無密碼身份驗證在未來幾年可能將變得更為普遍。我們不妨來看看目前的發展狀況。

[[266964]]

過去幾個月里，微軟和谷歌一直在積極推動無密碼身份驗證。因為在iPhone上首推指紋身份驗證，蘋果已成無密碼身份驗證主要玩家。大多數PC和Mac筆記本電腦如今都提供 Touch ID，所以一到兩年之內這些東西也可以用于無密碼身份驗證。

業內普遍認為密碼已經過時，且是數據泄露的主要原因之一。威瑞森《2019數據泄露調查報告》顯示，超過80%的數據泄露都利用了被盜密碼或弱密碼。所以，業界一直在推動 FIDO ( Fast Identity Online：線上快速身份驗證)之類開放標準，以期幫助安全團隊和開發人員更便利地部署無密碼身份驗證。

另外，專注無密碼身份驗證的Gartner分析師 Ant Allan 預測，到2022年，60%的大型跨國企業和90%的中型企業都將在超過50%的應用場景中實現無密碼身份驗證方法——2018年無密碼身份驗證的用例僅為5%。

可以肯定的是，供應商已經注意到這一趨勢。我們可以從以下8個主流無密碼身份驗證方法窺見向前發展所需的工作。

1. 微軟

微軟身份部門項目管理副總裁 Alex Simons 表示，從密碼整體遷移到健壯易用的身份驗證方式非常重要。

Windows Hello 是微軟密碼終結工作的第一部分。Windows Hello 允許用戶采用生物識別特征或PIN碼解鎖PC和訪問應用程序及自身云資源。微軟無密碼策略的第二部分是Authenticator應用，可使任意平臺 (Mac、Chromebook、安卓、iOS) 用戶在自身智能手機上使用App無密碼登錄賬戶。最后，微軟支持FIDO2，參與行業協作以交付健壯易用的跨平臺無密碼身份驗證。

簡單講，FIDO2由2個標準組成：WebAuthn 和 CTAP( Client to Authenticator Protocol：身份驗證器協議客戶端)。WebAuthn作為基于瀏覽器的API允許Web應用以公鑰加密而非密碼驗證用戶。WebAuthn支持內置身份驗證器，比如微軟 Windows Hello，或者遠程身份驗證器，比如手機或FIDO安全密鑰。CTAP允許遠程身份驗證器與Web瀏覽器“對話”。FIDO聯盟首席市場官 Andrew Shikiar 表示，FIDO2提供能在任何設備和網站上運行的開放標準。

微軟是用FIDO2開放標準支持無密碼身份驗證的首批財富500強公司之一。

2. 谷歌

谷歌賬戶安全集團產品經理 Guemmy Kim 稱，谷歌非常重視雙因子身份驗證(2FA)實現，賬戶安全不完全依賴密碼。他認為，網絡釣魚已經成為安全事件最常見原因之一，保護在線賬戶訪問權，對隱私、金融和其他敏感在線數據的安全防護至關重要。

2FA和基于FIDO標準的無密碼身份驗證，有助于為用戶提供更安全、更便利的安全體驗。谷歌在最近發布的聲明中表示，將在安卓7+手機中內置安全密鑰。

“讓安全更具可用性的方法之一，就是產品全線支持行業標準。這樣一來，隨著用戶經由所用各種服務對標準越來越熟悉，他們也就能夠享受更高水平的安全所帶來的好處。FIDO2標準協議的建立，使業界能夠協同解決網絡釣魚所造成的安全影響。谷歌的下一步目標是在谷歌登錄中啟用FIDO2/WebAuthn。

3. HYPR

HYPR創始人兼首席執行官 George Avetisov 最近一直忙于自己的一個小目標：他想讓人們明白 “共享密鑰” 式密碼須被用戶設備持有私鑰的系統所替代——私鑰可通過指紋或人臉識別進行驗證。

“我們希望終結共享密鑰。部署HYPR后，安全團隊就能賦予用戶身份驗證方式的選擇權了。

沒人喜歡被強迫。澳大利亞的研究表明人們不喜歡人眼識別，而歐洲和美國人對人眼識別接受度更高。HYPR的客戶Mastercard就為其用戶提供了指紋、人臉識別和PIN碼三種身份驗證方式供選擇。

4. SecureAuth

SecureAuth幫助客戶從靠密碼進行驗證的遺留系統遷移到無密碼身份驗證的系統上。該公司首席安全架構師 Stephen Cox 稱，公司企業在邁向無密碼身份驗證的道路上步履蹣跚，因為他們存在依賴密碼的遺留應用，有些應用甚至已經部署了幾十年。

“我們可以在遺留應用前端創建一個 ‘外表面’，讓用戶能夠通過指紋進行驗證，實現身份驗證方式的遷移。我們還在后端做基于風險的身份驗證以保證用戶是合法的。

5. Duo Security

Duo Security 集團產品經理 Steve Won 稱，有三大基石推動著無密碼身份驗證向前發展。首先是蘋果S系列芯片——防竄改，且能保護并管理數字密鑰。接下來是生物特征識別身份驗證技術，以蘋果和安卓產品引領的指紋和人臉識別形式呈現。最后是開放標準，比如FIDO2里包含的WebAuthn和CTAP——使 Duo Security 這樣的公司企業能夠為用戶提供有別于傳統密碼的生物特征識別身份驗證方式。

“基本上，WebAuthn允許非對稱加密，私鑰不會離開用戶的設備，密鑰不會共享。

Duo Security建了兩個教育性網站幫助安全人員了解WebAuthn：一個提供Web身份驗證規范和無密碼身份驗證的基本知識。另一個可供開發人員在其網站上以開源庫演示和測試WebAuthn規范的功能。

6. Yubico

Yubico首席解決方案官 Jerrod Chang 認為FIDO2這樣的開放標準使無密碼Web身份驗證成為了可能。但是，盡管無密碼身份驗證為用戶提供了便利和安全增強，如果用戶想在新設備上登錄賬戶，或者重設密碼，或者在另一臺設備上登錄應用，會出現什么情況呢?

現代人更換設備是常事，設備遺失或被盜也很常見。用YubiKey進行身份驗證就能在多臺設備間安全切換，比如從智能手機切換到筆記本電腦。

YubiKey為用戶提供了存儲在便攜外部硬件設備上的固定憑證，可作為一種安全、可靠的主要或備用無密碼身份驗證方式?；谟嬎阈枨?，用戶也可為每一個賬戶關聯多個YubiKey憑證。

7. Ping Identity

Ping Identity 首席信息安全官 Robb Reck 認為，未來基于風險的持續身份驗證能夠帶來更好的安全與便利性。通過運用多因子身份驗證，Ping Identity 以用戶手機和筆記本電腦中的傳感器進行持續身份驗證，使用戶能夠基于該持續的信任訪問他們的資源。該過程僅在信任喪失時要求進行身份驗證，且只要求用戶申請的交易類型所需要的保證級別。

“終端用戶體驗成功的關鍵就在于，無論消費者從什么設備接入都要能提供驗證。很大一部分面向消費者的業務，比如在線零售，都已轉移到智能手機上進行。因此，客戶體驗計劃應從一開始就將智能手機平臺納入考慮。

Ping Identity 計劃以向移動設備推送通知和提供可掃描的二維碼 (為用戶產生一次性密碼) 來取代密碼。公司企業可運用PingID移動SDK將高級多因子身份驗證(MFA)功能直接植入用戶iOS或安卓移動App，由此平衡安全與客戶體驗。這種方法可使公司企業為用戶提供更方便的登錄方式，無需再記憶冗長的密碼。

筆記本電腦和PC也可如此操作。通過向Windows登錄等過程中引入多因子身份驗證，公司企業既可以更友好的移動身份驗證方法取代密碼驗證要求，也可以在密碼登錄的基礎上增加MFA方法以實現更安全的登錄過程。Ping Identity 在PingID中將 Windows Hello 實現為其中一種身份驗證因子也是出于同樣的考慮。

8. Secret Double Octopus

Secret Double Octopus 市場營銷與客戶成功副總裁 Amit Rahav 表示，過去5年里人們已經習慣了 Touch ID 指紋掃描和人臉識別。但消費者更喜歡在個人智能設備上使用生物特征識別，工作場所中引入此類功能并不容易。

Secret Double Octopus 可幫助用戶在工作場所通過智能手機或FIDO設備驗證工作站、遺留App和云服務，無論設備的操作系統是Windows還是Mac。

“我們賦予用戶360度無死角的健壯無密碼身份驗證訪問體驗。用戶接入公司網絡、云應用、遺留App、WiFi或虛擬桌面服務時無需重置和記憶晦澀難懂的密碼。

相關資料：

• 威瑞森《2019數據泄露調查報告》：https://enterprise.verizon.com/resources/reports/dbir/
• 谷歌有關安卓手機內置安全密鑰的聲明：https://cloud.google.com/blog/products/identity-security/now-generally-available-android-phones-built-in-security-key
• Duo Security 的WebAuthn學習網：https://webauthn.guide/

【本文是51CTO專欄作者“李少鵬”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文