一些比非常不安全的密码认证更安全的认证方式

密码是全球用户认证的最常见方式，其使用率在过去的十多年来一直在缓慢下降。比尔盖茨在2004年的RSA会议上声称，“毫无疑问，随着时间的推移，人们对密码的依赖会越来越少......他们只是没有遇到真正想确保任何事情的挑战。”

为了保护公司资产和员工安全，保持可接受的安全标准，企业需要开始认真考虑替代基于密码的系统的方案。

密码的主要问题有两个：首先，密码并不安全。世界上的每家公司都使用它们对用户进行身份验证，以确认他们是他们所说的人，但Verizon最近的一项研究表明，大多数黑客利用弱密码或可猜测的密码进行攻击。此外，密码很容易被黑客使用各种方法窃取或提取，例如冒充您认识或信任的人获取登录信息或个人详细信息。

诸如暴露密码明文或数字副本之类的粗心做法也是导致密码安全性降低的主要原因，想象一下下次你在一张纸上写下你的工作帐户密码并把它粘在办公室的办公桌抽屉里。

有许多示例证明了密码被盗的漏洞。2017年，在线图像共享社区Imgur因为安全协议较弱导致黑客从公司数据库中窃取了大量用户密码，这件事情成为了当时的头条新闻。黑客入侵了170万个帐户。

2018年，英特尔处理器爆出一个存在多年的漏洞，该漏洞可以让黑客获得了访问内存和身份验证凭据的权限。最近，美国研究人员发现了Zyklon病毒重新传播，这是一种恶意软件程序，利用Microsoft应用程序中的漏洞窃取密码和其他个人信息。名单还在继续。

该问题的第二个方面是密码要求用户记住大多数帐户的大量字母/数字/字符组合，说句实在话，这是完全不现实的，而通过简单地为多个帐户设置重复相同的密码只会增加安全风险。

虽然密码仍然在几乎所有行业和公司中使用，但是大量的替代工具已经开始进入我们的日常工作，并且在不久的将来会完全替换密码。

以下是最受欢迎的密码替代方案的一些优缺点，可能会适合您的公司，毕竟所有密码都将被淘汰。

安全令牌

软件和硬件的令牌提供合理的安全级别，因为它们要求任何用户在登录时拥有特定项目。令牌并不联网，而是基于与中央服务器同步的“种子记录”生成一次性密码。许多当前令牌技术甚至不需要用户手动键入密码，而是通过设备的近场通信将它们传输到PC或便携式计算机。

相关：网络安全的措施和注意事项，以帮助您保护您的业务和资产

一家在这个行业取得进展的公司是总部位于纽约的Tokenize。其产品允许将从信用卡购买到解锁计算机等的全部操作和设备同步到小型可穿戴戒指令牌。

然而，由于多种原因，令牌对企业提出了严重的后勤挑战。首先，基于令牌的系统部署起来很昂贵，因为每个用户都需要拥有自己的设备。此外，使用令牌的用户必须在登录时随身携带其令牌，还要保护好，不能弄丢了。

生物识别技术

生物特征识别技术是指纹和面部扫描等标识符。这种方法在用户中越来越受欢迎，Apple的Touch ID和Face ID等应用程序现在非常普遍。从安全角度来看，生物识别技术的优势在于该技术基于用户自身。例如，指纹不会像其他验证者那样丢失或被黑客攻击。生物识别技术也倾向于提供更好的用户体验，因为许多指标都可以快速轻松地进行身份验证。

许多技术领导者已开始为身份验证提供可扩展的生物识别解决方案。 Microsoft Hello for PC现在具有指纹和面部识别选项，并且公司将在未来提供更多与该应用程序兼容的更多设备。

然而，生物识别技术有其缺点。许多常见的生物识别系统仍然存在准确性问题，而且可能很贵。生物识别技术也容易受到黑客的攻击。日本研究人员去年的研究结果显示，只需使用高分辨率照片即可伪造生物识别标记。

更重要的是，近年来支持生物识别技术的基础设施已经下放，以避免被攻击者窃取的生物识别信息的中央数据库。因此，身份验证实际上归结为私钥/公钥的交换 - 这意味着仅仅窃取密钥就可以窃取用户的身份，根本不用伪造或拥有任何生物识别数据。

考虑到所有这些风险因素，国家标准与技术研究所建议不要将生物识别技术作为一种单独的认证方法，这一点也就不足为奇了。

基于电话的身份验证器

手机认证正在迅速成为行业领先的解决方案。目前有三种利用移动电话进行认证的方法。

相关：数字钱包和移动支付如何发展以及它对您意味着什么

推送通知 用户通过应用程序由向服务器发送访问请求，该服务器立即返回安全性质询或发生身份验证的消息。这种方法的一大优势是它提供了流畅的用户体验，因为不需要查找一次性密码或携带其他冗余设备。

此外，用户体验很好，因为无需记住密码或携带其他设备。推送仅需为应用程序响应通知，这些通知会直接发送到用户的移动设备。

Secret Double Octopus利用密钥共享加密技术，为用户的在线平台，互联网应用程序和网络（如Active Directory）提供无密码，高保证的访问。

软件令牌 相对于硬令牌的概念可以简称为软令牌。但是，它不使用额外的硬件，而是使用智能手机的时钟和安装的应用软件中包含的算法来计算一次性代码。

认证软件的领导者之一是荷兰公司CM.com。CM提供一系列一次性密码生成应用程序，专门为企业级应用而设计。

然而，软令牌有一个缺点。由于软令牌的一次性密码位于连接网络的设备上，因此它们本身就更容易受到攻击，因为它们会受到黑客远程拦截和复制应用密码的威胁。

相关：这是2017年最糟糕的25个密码

短信 一次性密码称为SMS身份验证。最初，除密码外还使用SMS。但是，由于密码本身可以通过接受SMS重置，密码的重要性减少了，更多的应用程序开始使用SMS作为密码替代。SMS一次性密码的最大优点是它们不需要在用户的移动设备上安装任何应用程序。

Gemalto是一家在马里兰州贝尔坎普（Belcamp）运营的数字安全公司，为短信密码交付提供了一个用户友好、业务兼容的解决方案。该公司的一次性密码应用程序允许用户基于业务环境进行安全性优化设置，并可与PC或笔记本电脑同步。

SMS消息的缺点是在安全性方面很弱。通过短信发送的密码可能会以三种方式中的任何一种泄露：模仿手机所有者，黑客入侵蜂窝网络以及将恶意软件分发到移动设备本身。

即将到来的范式转变

所有的迹象都指向了密码认证的转变，大型科技公司一直忙于创新密码认证的替代，用户也开始有更换认证方式的需求。了解不同认证方法的优点和缺点的知识，公司和个人用户可以找到最适合其需求的身份验证解决方案。