法(如次要设备认证或身份验证)建立恢复流程。避免重新引入密码作为备用方案 。

展望未来

一旦企业采用无密码认证 
，跟踪系统性能就变得至关重要，以衡量其成功与否。对于CISO来说 ，衡量ROI和对安全性的影响是证明解决方案价值的关键 ，监测系统的有效性 ，并确保其成功降低风险是很重要的。

CISO应该关注关键指标，如用户采用率、阻止的网络钓鱼尝试次数以及安全事件的整体减少情况。随着时间的推移，他们可能会看到成功阻止的网络钓鱼尝试次数减少、凭据盗窃事件减少，甚至与密码重置相关的IT支持成本降低。

展望未来，无密码认证将成为各行各业的常态。随着这项技术的进步，企业应该尽早采用它，以降低风险
、减少IT支持成本 ，并走在监管变化的前面 。

AI和机器学习将通过跟踪用户行为和发现异常模式来增强无密码认证，这些工具有助于在保持登录过程简单的同时加强安全性 ，并根据潜在风险调整要求。

Stytch的CTO Julianna Lamb表示
：“首先，未来将是无密码的。虽然许多公司可能还没有准备好切换到无密码(出于各种原因，许多公司也确实没有准备好)，但我相信 ，在未来十年到二十年里，我们将看到无密码认证在所有行业和用例中得到普及 ，因为它们更加安全和用户友好。”