无密码身份认证与多因素身份认证
作者: 日期:2022年02月22日 阅:1,933

无密码身份认证和多因素身份认证(MFA)不再是IT圈内的流行语。它们早已成为日常生活的一部分。如今,我们通过面部识别解锁手机,用身份认证器APP登录进工作业务系统,或者用手机短信中收到的PIN码(Personal Identification Number,个人密码)访问敏感文档。

而且技术不会止步于此——MFA和无密码解决方案都在以惊人的速度增长。到2026年,全球MFA市场规模预计将增长到235亿美元。到2030年,全球无密码身份认证市场规模预计将达到4567.9亿美元

但是,即便围绕无密码身份认证和多因素身份认证(MFA)的宣传铺天盖地,人们对于每个安全协议的目的、有效性和困难挑战仍然存在混淆。本篇文章定义了这两个名词术语,解释了它们之间的核心区别,并且就如何为您公司的IT环境选择最佳认证方案提供建议。

一、什么是无密码身份认证?

无密码身份认证(Passwordless authentication),顾名思义,不用密码就能证明用户的身份。这听起来好得令人难以置信,但它起效的原因是你的身份不必通过密码等知识因素进行认证。你可以通过展示你身体的一部分(生物特征因素),或者用你在自己的设备或应用程序上收到的访问密码或链接(占有因素)进行证明,以及已经以各种方式测试和已实施的方法。

可以想象,无密码身份认证在员工中很受欢迎,因为他们不再需要记住长而复杂的密码。相反,他们使用他们无法忘记的东西登录软件,比如他们的指纹或手机。无密码身份认证还使IT方面的工作变得更轻松。IT运维管理人员不需要存储密码、发送密码重置提醒或监控因密码泄露而可能发生的安全事件。由于没有密码可以猜测或窃取,网络犯罪分子很难收集到他们想要的数据。

二、什么是多因素身份认证?

多因素身份认证(Multi-factor authentication,MFA)是一种数字身份认证系统,需要用户通过多个身份认证查验点。MFA类似于无密码身份认证,因为它可以利用生物特征或占有因素,但不同的是MFA仍然使用用户名和密码。

要登录配置了MFA的系统,你需要像平时一样输入你的用户名和密码。然后,系统会提示你出示或输入其他内容,比如通过身份认证器APP发送的一次性访问密码、发送到你邮箱的魔术链接、你的指纹。一旦你通过了这些小测试,你就登录进系统了。

你可以把MFA看作带有锁、视网膜扫描和密码的门。就像密码一样,锁可能很容易被撬,但复制视网膜扫描或破解接收一次性密码的设备则非常困难。拥有多层保护严重限制了犯罪分子可以造成的损害。

三、MFA和无密码身份认证的区别

虽然无密码身份认证与多因素身份认证有一些相似之处,但它在身份认证、安全性、易用性、可扩展性和成本方面也存在一些明显差异。

  • 认证

MFA通过在静态密码之上添加额外的身份认证因素来提升企业组织对某个用户进行认证核实的信心。例如,基于MFA的系统可能会提示用户输入密码,然后使用语音识别作为辅助身份认证因素,并使用一次性密码作为第三种身份认证因素。

无密码身份认证完全消除了对密码的需求,取而代之的是占有或生物特征因素。在上面的例子中,某些人可能只使用语音识别进行身份认证。

  • 安全

毫无疑问,MFA和无密码身份认证都为企业组织带来了更高级别的安全性,但它们确实也有局限性。由于MFA系统使用用户名和密码作为主要身份认证方法,因此它们很容易受到网络钓鱼和暴力攻击。第二种或第三种身份认证方法可能会阻止网络犯罪分子更进一步,但这些认证方法必须非常严密才能防止全面攻击。

如果一次性密码或魔术链接被拦截,即使是无密码身份认证也可能成为特洛伊木马、浏览器中的人或恶意软件攻击的牺牲品。而且,虽然罕见,但攻击者已经重建了人们的指纹和声音,以规避生物识别认证。

  • 易用性

无密码身份认证通常被认为比MFA更快、更方便。用户不必将密码提交到内存中,而只需使用一种身份认证方法。MFA更耗时且对时间更敏感(一些密码在10秒内过期),尤其是当员工每天登录多个业务应用系统时,密码有效时间过短非常容易让员工感到沮丧、崩溃。

同时,无密码身份认证中使用的生物特征和占有性认证因素用户体验并不总是友好的。例如,通过USB驱动器接收私钥的员工必须一直随身携带该设备,如果USB损坏或丢失,就无法登录进任何应用程序。读取指纹和面部的能力也可能因扫描仪的复杂程度而有所不同。

  • 成本和可扩展性

实施无密码身份认证任务艰巨且开支巨大。选择正确的软件、选择身份认证方法、安装新设备、创建项目计划以及处理变更管理只是无密码身份认证项目的众多组件中的一小部分。另一方面,MFA可以像要求员工下载身份认证器APP或注册邮箱来接收魔术链接一样简单。

  • 两全其美

由于无密码身份认证可以说更安全,但实施时间更长,因此许多公司首先使用MFA。这不仅使用户习惯了各种身份认证方法,而且还使IT部门有时间制定全面的项目计划。一旦每个人都感到舒适并准备就绪,企业组织就会进入一个完全无密码的环境。一些企业组织更进一步,将这两种方法结合成无密码的MFA。

不过,只使用任何一种MFA解决方案可能都不是无密码身份认证的最佳起点。宁盾的全场景多因素身份认证对你的最终用户而言更便于使用,且容易设置。只需点击一个按钮,就可以启用MFA来限制用户对网络接入、业务应用、网络设备等的访问。

你还可以为企业组织选择最佳的身份认证方法,不论是推送认证、短信认证、硬件令牌、手机APP令牌还是嵌入在企业微信、飞书、钉钉中的H5令牌。最给力的是,当企业组织启用了宁盾MFA时,它可以在整个企业组织中工作,无论员工是在家办公还是在出差,宁盾MFA都可以对使用内外网访问企业资源的员工进行身份认证。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章