密碼一直以來存在很多問題,依賴它們進行使用者身份認證也是有缺陷的。一段時間以來,這一直是資訊保安社群公認的事實,但是密碼認證方式仍然無處不在。
一項針對200名安全專業人員身份管理計畫的研究表明,在設計和實施身份管理方面,所有人對於自己選擇的認證方式都有充足的理由。雖然大多數組織仍然依賴使用者名稱和密碼方案進行身份驗證,但他們意識到了其中的不足並設計了無密碼的方案。
研究發現密碼具有很高的普及性,64%的組織依賴它們作為主要的身份驗證形式。研究還顯示密碼存在很大問題,90%的組織表示他們在上個月遇到了嚴重的密碼策略違規。這些違規給組織帶來了嚴重後果,包括員工辭退,惡意軟體感染,資料洩露,無法達到監管要求,客戶流失和直接影響創收。
以下是ema報告中的一些資料展示:
您的組織當前正在使用以下哪種型別的身份驗證?
由於違反了訪問管理政策問題,出現了哪些影響?
在過去一年中,組織中大約有多少員工違反了以下商業密碼政策?
關於密碼認證的所有這些研究資料都引出了乙個問題:如果密碼存在問題,為什麼它們仍然如此普遍?大多數組織認為無密碼身份驗證方法比密碼更安全。但猶豫採用它們的原因是人們對於認證流程的擔心。
安全負責人對使用者培訓以及與管理工具有很大的擔憂, 在安全管理問題的背後,雲服務和目錄服務的整合是無密碼認證的最大阻礙。
以下是一些其他發現:
與傳統的基於密碼的身份驗證流程相比,以下哪項最能說明您對無密碼身份認證流程的印象?
指出您認為以下各項對您的組織實施完全無密碼身份驗證過程的技術挑戰性。
人們一直認為,身份驗證是由兩個影響因素之間的權衡:企業安全和終端使用者便利。但這種權衡不再是必要的,生物識別身份驗證方法(如面部識別,拇指指紋和視網膜掃瞄)可以同時實現這兩個目標。
此外,研究表明,減少認證過程中的複雜度會成比例的提高安全性。減少認證過程中複雜度的組織可以減輕管理員的壓力,提公升管理員的工作效率。通過這種簡單便利無密碼身份驗證的方法可以有效地協調使用者和業務需求。
驗證型別與安全級別分布圖:
雖然組織了解低複雜度認證的價值,但無密碼解決方案的主要阻礙因素是其部署的複雜性。換句話說,許多組織不願意引入無密碼身份驗證是因為他們認為部署和打破運營模式將是一項不小的挑戰。
為了幫助it負責人和安全經理選擇最有效的解決方案,ema建議使用四個『i』來評估無密碼身份認證:
1、直觀化 intuitive——解決方案應易於操作且易於管理,幾乎不需要使用者培訓或需要管理員時間來支援。2、資訊化 informative——應在整個身份生態系統中啟用整體可見性,以收集有關使用者,裝置,網路和託管服務的上下文資料。資訊報告應易於理解,以簡化潛在風險,提高使用者體驗。
3、智慧型化 intelligent——解決方案應具有智慧型技術:例如深度分析,機器學習和語言處理等。應該基於所識別的風險級別動態地確定使用者認證因素的數量。
4、整合化 integrated——解決方案應利用fido,saml和open id connect等行業標準,實現身份驗證技術與託管服務之間的整合。將服務,系統和安全管理平台高度整合並進一步簡化管理任務,從而整合訪問管理策略。
SSH無密碼認證
192.168.0.140主機上執行 root localhost ssh keygen t rsa 或 root localhost ssh keygen t rsa p f ssh id rsa 所有預設回車會在 root ssh 目錄下生成兩個檔案 id rsa 私鑰,產生私鑰的機子,即主動訪...
ssh無密碼登入認證失敗 許可權問題
servera機器已經生產rsa金鑰 且已經將public key新增到serverb機器 root ssh authorized keys 但是ssh root 135.251.208.141機器時仍然需要輸入密碼,即無密碼認證失敗 分析與處理 用ssh v debug訪問,日誌如下,但是從日誌看...
身份認證的動態密碼器解決方案
身份認證是多數計算機資訊系統必要的關鍵組成部分,傳統的身份認證多採用靜態的使用者名稱 口令身份認證機制,客戶端發起認證請求,由伺服器端進行認證並響應認證結果。使用者名稱 口令這種身份認證機制的優點是使用簡單方便,但是由於沒有全面的安全性方面的考慮,所以這種機制存在諸多的安全隱患。絕大多數的使用者名稱...