身份驗證急需高級安全驗證系統代替密碼

密碼早已經無法保證信息安全，我們需要高級安全驗證系統

如果你超過10歲，你一定聽過這句話:“世界由你掌控。”這基本上意味著你能夠抓住生活提供的機會。沒有什么能比這更準確地描述當今世界的技術了。現在，如果我們對這句話稍作改動，我們也可以說“世界是你的身份認證。”“對于組織來說，他們想要如何執行他們的愿景，有無數的選擇。

很長一段時間以來，我們都被密碼當作默認身份驗證所拖累。這已經在許多方面證明了它是一個標準。幾十年來，我們一直被教導，密碼能保證某種程度上的安全，可以用來保護網站等等。但這是一個需要我們消除的不好的觀念。

這里的問題是，安全需求已經到了需要用高級安全驗證系統代替密碼的地步。讓我們以此為例：如果有人知道密碼，但卻不能確保是誰在使用密碼。很久以來，這都是無法保證的。例如，根據2020 Verizon DBIR數據，有86％的違規是出于經濟動機。

當攻擊者設法破壞一個網站時，他們將重復使用他們捕獲的憑據來增加對其他網站的訪問權限，這是因為他們了解人們是趨于習慣性的，將會使用相同的密碼去攻擊一個人的多個賬戶。即使當檢查自己的密碼管理器應用程序時，我發現自己擁有超過900個密碼。這也就不奇怪，人們為什么還把密碼寫在便箋上。

有太多的選擇可以彌補我們的密碼困境。MFA是一個很好的例子，這為更好的身份驗證解決方案的提供了優秀示例。當我們看到像MFA這樣的東西時，我們明白這其中涉及到了一種文化轉變。80%的安全漏洞都涉及密碼泄露。人們可能會猶豫抵制變革，但當安全實現民主化時，他們會接受變革。

如果對于非技術人員來說，使用它很容易，那么他們就會采用它，進而提高信息的安全性。例如，我母親使用Duo應用程序來驗證她的電子郵件和其他應用程序。當你使用工程師為非專業人士寫的應用程序時，可以想象它會怎樣的。所以安全工具一定要易于使用。

如果您正在使用推送式的應用程序，或者甚至使用W3C WebAuthN開放標準(可以利用API替換密碼)的應用程序，則可以通過從組合中刪除密碼來提高組織的安全性。將這樣的技術與Azure AD結合使用可以降低組織的風險。可以經過身份驗證的用戶訪的系統，而不需要懷疑使用密碼登錄的人是否就是擁有該賬戶的那個人。