2023 年最先进认证方式上线,Authing 推出 Passkey 无密码认证
密码并非是当前数字世界才有的安全手段。古今中外诸如故事中的《阿里巴巴与四十大盗》的“芝麻开门”口诀,或是江湖中“天王盖地虎,宝塔镇河妖”等传统的口令形式,都是以密码作为基本形态进行身份认证。然而,随着密码在越来越多敏感场景的应用,密码技术的安全性面临着不断的挑战。业务上云、生态协作、多云混合等场景涌现以及移动互联、IoT 设备的广泛应用,导致大量身份验证场景需要使用密码进行用户身份认证。密码这一传统身份认证方式已经难以得到可靠的认证保障,随之出现各种新身份认证方式,其中就包括无密码身份认证。
01.密码面临困境
密码简单且重复使用
密码本质上是不安全的。它可以被窃取、猜测或被暴力破解。但大多数情况下,人们会使用一些低级的密码。更糟糕的是,他们还重复使用。在 Bitwarden 最近的一项调查中,84% 的受访者表示他们重复使用密码,超过一半的人表示他们在 5 个或更多网站上重复使用密码。对于用户而言,记忆大量不同平台密码本身就不友好,这也促使用户变得懒惰、草率应付密码设定,使建立密码基础之上的安全建设摇摇欲坠。长此以往,使用重复的账号和口令,导致一个账号口令被攻破,所有的平台系统信息会出现泄露风险。
密码被盗用
我们认为自己使用了复杂的密码并定期更换,但盗用的风险依然存在。攻击者通过社会工程学手段来获取用户秘密数据。中间人攻击、暴力攻击、撞库攻击和重放攻击都是网络钓鱼攻击的典型示例。即使现在,这些威胁依然呈现上升趋势。据 Perception Point 数据显示,网络钓鱼攻击在 2023 年上半年的频率较前六个月激增了 41% 。企业迫切需要采取更为先进和全面的安全措施来有效应对不断演变的网络威胁。
密码管理难
由于密码的集中建设,包括密码资源池、密码服务等,密码运营管理的复杂度随之上升,如何实现密码的监控、实时预警及密码的动态扩展等需求,也都是现阶段要考虑的问题。同时,许多组织设置的密码策略要求员工经常更改密码、记住多个复杂的密码,并在忘记密码时重新设置密码,需要花费大量的时间和资源,也给 IT 部门带来了解决密码相关问题的巨大负担。
02.什么是无密码认证?
由于密码的不可靠性,向无密码登录服务的转变至关重要。许多用户粗心大意,在各类服务中使用薄弱的密码或使用重复的密码,导致他们的账户很容易受到黑客攻击。Passkey 基于 WebAuthn(一种 Web 身份验证标准)实现了一个比传统密码更安全的认证选择。WebAuthn 通过设备端生成的非对称密钥对来进行用户鉴权,取代用户密码的鉴权方案。它的原理和我们传统上使用的 U 盾或者硬件钱包类似,用户使用设备内保存的私钥做数字签名来向服务器认证自己的身份。2023 年起已经得到了 Google、Apple、AWS 等厂商的认可和大力推广。Passkey 是操作系统级别的 WebAuthn 实现,由各种设备和系统提供商定制。例如,苹果的 Passkey 使用 iCloud 钥匙串中存储的密钥进行跨设备同步。用户可以使用 iCloud 自动加密同步自己的设备私钥,以达到多个设备同时自动登录一个网站的体验。然而,这种方法通常限定于特定的平台或系统。
03.快速接入 Passkey 无密码认证能力
创建用户专属 Passkey
终端用户可在「个人中心」配置 Passkey 登录方式。
查看所有 Passkey
终端用户可以查看自己创建的所有 Passkey。
使用 Passkey 方式登录
除了基于 WebAuthn 的推送登录能力外, 当前 Authing 终端用户也可在「个人中心」配置 Passkey 登录方式 ,是 Authing 对最新无密码登录能力的快速支持。管理员开启登录方式,且终端用户完成配置后可以在登录时选择使用 Passkey 方式登录。
一键开启 Passkey 登录能力
用户池管理员可以在自建应用或 SSO 面板的登录方式配置中,为应用开启 Passkey 登录能力。
评论