Michael+Nadeau著+楊勇譯

關(guān)于使用密碼進(jìn)行身份驗(yàn)證，最好的說(shuō)法不過(guò)是——有總比沒(méi)有好。然而，像Equifax這樣引起普遍關(guān)注的泄露事件已經(jīng)暴露了數(shù)以百萬(wàn)計(jì)的密碼和用戶ID，人們普遍質(zhì)疑這種稍有些贊美的說(shuō)法。如果用戶認(rèn)識(shí)不到他們有些密碼已經(jīng)被泄露了，他們還會(huì)沉浸在虛假的安全感中，而這是非常危險(xiǎn)的。

仍然依賴密碼身份驗(yàn)證方式來(lái)訪問(wèn)重要客戶和企業(yè)數(shù)據(jù)的公司同樣如此。只采用密碼的保護(hù)方式永遠(yuǎn)失效了，任何依賴這種方式的企業(yè)都將其業(yè)務(wù)和聲譽(yù)置于危險(xiǎn)之中。即使避免了泄露事件，但由于Equifax事件，人們也越來(lái)越認(rèn)識(shí)到密碼保護(hù)有很多不足。如果這是您保護(hù)客戶數(shù)據(jù)所采用的方式，那么，客戶會(huì)再三考慮能不能信任您。

雙重身份驗(yàn)證（2FA）、多重身份驗(yàn)證（MFA）、行為分析和生物特征識(shí)別等替代方案已經(jīng)出現(xiàn)一段時(shí)間了，但采用率卻很低。日益惡化的威脅情形，以及越來(lái)越強(qiáng)的用戶意識(shí)減少了實(shí)施這些替代方案的障礙——障礙主要來(lái)自用戶抵制、復(fù)雜性和投資回報(bào)等因素。

所有這些替代方案都有可能被攻破，有的要比其他方式更容易攻破。IBM的X-Force紅色安全測(cè)試部高級(jí)管理顧問(wèn)Dustin Heywood指出：“所有身份驗(yàn)證方式，無(wú)論是指紋、人臉、虹膜掃描，所有這些都被分解成比特和字節(jié)，它們實(shí)際上是共享的秘密信息。”既然這些共享的秘密信息像密碼一樣以數(shù)字方式存儲(chǔ)，那么從理論上講完全可以竊取它們。不同之處在于，這做起來(lái)要難一些。

其目的是使犯罪分子很難獲取這些信息，以至于大多數(shù)網(wǎng)絡(luò)罪犯分子不得不去尋找其他更容易的攻擊方式。很多企業(yè)根據(jù)風(fēng)險(xiǎn)、用戶考慮和被保護(hù)的數(shù)據(jù)的價(jià)值，組合使用了多種身份驗(yàn)證方法，以達(dá)到合理的安全期望。

用戶認(rèn)識(shí)到了強(qiáng)身份驗(yàn)證方式的價(jià)值

如果用戶抵制或者無(wú)動(dòng)于衷，那么企業(yè)和面向用戶的網(wǎng)站采用的最好身份驗(yàn)證計(jì)劃就可能會(huì)失敗。最近引人注目的泄露事件畢竟還是有一些積極的結(jié)果——用戶開(kāi)始認(rèn)識(shí)到強(qiáng)身份驗(yàn)證的價(jià)值，似乎更愿意接受一些由此帶來(lái)的不便。

獨(dú)立安全研究員Jessy Irwin認(rèn)為這種趨勢(shì)開(kāi)始于2015年初的Anthem泄露事件?！坝脩魮?dān)心醫(yī)療信息被泄露?！倍鴮?duì)于Equifax，這類(lèi)擔(dān)心還包括財(cái)務(wù)賬目。

雖然用戶更愿意接受更復(fù)雜的身份驗(yàn)證方式來(lái)保護(hù)醫(yī)療和財(cái)務(wù)數(shù)據(jù)，但并不是所有的服務(wù)提供商都提供這類(lèi)選擇。Irwin表示：“很多銀行，因?yàn)橐郧白鲞^(guò)類(lèi)似的工作，認(rèn)為與賬戶關(guān)聯(lián)的安全問(wèn)題是第二個(gè)驗(yàn)證要素，但事實(shí)并非如此。人們需要額外一層的保護(hù)，但卻不知道應(yīng)該打開(kāi)什么。他們必須求助于客戶服務(wù)或者客戶代表，甚至是供應(yīng)鏈，來(lái)要求這些功能?！?/p>

缺乏要求增加安全層的機(jī)制，導(dǎo)致一些企業(yè)認(rèn)為沒(méi)有客戶對(duì)此有需求。Irwin表示：“有很多工作要做。人們知道自己有需求，但不知道到底需要什么。當(dāng)他們知道自己需要什么時(shí)，有時(shí)候卻沒(méi)有打開(kāi)某些功能的選擇。這真是一場(chǎng)艱苦的戰(zhàn)斗?！?/p>

對(duì)競(jìng)爭(zhēng)的擔(dān)憂阻礙了一些企業(yè)實(shí)施不同的身份驗(yàn)證過(guò)程，因?yàn)檫@些過(guò)程可能會(huì)導(dǎo)致難以使用他們的服務(wù)。智能身份驗(yàn)證提供商SecureAuth身份策略高級(jí)副總裁Robert Block表示：“當(dāng)涉及到用戶時(shí)，他們非常害怕會(huì)影響到用戶體驗(yàn)。很大一部分原因是缺乏了解，實(shí)際上只要滿足合適的環(huán)境變量，總是有影響不大的方法?！?/p>

Block說(shuō)：“用戶變得越來(lái)越聰明了。他們會(huì)問(wèn)，‘如果我和你做生意，你能保護(hù)我的憑證嗎？你提供2FA嗎？如果是的話，我對(duì)這些方法有多少控制權(quán)？由于泄露事件的影響，如果還認(rèn)為用戶是懶惰的，不希望自己的用戶體驗(yàn)被打斷，那么這種想法是錯(cuò)誤的。”

實(shí)現(xiàn)更強(qiáng)身份驗(yàn)證的難點(diǎn)不在于技術(shù)。Block說(shuō)：“這涉及到人、過(guò)程和文化等因素。您能在周?chē)业胶线m的人來(lái)決定哪些風(fēng)險(xiǎn)是可以接受的嗎？我們要支持多少要素，怎樣把這些要素呈現(xiàn)給最終用戶？”

為能夠讓用戶接受，Block強(qiáng)調(diào)了靈活性?！盁o(wú)論您能承受什么樣的風(fēng)險(xiǎn)，都應(yīng)該盡可能的靈活，這樣，最終用戶會(huì)覺(jué)得一切都在他們的掌控之中?！?/p>

只使用密碼身份驗(yàn)證方式的危險(xiǎn)之處

如果只使用密碼，那么對(duì)于黑客來(lái)說(shuō)，破解或者竊取密碼和用戶ID易如反掌。即使您聽(tīng)從建議，保護(hù)好這些密碼——也會(huì)如此。Irwin說(shuō)：“有很多安全需求使得密碼變得更脆弱，而不是更強(qiáng)。很多人認(rèn)為，如果他們經(jīng)常性地更改密碼，那這就是良好的安全行為。其實(shí)不是。很多生成強(qiáng)密碼的規(guī)則反而不如以前了。這讓人更容易破解密碼?！?/p>

Irwin所指的規(guī)則已經(jīng)被廣泛使用了，它是基于國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）等標(biāo)準(zhǔn)組織早期的一些建議。NIST最近修訂了這些規(guī)則，以便更好地符合當(dāng)今威脅格局的現(xiàn)實(shí)，但大多數(shù)企業(yè)尚未采用這些規(guī)則。

Heywood說(shuō)：“密碼的問(wèn)題不在于密碼本身。它在某些方面實(shí)際很難處理。問(wèn)題的關(guān)鍵在于密碼是一種共享的秘密信息。人們?cè)诰W(wǎng)站之間重復(fù)使用密碼，所以您不僅依賴于您正在使用的網(wǎng)站的安全性，而且還依賴于您曾經(jīng)使用過(guò)密碼的每一個(gè)網(wǎng)站的安全性。秘密信息總是要被轉(zhuǎn)換的?！?/p>

密碼是使用很難進(jìn)行逆運(yùn)算的哈希算法進(jìn)行轉(zhuǎn)換的。Heywood說(shuō)，太多的網(wǎng)站使用的哈希算法已經(jīng)有幾十年的歷史了，而且曾被攻破過(guò)。使用目前的高速計(jì)算機(jī)，黑客比較容易對(duì)盜取的密碼進(jìn)行哈希逆運(yùn)算?！艾F(xiàn)在有工作框架，可以利用這些框架，快速驗(yàn)證這些憑證能否用于其他被攻破的網(wǎng)站，甚至實(shí)時(shí)驗(yàn)證能否用于一些其他網(wǎng)站?！?/p>

為最大限度地降低密碼被攻破的風(fēng)險(xiǎn)，越來(lái)越多的人使用密碼保管庫(kù)，借助于偽隨機(jī)發(fā)生器，使用很長(zhǎng)的字符串對(duì)密碼進(jìn)行加密和隨機(jī)化處理。Heywood說(shuō)：“一些偽隨機(jī)發(fā)生器由于實(shí)施不當(dāng)而被攻破了，但總比沒(méi)有好?！?/p>

雙重身份驗(yàn)證：向前邁出的一小步

要求用戶除了密碼之外還要提供其他一些識(shí)別信息——這已成為安全驗(yàn)證的最低標(biāo)準(zhǔn)。這些信息通常只有用戶自己知道，用于必須回答的安全問(wèn)題，例如，“您的第一只狗叫什么名字”。也可以是通過(guò)短信發(fā)送到手機(jī)或者令牌設(shè)備（或者用戶擁有的設(shè)備）上的驗(yàn)證碼。endprint

這里的“安全”是一個(gè)相對(duì)的概念。在Equifax泄露事件中，一些用戶的安全問(wèn)題的答案也被攻破了。稍加思索，就很容易發(fā)現(xiàn)一些個(gè)人信息，比如母親婚前的名字或者某人出生的城市等。

通過(guò)短信發(fā)送驗(yàn)證碼也好不到哪里。事實(shí)上，新的NIST指南警告說(shuō)，黑客能夠攔截這些驗(yàn)證碼。這在一定程度上是由于SS7（7號(hào)信令系統(tǒng)）固有的漏洞造成的，這是于1975年開(kāi)發(fā)的一個(gè)協(xié)議，是電話網(wǎng)交換信息的基礎(chǔ)。利用這一漏洞的黑客可以訪問(wèn)所有網(wǎng)絡(luò)流量。

Irwin說(shuō)，SIM卡劫持事件也越來(lái)越多了。她說(shuō)：“一名社交工程師會(huì)給AT&T或者Verizon客戶服務(wù)熱線打電話，假裝成要安裝新電話或者要對(duì)帳戶進(jìn)行更改的另一個(gè)人。他們現(xiàn)在可以控制設(shè)備的身份驗(yàn)證，也能攔截短信密碼。”Irwin指出，這種攻擊的目標(biāo)是黑客知道的有價(jià)值的用戶，比如比特幣帳戶，或者對(duì)重要數(shù)據(jù)有高級(jí)訪問(wèn)權(quán)限的用戶。

使用令牌設(shè)備或者顯示驗(yàn)證碼的令牌智能手機(jī)應(yīng)用程序會(huì)更安全一些。Irwin說(shuō)：“您不必再依賴另一種機(jī)制來(lái)獲得驗(yàn)證碼。黑客必須獲得您所擁有的特定的令牌，才能去攻擊第二個(gè)驗(yàn)證因素。這工作量太大了。令牌是傳遞2FA驗(yàn)證碼最強(qiáng)、最好的方法?！?/p>

對(duì)于用戶應(yīng)用程序來(lái)說(shuō)，令牌的問(wèn)題在于人們拒絕使用它們，因?yàn)檫@需要一臺(tái)單獨(dú)的設(shè)備和它們自己的應(yīng)用程序。Irwin說(shuō)：“令牌可能還需要一些額外的工作。”她認(rèn)為，如果用戶能更好地理解有什么好處，令牌應(yīng)用程序供應(yīng)商使其用起來(lái)更方便，那么它們將被更廣泛地采用。目前，傳遞驗(yàn)證碼的令牌主要用在企業(yè)環(huán)境中。

無(wú)論是令牌還是智能手機(jī)，都要求擁有一種設(shè)備才能進(jìn)行訪問(wèn)，這就避免了網(wǎng)絡(luò)犯罪帶來(lái)的損害。Edgewise網(wǎng)絡(luò)公司聯(lián)合創(chuàng)始人兼首席技術(shù)官Harry Sverdlove說(shuō)：“當(dāng)知道密碼的唯一方式是拿著一臺(tái)設(shè)備時(shí)，這就很難，甚至不可能發(fā)起大規(guī)模的攻擊?！?/p>

多重身份驗(yàn)證：如果實(shí)施得好，會(huì)更強(qiáng)

MFA背后的想法是讓黑客更加難以訪問(wèn)別人的賬戶。MFA通常需要一個(gè)用戶ID和密碼，一些您知道的東西，以及您擁有的東西。Heywood說(shuō)：“如果已經(jīng)應(yīng)用了多重身份驗(yàn)證，而我有你的密碼，那我就會(huì)去別的地方——在這些地方，管理員很懶，沒(méi)有使用多重身份驗(yàn)證機(jī)制。MFA不是什么高招，但是除了專(zhuān)門(mén)的攻擊者之外，它對(duì)于阻止大部分攻擊還是非常有效的?！?/p>

MFA通常是一種分階段的過(guò)程，當(dāng)出現(xiàn)了警報(bào)時(shí)，會(huì)要求用戶提供額外的識(shí)別要素。它通常與基于風(fēng)險(xiǎn)的身份驗(yàn)證相結(jié)合使用。例如，用戶試圖從一臺(tái)新設(shè)備登錄，或者想訪問(wèn)保護(hù)等級(jí)更高的區(qū)域的情況。Heywood說(shuō)：“如果我經(jīng)常登錄看看我的收支情況，我的銀行一般不會(huì)要求提供第二個(gè)驗(yàn)證要素。但如果我想把一千萬(wàn)美元匯到英國(guó)，那他們會(huì)問(wèn)我第一個(gè)孩子是誰(shuí)，血型是什么，等等很多問(wèn)題。”

Block說(shuō)，從今年1月1日到10月5日，SecureAuth涉及到的驗(yàn)證嘗試中的88%都是經(jīng)由第一個(gè)驗(yàn)證要素處理的。他說(shuō)：“為什么每次都要用第二個(gè)驗(yàn)證要素給用戶增加負(fù)擔(dān)呢？”

Sverdlove說(shuō)：“我們應(yīng)普及MFA的應(yīng)用?！彼J(rèn)為，最可靠的方案應(yīng)包括用戶知道的東西（密碼、安全問(wèn)題的答案）、您擁有的東西（智能手機(jī)、令牌設(shè)備）、您的位置，以及您自己的特征（生物識(shí)別、行為分析）等。

社交賬號(hào)登錄：可行但有風(fēng)險(xiǎn)

相對(duì)于其他服務(wù)網(wǎng)站，谷歌、臉書(shū)、推特和Instagram這些大型社交媒體網(wǎng)站通常能更好地保護(hù)用戶ID和密碼數(shù)據(jù)。他們還提供2FA——至少作為一種選擇，并使用分析技術(shù)發(fā)現(xiàn)可能的非法登錄嘗試，一旦發(fā)現(xiàn)，就會(huì)要求提供更多的身份驗(yàn)證信息。

有了社交賬號(hào)后，網(wǎng)站和移動(dòng)應(yīng)用軟件允許人們使用他們的社交媒體帳戶進(jìn)行登錄，這通常作為標(biāo)準(zhǔn)密碼驗(yàn)證的選項(xiàng)。用戶認(rèn)為這更多的是為了方便而不是為了提高安全性，但是網(wǎng)站和網(wǎng)絡(luò)服務(wù)提供商獲得了某種程度的安全驗(yàn)證手段，否則他們可能沒(méi)有資源來(lái)實(shí)現(xiàn)自己的目標(biāo)。Jim Kaskade是JanRain的首席執(zhí)行官，其客戶身份和訪問(wèn)管理系列解決方案包括了社交賬號(hào)登錄功能，他說(shuō)，社交媒體網(wǎng)站和社交賬號(hào)身份服務(wù)提供商提供人員和技術(shù)來(lái)開(kāi)發(fā)強(qiáng)大的身份驗(yàn)證功能，為用戶身份提供現(xiàn)代化的保護(hù)。他說(shuō)：“我們站在對(duì)安全作出了巨額投資的巨人的肩膀上。

社交賬號(hào)登錄的最大風(fēng)險(xiǎn)是，用戶訪問(wèn)過(guò)的所有網(wǎng)站，比如說(shuō)谷歌，如果谷歌賬號(hào)被攻破，那么谷歌網(wǎng)站也將被攻破。攻擊者可以通過(guò)多種方式控制社交賬號(hào)：社交工程、創(chuàng)建虛假的個(gè)人資料，或者在暗網(wǎng)上購(gòu)買(mǎi)用戶ID和密碼。用戶如果打開(kāi)2FA等可選驗(yàn)證功能，就能夠降低這方面的風(fēng)險(xiǎn)，但很多用戶都沒(méi)有這樣做。

Irwin說(shuō)：“社交賬號(hào)登錄很有趣，因?yàn)槲覀優(yōu)槠浯蛟炝撕軓?qiáng)的OAuth。他們做兩件事：他們將您的社交媒體賬戶和服務(wù)聯(lián)系起來(lái)，而您不希望自己的社交媒體提供商參與其中，特別不希望他們有辦法有針對(duì)性的投放廣告。”她補(bǔ)充說(shuō)，社交媒體公司已經(jīng)擁有了太多的個(gè)人數(shù)據(jù)，甚至能夠以意想不到的方式使用這些數(shù)據(jù)。通過(guò)社交賬號(hào)登錄，這些公司就會(huì)有更多的信息，知道您在網(wǎng)上的所有人際關(guān)系。她說(shuō)：“這不太好。有點(diǎn)令人不安?！?/p>

Irwin認(rèn)為社交賬號(hào)登錄在某些情況下也是有價(jià)值的。她說(shuō)：“對(duì)于購(gòu)物網(wǎng)站，或者用戶沒(méi)有設(shè)置好用戶名和密碼的網(wǎng)站，社交賬號(hào)登錄替用戶完成了他們應(yīng)做的很多工作。這不錯(cuò)，但是也使社交媒體網(wǎng)站的密碼和用戶名變得非常、非常脆弱?！盜rwin說(shuō)，那些對(duì)用戶有意見(jiàn)的家庭成員、家庭伴侶或者朋友有時(shí)會(huì)利用這個(gè)用戶的社交媒體賬號(hào)登錄來(lái)制造麻煩?！斑@可能是災(zāi)難性的?！?/p>

Kaskade認(rèn)為，巧妙實(shí)施社交賬號(hào)登錄驗(yàn)證的公司能夠減輕這種方式帶來(lái)的相關(guān)風(fēng)險(xiǎn)。例如，一家企業(yè)可以把社交賬號(hào)登錄作為“輕型”身份驗(yàn)證方案的一部分，例如，使用臉書(shū)完成下載受控內(nèi)容等簡(jiǎn)單服務(wù)，然后要求更高級(jí)別的安全登錄方式（例如，MFA）才能獲取更多的敏感信息，例如，訪問(wèn)您的支票帳戶。endprint

他指出，即使銀行和醫(yī)療服務(wù)提供商也開(kāi)始在可行的地方使用社交賬號(hào)登錄——這些機(jī)構(gòu)在保護(hù)個(gè)人數(shù)據(jù)方面受到了嚴(yán)格的監(jiān)管。他們這樣做會(huì)讓用戶感到很方便，減少了所謂的注冊(cè)和登錄疲勞，但他們顯然采用了其他身份驗(yàn)證方式來(lái)增強(qiáng)社交賬號(hào)登錄方式。Janrain的社交賬號(hào)登錄產(chǎn)品支持通過(guò)設(shè)置用戶行為規(guī)則來(lái)增強(qiáng)安全性。Kaskade說(shuō)：“如果有人從美國(guó)登錄，幾分鐘后又從中東登錄了，那就知道要通過(guò)簡(jiǎn)單的規(guī)則集來(lái)增強(qiáng)MFA?！?/p>

生物特征識(shí)別：不像您想象的那么萬(wàn)無(wú)一失

術(shù)語(yǔ)“生物特征識(shí)別”包括一系列身份驗(yàn)證方法——掃描人的某些物理屬性，包括面部、眼睛的虹膜、心跳、靜脈圖案或者指紋等，以證明身份。這些屬性對(duì)個(gè)人來(lái)說(shuō)是獨(dú)一無(wú)二的，但對(duì)于身份驗(yàn)證目的，有利也有弊。

生物特征識(shí)別的一個(gè)優(yōu)點(diǎn)是它便于用戶使用。通過(guò)按壓拇指或者掃描面部，用戶不用記住密碼或者安全問(wèn)題的答案，就能使用他們的設(shè)備或者服務(wù)。生物特征識(shí)別的缺點(diǎn)是絕非萬(wàn)無(wú)一失。蘋(píng)果最新的面部識(shí)別技術(shù)被一張3D打印的臉破解了。不太先進(jìn)的人臉識(shí)別技術(shù)被驗(yàn)證過(guò)的人的照片愚弄了。

一個(gè)人的生物特征數(shù)據(jù)是以數(shù)字檔案的方式存儲(chǔ)起來(lái)的，而這會(huì)被竊取。一旦出現(xiàn)這種情況，驗(yàn)證就沒(méi)有用了。Sverdlove說(shuō)：“我不是一個(gè)密碼迷，但您可以改變密碼。當(dāng)指紋被盜，面部信息被盜，DNA被盜時(shí)會(huì)發(fā)生什么？這些都是一成不變的，也是不可能改變的?！?/p>

竊取生物特征識(shí)別數(shù)據(jù)被認(rèn)為比竊取或者破解密碼更困難，盜賊要盜取個(gè)人生物特征識(shí)別數(shù)據(jù)的風(fēng)險(xiǎn)也很低。如果盜賊以多個(gè)個(gè)人資料為目標(biāo)，那么風(fēng)險(xiǎn)就會(huì)顯著增加。Sverdlove說(shuō)：“存儲(chǔ)在交易所的數(shù)以百萬(wàn)計(jì)的指紋將成為攻擊目標(biāo)。一旦被攻破了，就沒(méi)有任何挽回的余地了?！?/p>

Sverdlove建議，企業(yè)不要為生物特征識(shí)別數(shù)據(jù)只建立一個(gè)存儲(chǔ)庫(kù)。他說(shuō)：“從過(guò)去的經(jīng)驗(yàn)中吸取教訓(xùn)：不要把所有的東西都存儲(chǔ)在一個(gè)數(shù)據(jù)庫(kù)中。它會(huì)被偷的。”

基于風(fēng)險(xiǎn)的身份驗(yàn)證：不要密碼

密碼、MFA、社交賬號(hào)登錄和生物特征識(shí)別都把證明身份的責(zé)任落在了用戶身上?；陲L(fēng)險(xiǎn)的身份驗(yàn)證功能支持企業(yè)負(fù)起身份保證的責(zé)任。這不是一個(gè)新概念。例如，信用卡發(fā)卡機(jī)構(gòu)一直在使用基于風(fēng)險(xiǎn)的分析方法，通過(guò)查找異常的交易模式來(lái)檢測(cè)欺詐行為。

設(shè)備度量，即行為生物特征識(shí)別，是基于風(fēng)險(xiǎn)的一種身份驗(yàn)證方式，旨在消除密碼。軟件分析打字模式、與屏幕的交互、設(shè)備IP地址或者地理位置，把這些數(shù)據(jù)和行為與特定用戶關(guān)聯(lián)起來(lái)。這種使用習(xí)慣的基本指標(biāo)信息是通過(guò)機(jī)器學(xué)習(xí)隨著時(shí)間推移而逐步建立起來(lái)的——盡管IP地址和位置等數(shù)據(jù)是直接從網(wǎng)絡(luò)中獲取的。

Block說(shuō)：“您作為企業(yè)可以定義哪些地理位置是可接受的，哪些是不可接受的。我們開(kāi)始記錄您作為一個(gè)個(gè)體是從哪里來(lái)的。我們繪制出您來(lái)自哪里，您的設(shè)備的瀏覽器類(lèi)型，您可能使用的電話號(hào)碼，等等。”這樣，軟件能夠確定呼叫是否來(lái)自某一地區(qū)已知的運(yùn)營(yíng)商。個(gè)人的設(shè)備使用習(xí)慣、基于風(fēng)險(xiǎn)的身份驗(yàn)證系統(tǒng)相結(jié)合，可以做出一個(gè)相當(dāng)準(zhǔn)確的決定：是否允許訪問(wèn)而不需要密碼。

Irwin說(shuō)：“您的最終用戶想，‘我不必再使用密碼了。這太好了，但是他們放棄了自己的超級(jí)私人信息，他們還不知道這些信息非常寶貴。您愿意應(yīng)用程序提供商知道您是怎樣使用手機(jī)的，您怎樣觸摸手機(jī)，您什么時(shí)候觸摸手機(jī)，您什么時(shí)候點(diǎn)擊“是”或者“否”嗎？我不希望打著我的名義來(lái)采集這些信息。有時(shí)這種情況會(huì)出現(xiàn)在應(yīng)用軟件里，主要是用于廣告目的。”

基于風(fēng)險(xiǎn)的身份驗(yàn)證并非萬(wàn)無(wú)一失。人們的行為往往是可以預(yù)測(cè)的，但環(huán)境可能會(huì)導(dǎo)致變化，從而給欺詐提供了可以利用的偽造的結(jié)果。Sverdlove問(wèn)道：“如果患了腕管綜合癥怎么辦？行為生物特征識(shí)別代表了將要應(yīng)用的另一種標(biāo)準(zhǔn)。它使用起來(lái)不應(yīng)該是排他的?！盨verdlove指出，一個(gè)人的數(shù)字行為指標(biāo)也可以被下定決心的罪犯分子欺騙或者改變，盡管不太容易。

打字或者屏幕滑動(dòng)模式等指標(biāo)取決于用戶對(duì)設(shè)備的操作習(xí)慣。Block說(shuō)：“鍵盤(pán)和屏幕指標(biāo)存在一些固有的問(wèn)題，其中一些與應(yīng)用軟件密切相關(guān)?！边@使得很難理解和解釋擊鍵行為。SecureAuth使用行為指標(biāo)，但也依賴基于硬件的指標(biāo)，例如，手機(jī)和設(shè)備類(lèi)型。

找到最佳身份驗(yàn)證策略

還沒(méi)有一種方法可以取代或者加強(qiáng)全系統(tǒng)的密碼身份驗(yàn)證功能。企業(yè)應(yīng)采取基于風(fēng)險(xiǎn)的方法，評(píng)估被保護(hù)數(shù)據(jù)的價(jià)值、被濫用的可能性，以及身份被竊取的后果。在大多數(shù)情況下，這意味著將身份驗(yàn)證與應(yīng)用程序或者環(huán)境進(jìn)行匹配，并使用某種類(lèi)型的MFA進(jìn)行備份。

例如，銀行可能要求客戶在登錄時(shí)只提供密碼。這樣，客戶可以看到他們賬戶的基本信息。如果客戶想要進(jìn)行交易，銀行則會(huì)要求更多的身份識(shí)別信息，例如驗(yàn)證碼。同時(shí)，銀行使用行為分析軟件查看會(huì)話過(guò)程中的使用模式和設(shè)備指標(biāo)是否與該客戶相關(guān)信息相匹配。如果某些參數(shù)與預(yù)定參數(shù)不符，會(huì)要求進(jìn)一步的身份驗(yàn)證，或者拒絕和限制訪問(wèn)。

Block說(shuō)：“我們認(rèn)為，在每一個(gè)身份驗(yàn)證點(diǎn)，都應(yīng)該預(yù)先進(jìn)行一些風(fēng)險(xiǎn)分析檢查，幫助您確定這個(gè)有效的用戶身份是否足夠可信，可以允許或者拒絕其訪問(wèn)，或者使用另一個(gè)驗(yàn)證要素對(duì)其進(jìn)一步進(jìn)行驗(yàn)證。”他補(bǔ)充說(shuō)，SecureAuth的一些以消費(fèi)者為中心的客戶正朝著這個(gè)方向發(fā)展，但整個(gè)行業(yè)還沒(méi)有這樣做。

大多數(shù)專(zhuān)家都認(rèn)為密碼不會(huì)很快消失，但確實(shí)有機(jī)會(huì)能夠減少人們需要管理的密碼數(shù)量，企業(yè)系統(tǒng)尤其如此。Block說(shuō)：“我們已經(jīng)看到，企業(yè)要實(shí)行他們所謂的無(wú)密碼，而我要說(shuō)是減少對(duì)密碼的依賴。如果他們的員工現(xiàn)在要管理20個(gè)不同的密碼，也許今后他們管理5個(gè)就可以了，其余的都是通過(guò)一些其他的基本身份驗(yàn)證措施來(lái)進(jìn)行管理的。”endprint