无密码的悖论

无密码的悖论 安全与不安全 EBOOK 03密码的问题 05无密码意味着什么？06无密码的好处 07对于客户 08对于员工 目录10为什么我们还在使用密码？ 12采用路障 13无密码之旅 15集中式身份验证 17逐步淘汰密码 20FIDO 21零登录 22Conclusion 密码的问题 Conclusion 旅程无密码 收养路障 为什么我们仍然使用密码？ 去的好处无密码 这意味着什么去无通行证？ 的问题与密码 密码的问题 无论您如何分割，密码都会带来可用性和安全性问题。它们是我们已经麻木的公认不便，并且它们有两个主要缺点： 密码对用户不友好 普通人有100多个密码1，而且这个数字只会继续增加。随着员工和客户拥有比以往更多的密码来跟踪 ，他们的挫败感也只会继续增长。 虽然短而简单的密码很容易记住，但它们很弱，很容易被破解。组织以安全的名义迫使用户创建长而复杂的密码。但是所有这些都使用户更加沮丧，同时也增加了他们在多个网站上重复使用相同密码的可能性。 密码不安全 为什么？70％的人在各个网站上使用相同的用户名和密码，这很容易成为犯罪分子的目标2。如果凭据通过网络钓鱼或蛮力攻击而被破坏，黑客可能会尝试在其他地方重复使用这些相同的用户名和密码组合。在暗网论坛上流通着超过150亿个被破坏的凭据3，难怪80%的违规涉及蛮力攻击或使用丢失或被盗的凭证4. 无密码悖论 4 EBOOK 密码的问题 没有密码意味着什么 ？ 去的好处无密码 为什么我们仍然收养 使用密码？路障 旅程无密码 Conclusion 没有密码意味着什么？ 无密码有两个主要阶段： 1.使用更少的密码：通过单点登录(SSO)减少密码占用空间。SSO通过减少用户必须管理的凭据总量以及他们必须登录的频率来减少攻击面。然后，通过多因素身份验证（MFA ）加强密码安全性。最后，使用更强大，更方便的身份验证选项（例如生物识别，推送通知或QR码）替换密码。 2.完全摆脱密码：最终，您的组织的目标是使用户能够注册帐户而无需使用密码。这可能涉及在初始注册期间使用数字ID打样，然后使用基于标准的方法，例如FIDO 在这种情况下，用户可以通过生物识别因素（例如自拍或指纹扫描）以及他们的移动设备来创建与他们的身份紧密绑定的帐户，而无需创建密码。 是时候无通行证 到2025年，超过50％的员工和超过20％的客户身份验证交易将无密码，而目前这一比例不到10％。5 我们已经确定密码是错误的。然而，尽管它们有缺点，密码仍然无处不在。采用无密码身份验证可以解决密码的固有问题，从而提供更强的安全性和更好的用户体验。 1.AdamRowe“研究显示普通人有100个密码”Tech.co，2021年11月9日；来源 2.格里菲斯，埃里克，“停止在多个网站上使用相同的密码！不，真的”PCMag，2021年9月21日；来源 3.从曝光到收购：允许账户收购的150亿被盗凭证，数字阴影，2020;来源 4.Verizon2020数据泄露调查报告；来源 5.Gartner，“采取3个步骤实现无密码认证”；来源 EBOOK无密码悖论5 无密码的好处 去的好处无密码 这意味着什么去无通行证？ 的问题与密码 为什么我们仍然 使用密码？ 旅程 无密码 收养 路障 Conclusion 无密码为客户带来的好处 减少客户流失 创建和跟踪多个不同密码的挫败感对企业来说是有代价的。59％的消费者放弃了帐户或在线体验 ，因为登录过程太令人沮丧6。无密码提高了客户参与度，降低了放弃率，客户热身到无密码 并最终推动更高的收入。事实上，客户正在逐渐转向无密码：46%的消费者表示他们更喜欢提供密码替代方案的网站，53%的消费者表示使用MFA登录网站或服务时感觉更好。7 利用客户熟悉的生物识别方法 通过客户已经熟悉的媒体提供无密码身份验证，例如在智能手机上进行生物识别登录，企业可以使在线访问无缝和安全，以进一步提高 客户体验。 消除密码重播风险 无密码也会使利用密码的攻击过时，例如凭证填充和其他类型的暴力攻击。 46%53% 消费者更喜欢提供密码替代方案的网站使用MFA登录网站的消费者感觉更好 减少密码使用以取悦和保护客户 来源：PingIdentity《2021年消费者调查：品牌忠诚度在登录中获得》 6.Ping身份，“平衡行为：通过便利和安全赢得信任”；来源 7.PingIdentity，“2021年消费者调查：品牌忠诚度在登录中获得”；来源 EBOOK无密码悖论7 无密码对员工的好处 提高生产率和节约成本 在员工身份方面，密码对组织来说非常昂贵。为了说明，平均而言，每年因密码重置而丢失11个小时，每天花费12分钟进入和重置 密码8，33%的IT部门票证与密码有关9。对于拥有15,000名员工的公司，每个组织的生产力损失估计成本平均每年为520万美元10花费更少的时间输入和重置密码意味着更高的员工生产力和更小的压力帮助办公桌。 借助Ironclad网络钓鱼攻击保护(FIDO)增强安全性 鉴于80％的违规行为涉及蛮力攻击或凭据丢失或被盗11，无密码的安全好处再明显不过了。尽管有许多不同的无密码方案可供选择-所有这些方案都将极大地改善您的安全状况-FIDO身份验证是抵御网络钓鱼攻击的最佳防御。 降低数据泄露风险 密码也会增加您的违规风险。凭据填充攻击会影响在多个在线帐户中重复使用其登录凭据的用户 。这些类型的攻击最多可以在2％的时间内成功12。这个统计数据似乎没有那么大威胁，但是如果你有1000名员工或客户，并且依赖密码，它可以转化为多达20个受损帐户。采用无密码的组织 员工的身份验证将大大降低其安全风险，并提高员工的生产率和满意度。 数据泄露的平均成本为424万美元。 资料来源：2021年数据泄露成本报告，IBM安全。 Conclusion 旅程 无密码 收养 路障 为什么我们仍然 使用密码？ 去的好处无密码 这意味着什么 去无通行证？ 的问题与 密码 8.“每年重置密码最多11个小时”;来源 9.Ping身份，“我们的无密码未来：安全的新时代”；来源 10.“每年重置密码最多11个小时”;来源 11.Verizon2020数据泄露调查报告；来源 12.索弗森，贾罗德。“你的登录成功率对你的凭证填充威胁的看法”，来源 EBOOK无密码悖论8 密码的问题 没有密码意味着什么 ？ 去的好处无密码 为什么我们仍然收养 使用密码？路障 旅程无密码 Conclusion 无密码的价值 客户 Employees 减少客户 Churn 提高生产率和节约成 本 利用客户熟悉的生物 识别方法 用户体验 增强的安全性和强大的网络钓 鱼攻击预防(FIDO) 消除密码重 播风险 降低数据泄露风 险 底线： 完全接受无密码认证符合所有组织的最大利益。通过向客户提供无密码认证，企业可以 改善用户体验，减少放弃，并改善 同样，为员工采用无密码身份验证的组织将大大降低其安全风险，并提高员工的生产率和满意度。 EBOOK无密码悖论9 为什么是 我们还在使用密码吗？ 100% 的受访者表示，他们认识 到 无密码的好处，但是 83% 那些没有密码计划的人承认，这是因为他们的组织不确定如何实施它 ，并且 33% 说缺乏经验是收养的障碍 为什么我们还在使用 密码？ 以下是PingIdentity采访了600位IT领导者的最新无密码调查的一些统计数据： • • 100％的受访者表示，他们认识到Passwordless的好处，BUT 没有密码计划的人中有83％承认这是因为他们的组织不确定如何 实施,AND •33％的人说缺乏经验是采用的障碍 Conclusion 旅程无密码 收养路障 为什么我们仍然使用密码？ 去的好处无密码 这意味着什么去无通行证？ 的问题与密码 Ping身份，“我们的无密码未来：安全的新时代”；来源 其含义很明显：尽管大多数组织都希望追求无密码，并充分认识到其好处，但采用率仍然很低，因为许多组织根本不知道从哪里开始。 这是由于常见的采用障碍和没有标准化蓝图的事实，因为每个组织都是不同的，需要自己独特的定制方法。 EBOOK无密码悖论11 采用路障 遗留应用程序和技术债务 当今的许多企业仍然依赖于围绕密码构建的遗留系统、应用程序和注册流： 由于关键的日常操作是在这个传统的基础架构上运行的，因此将它们重新布线为无密码，并有可能停机是一项高风险的工作。 许多遗留应用程序不使用开放标准，这是无密码身份验证所必需的。 兼容性问题也阻碍了采用无密码解决方案。组织需要充分的信心，他们的系统将与无密码解决方案兼容。这是一个重大障碍，阻碍了采用无密码解决方案的下一个障碍。 对改变的恐惧 继续使用密码与预先存在的传统基础设施是阻力最小的路径。所有相关利益攸关方往往缺乏关于无密码益处的教育。 各种用户场景 对于无密码没有一刀切的方法。每个组织都是不同的，不同的用户通常必须以不同的方式进行身份验证。不同的用户场景和用例集合，加上缺乏开箱即用、即插即用的无密码解决方案，可能会阻止无密码的采用。 的问题与 密码 这意味着什么 去无通行证？ 去的好处 无密码 为什么我们仍然 使用密码？ 收养 路障 旅程 无密码 Conclusion EBOOK无密码悖论12 无密码之旅 Conclusion 旅程无密码 收养路障 为什么我们仍然使用密码？ 去的好处无密码 这意味着什么去无通行证？ 的问题与密码 无密码之旅 PingIdentity为组织开发了以下分阶段方法，以实现其无密码的愿景。组织可以跳过或重新排序步骤，以满足其特定的应用程序、用户和业务需求。 零登录 FIDO 逐步淘汰密码 集中式身份验证 EBOOK无密码悖论14 去的好处无密码 这意味着什么去无通行证？ 的问题与密码 收养 路障 Conclusion Ps之旅 asswordles 为什么我们仍然使用密码？ 阶段1：集中式身份验证 无密码旅程的第一步是集中SSO和MFA。这将集中和标准化所有应用程序的身份验证，提供一致的用户体验，并为您提供一个方便的控制平面，以确定用户可以访问哪些应用程序。更高级的部署还将引入风险信号，以促进更灵活的自适应身份验证。 目标: •通过SSO减少密码占用空间 •使用MFA加强密码安全性 •在身份验证机构上集中SSO和MFA •添加基于风险的MFA MFA 任何用户，任何地方 认证机构任何应用程序或资源，任何地方 EBOOK无密码悖论15 的问题与密码 这意味着什么去无通行证？ 去的好处无密码 为什么我们仍然收养 使用密码？路障 Ps之旅asswordles Conclusion 这个阶段有两个后续的用例： 扩展会话 用户在管理员预定的时间间隔使用用户名和密码登录，只要他们展示正常的使用和行为模式。在扩展会话期间，用户体验是无密码的，只需要用户名和MFA进行身份验证。 此场景在MFA提示之间为用户提供了较少摩擦的无密码体验，同时还显着限制了风险。 带有风险信号的基于策略的身份验证 这种无密码场景是基于策略的，并引入了风险信号，以促进更灵活的自适应身份验证。类似于以前的场景，用户可以登录并具有基于某些策略的扩展会话。但是，在这种场景下，风险信号也分层并在后台无形地运行以持续对用户的会话进行身份验证。 因此，只有当风险升高或在高价值交易期间才会提示用户使用MFA。与扩展会话相比，基于策略的身份验证通过更少的MFA提示为用户提供更多无摩擦的体验，而不会影响安全性。 基本风险评估加MFA + 智能风险引擎否认 设备姿势 用户行为和分析 延长会话以增加登录之间的时间 用户尝试进行身份验证会话过期需要登录 用户尝试进行身份验证 不可能的旅行IP声誉 批准 浏览器数据 自定义/第三方风险馈送 挑战 EBOOK无密码悖论16 阶段2：逐步淘汰密码 一旦你有了这些基本的构建块，你就可以开始专注于使用更强大和更方便的身