RSA说,无密码的企业已经成为可能
在RSA的身份副总裁Jim Ducharme表示,安全行业已长期认识到远离基于密码的身份验证,最终是在实现这方面的遍布趋势。
“我们正处于一些东西的尖端,可以真正改变游戏,使无私安全无处不在,”Ducharme每周告诉计算机,补充说已经成为某些组织的现实。
企业用户和安全专业人员相似的是用户身份验证密码的效率低下和宽松安全性,最近由IDG和MobileRion的调查显示,90%的安全专业人士报告说,他们看到未经授权的访问尝试,因为被盗凭证,86%如果可以,他们会将密码用作身份验证方法,62%报告密码锁定的极端用户刺激。
“大多数”无密码“市场上的选项今天不真正消除密码,因为最终,他们依赖于注册的密码,帐户重置或更换丢失的凭据,以及消费者市场选项,如Apple iPhone的触摸ID和面部ID系统仍然存在要求用户不时输入密码或密码,“Ducharme说。
“这些和其他所谓的”无密码“身份验证方法只是为了在它下面的密码代理。iPhone做得很好地整合了密码体验来解锁您的设备,但仍然存在密码下面。
“虽然触摸ID和面部ID减少了需要密码的次数,但他们没有真正消除它或改进的安全性,因为如果我知道您的Apple和密码,我可以建立一个无密码的生物认证器来解锁设备和假装是你。“
根据Ducharme的说法,测试提供真正“无密码”的方式是检查它如何处理注册和帐户重置或凭证恢复,RSA已投入寻址。
“大多数安全供应商通常仍然缺乏凭据入学和凭证恢复部分,”他说。“但是,虽然许多供应商都有支持密码认证方法,但甚至将它们集成到后端,它们仍然源于Active Directory密码。”
Ducharme表示,启用密码企业的关键是解决这两项挑战,并为组织提供应对各种验证者的能力,包括生物识别,硬件令牌甚至移动设备。
为了满足这些挑战,RSA访问管理产品使用SAML(安全断言标记语言)和其他方法将广泛的无密码验证器集成到后端的应用程序中,并通过使用现有的RSA SecureID或第三个来实现无密码注册和凭据恢复-Party硬件令牌,符合客户组织可以发送给新员工的Fido标准或单用QR码。
Ducharme表示,RSA也在开展第三种选项,这是基于这一目标,即使朋友和家人能够在建立信任关系中使朋友和家人能够在建立信任关系中担保。“当你想报名参加某些东西时,你应该能够与信任建立新的受信任关系的其他人建立加密联系,”他补充道。“因此,如果您丢失了凭据,您的恢复机制是您与您的朋友,同事和家庭圈子的加密连接。”
尽管对该地区的成功取得了成功,但Ducharme表示,对于密码企业成为所有组织的选择,诸如Fido认证标准和OAuth标准等标准需要得到广泛实现的标准。
“对于无处不在的密码认证,Fido和OAuth等标准需要桥接最后一英里以与应用程序集成,”他说。这将使安全行业的更多供应商能够处理凭证入学和凭证恢复挑战。
但是,在Ducharme说,首次,无处不在的和真正无密码的未来在触及范围内。“Fido拥有巨大的希望,并逐渐被更多的浏览器支持,微软的Windows Hello Biemicric身份验证技术将很快开始在企业中推出,随着最新版本的Windows部署,并且每个硬件刷新周期,企业正在增加数字笔记本电脑与综合指纹扫描仪和网络摄像头,“他说。
展望未来,Ducharme认为,安全行业需要通过防欺诈行业的方法和成功引导,将重点从前端转移到后端,并超越条件访问技术。
“现在,VC [风险投资] IT安全投资的最大领域是所有新型的认证,”他说。“行业的倾向是看着用户必须做的新事物,以证明他们是他们所说的。
“但如果你看看反欺诈市场,倾向是为了在该事务期间查看新型数据,以了解活动是否异常。
“反欺诈寻找在交易后端的控制,但在工作场所,我们经常寻找在交易前端进行控制的新方法。”
虽然市场上存在一些进展,但是引入了例如基于设备ID和位置的条件访问,Ducharme表示不会摆脱密码,通常会导致另一个策略管理问题。
“攻击者可以在政策中找到漏洞,它太容易欺骗了很多基于条件的访问,虽然它比自己的密码更好 - 而且我不是说不那么不那么做 - 它是他说,不足以才能真正无关。“
通过专注于后端安全控制和流程,Ducharme表示,银行机构已经能够保护否则仅由借记卡和四位数引脚保护的客户的银行账户,这更容易记住复杂,常常更改的密码。
“IT安全行业应该通过在后端实施安全控制和添加智能来以相同的方式解决问题,以检测存在奇怪的行为,这是人工智能[AI]和基于机器学习的身份验证技术真正进入比如戏剧,就像反欺诈行业多年来一直在做,“他说,加上AI和机器学习可以检测到有条件访问的许多相同的东西,但它们不是静态,不依赖于政策,而且可以识别安全团队不知道的模式应该寻找。
“我们正在寻找的各种方法是基于工作流程的基于工作流程和基于流程的方法,可以全面删除密码的需求,包括使用没有密码的备份凭据来支持注册和凭据恢复的后端进程 - 或基于知识,“Ducharme说。
“实现密码企业将使管理动态劳动力更容易,因为组织将能够为不同的用户群体提供不同的凭据,这些用户群体最适合他们工作的方式及其安全要求。”