无密码身份验证无处不在，但无处不在

密码是一种普遍使用的身份验证方法，但是它们容易受到各种攻击的攻击，包括社会工程，网络钓鱼，密码填充和恶意软件。尽管采用多因素身份验证或MFA可以降低风险，但密码仍然是薄弱环节。

密码还会在登录工作流程中造成摩擦，从而降低用户和客户体验。采取措施来提高安全性（例如要求使用长而复杂的密码并强制定期更改密码）会加剧人们的沮丧感。

Gartner预测，到2023年，将有30％的组织使用至少一种形式的无密码身份验证，从而消除静态的存储密码-与目前只有5％的显着增长相比，有了很大的提高。但是，技术限制使得无密码身份验证的通用方法变得难以捉摸。

这是当今企业中使用的三种主要的无密码身份验证方法。身份和访问管理或IAM负责人必须检查每种方法，其增加的价值及其在不同用例中的适用性，以确定最适合其组织的方法。

替换旧密码作为唯一的身份验证因素

无密码身份验证的一种选择是基于其他类型知识的单因素身份验证，例如图片或图案。学术研究表明，与密码相比，这些方法更容易让人记住并提供更好的总体用户体验。但是，这些技术的市场吸引力缓慢。

令牌通常被视为MFA中的元素，也可以用作单因素身份验证方法。智能手机或快速身份验证在线安全密钥（称为FIDO2）是令牌身份验证的两个选项。

最后，使用指纹，面部或其他生物特征进行安全保护的生物特征认证是最完善的无密码认证类别。当前，生物特征识别方法广泛用于智能手机和Windows个人计算机。

替换旧密码是MFA中的一个因素

MFA通常被认为是密码和某种其他形式的身份验证（例如SMS代码或硬件令牌）的组合。但是，受PIN保护或启用了生物识别功能的智能卡可以将密码作为MFA的一部分来消除。受PIN保护的智能卡在Windows PC上相当普遍，用于大型企业之间的网络登录，但是对其他设备的支持仍然很少。具有生物识别功能的智能卡很少使用生物识别方法而不是PIN来启用卡或令牌上的凭据，因此具有生物识别功能。

移动推送是一种更为流行的MFA选项，它使用基于应用程序的“电话即代币”身份验证。将本地PIN或生物识别方法与移动推送集成在一起，可以创建单步无密码MFA。

最后，FIDO2为移动MFA提供了另一种方法。结合本地“手势”，FIDO2 Authenticator实际上是一种多因素软件加密货币令牌。 FIDO2安全密钥可以用作具有本地PIN的外部身份验证器，或用作无密码MFA的设备本机生物识别方法。这种方法仍在出现。

完全消除认证因素

第三种选择是完全消除验证因素，也称为“零因素验证”。在这种情况下，身份验证和访问管理工具可以评估多个熟悉度识别信号，以提升对身份的信任。

一些工具支持基于规则的网络，位置和设备信号评估，以提供无密码登录。其他人则使用大量的熟悉度信号（包括被动行为生物特征识别模式）来进行分析，从而提供了一种更灵活，更具弹性的方法。两种选择仍然受到企业的限制使用，并且都必须在持续的适应性风险和信任评估或CARTA方法中使用。负面信号必须与熟悉程度信号一起评估。

确定无密码身份验证方法

IAM负责人在投资任何无密码身份验证工具之前，必须评估各种考虑因素，例如总拥有成本。额外的安全性和UX好处是否证明了区别？

此外，人们可能不习惯无密码。生物特征识别方法可能会引起隐私问题，而零因素身份验证方法可能被视为“令人毛骨悚然”。无密码方法可以改善UX，但是UX不仅仅是可用性。它包括信誉和可靠性。如果人们看不到熟悉的挑战，他们可能会担心自己的在线资产没有得到适当的保护。

企业越倾向于云，通过访问管理工具或本机FIDO2支持即可实现真正的无密码身份验证。但是，更复杂的企业技术环境和更多用户将使采用单一无密码身份验证方法变得更加困难。

实际上，即使在中等复杂的计算环境中，也无法在任何地方消除密码。但是，IAM领导者应该接受完美并没有取得进展。制定活动最少的凝聚战略，以跨关键用例实施无密码身份验证。专注于提供最大业务价值的东西。

正如伏尔泰（Voltaire）所说：“完美是善的敌人。”仅仅因为您无法在任何地方都推出无密码身份验证并不意味着您不应该在任何地方进行。

Ant Allan是Gartner的副总裁分析师。他是身份和访问管理研究社区以及IT领导者的IAM实践的核心成员，专门研究用户身份验证和其他身份验证技术，以及支持流程，策略和最佳实践。他为SiliconANGLE撰写了这篇文章。

特色图片：TBIT / Pixabay