無密碼身份認證： 安全數字化轉型的下一個突破

賽迪譯叢

2020年1月，世界經濟論壇發布《無密碼身份認證：安全數字化轉型的下一個突破》報告。報告認為，在世界數字化轉型的背景下，可信的數字身份成為經濟與政治、企業與國家的共同目標。報告從平臺經濟的角度，研究了應用無密碼身份認證系統以改善用戶體驗、增強互操作性、提高安全性以及解決密碼管理安全和欺詐風險的框架。報告提出了面部生物識別、硬件密鑰、動態二維碼認證、行為分析認證和零知識證明五種無密碼身份驗證的技術。

身份認證既是平臺企業安全地進行數字化轉型的基石，也是第四次工業革命的支柱。從需要進行身份認證的機器到機器通信的物聯網（IoT）設備，再到將被用于保護和繞過身份認證系統的人工智能（AI），甚至是區塊鏈系統，對于這些系統，可信賴的身份認證是大規模采用該密鑰的關鍵。

但是，繼續使用密碼作為身份認證的主要手段被一個關鍵的問題阻礙了。對密碼的依賴和使用破壞了用戶體驗，這正成為最重要的品牌差異化因素之一。而且，自相矛盾的是，密碼實際上極難確保安全：一方面，用戶為了便于登錄數字平臺，傾向于重復使用相同的密碼;另一方面，相關公司難以安全地處理和存儲密碼。2019年美國威瑞森電信公司（Verizon）發布的數據泄露調查報告顯示，絕大多數數據泄露源于身份認證的憑證薄弱或密碼被盜。如今，偽造憑證攻擊（即利用被盜憑證的攻擊）非常普遍，主要零售網站上90%以上的登錄嘗試都是惡意的，平均成功率約為1%。對于高價值目標，甚至使用被盜憑證進行手動欺詐攻擊的現象也在增加。

為了促進平臺經濟發展，同時解決密碼管理、安全和欺詐風險日益增加的成本問題，需要鼓勵開發新的身份認證方法。

身份認證

在數字化轉型中的重要性

（一）身份認證實踐的演變。在數字世界中，身份認證過程可以確定提出保護數字身份的身份認證者與最初建立身份的是同一實體。隨著人類面臨的威脅越來越復雜，身份認證方法也變得越來越復雜。身份認證通常包括三種類型的基礎要素：類型1是我們所知道的東西，例如口令、密碼或個人識別碼;類型2是我們的所有物，例如警衛制服、信用卡或手機;類型3是我們自身與生俱來的特征，例如我們的身高、面容、指紋或DNA。

如今，越來越多的安全公司引入額外因素對以上三種類型進行補充，例如，可以利用基于行為的信息、地理位置，甚至用戶的個人關系等，來進一步提高結果的準確性，這些因素通常不能單獨使用。值得強調的是，身份認證不一定是絕對的，只需要達到身份認證目的即可。考慮到生物識別的假正率，達到99.99%的認證準確率比達到100%的認證準確率性價比更高。

當前，確保身份認證過程的安全也變得越來越復雜。安全是一個不斷演變的過程，在這個貓捉老鼠的游戲中，攻擊者和防御者都試圖智勝對方。這一范式在數千年的軍事歷史中一直適用，隨著信息技術的不斷進步，這些變化變得更加頻繁、更具破壞性。直接的結果是，過去幾個世紀的軍事理論中出現了另一種概念方法：縱深防御。縱深防御需要采取多種安全措施，要么挫敗最熟練的攻擊者，要么給防御者足夠的時間作出反應。這種方法在中世紀被用來保護城堡，至今仍被用來保護計算機網絡和核電站。

出于身份認證的目的，這意味著需要組合多種類型的身份認證因素。這就是為什么一些在線支付系統同時需要密碼和短信發送的臨時驗證碼：密碼是類型1的身份認證因素;假設短信是由屬于被認證人的手機接收的，那么它就是類型2。

盡管如此，縱深防御的概念依賴于這樣一個前提，即每一項安全措施都會增加另一種措施的安全程度，并且專家們早就指出，基于短信的雙重身份認證可以輕易地被破解。由于數據泄露時存在大量密碼泄露、計算能力的提高允許猜測散列密碼，以及密碼猜測嘗試的自動化，密碼使用的指數增長已經導致了其穩健性的指數級稀釋。攻擊者可以推斷密碼、竊取密碼、強行破解密碼，第1類認證因素變得像一堵紙墻。因此，解決方案依賴于類型2+類型3的組合因素。實際上，類型2、類型3的無密碼身份認證僅在最近幾年才聯合使用。

（二）身份認證是數字業務的關鍵推動力。隨著公司對平臺業務的采用日益增多，數字信任問題也在迅速增長。降低網絡風險日趨成為企業領導者的首要任務，這要從有效的身份認證開始。

過時的身份認證系統會導致安全盲點和漏洞，黑客利用這些安全隱患可以訪問公司網絡的核心部分。一旦進入，他們可以竊取公司機密信息、個人客戶數據和加密文件，并利用這些信息敲詐高管，或利用非法訪問散布全國性的不信任。平臺的本質意味著一個盲點可能會對數以百萬計的用戶產生影響。

現代的身份認證系統不僅僅是從安全角度來看必不可少，而且是關鍵的數字化驅動器。它使移動性更加無縫，減少了用戶摩擦，從而改善客戶和員工的體驗，并可以提高運營效率及法規遵從性。值得注意的是，身份認證是IAM（身份和訪問管理）系統的組成部分之一。筒倉似的數據壁壘會增加身份盜用和漏洞的風險。

（三）平臺經濟改變了身份認證的環境。平臺經濟正在改變許多公司與客戶互動的方式。其中，基于密碼的消費者身份認證要求用戶創建和記憶由字母、數字、符號和大小寫復雜組合的密碼，并希望用戶能經常更換密碼且盡量不重復使用賬戶密碼。此外，不同在線服務之間還存在密碼規則的差異。大量研究和公司積累的經驗證明，個人用戶并不太遵循這種密碼創建方式，而是傾向于反復使用相同的密碼。這也是密碼成為數據泄露核心問題的原因之一。

盡管平臺經濟正日益推動企業估值和業務增長，但數字化不信任感的加劇侵蝕了整個在線社區的信心：用戶對透露過多個人信息持謹慎態度;平臺擔心丟失用戶個人身份信息;當系統和客戶信息受到損害時，全球化企業會面臨罰款及承擔聲譽和收入損失等風險。這將導致引領平臺經濟的服務提供商陷入困境。其中包括數字社區生態系統的平臺創建者，以及云、移動和其他技術及基礎架構提供商。同時，這些服務商正是最有可能打破僵局并引導（而不是滯后）重新設計用戶身份認證的組織，將為平臺經濟提供更強大、更簡單的身份認證。

面向未來的

身份認證系統框架

（一）安全性。在制定身份認證系統策略時，從邏輯上講，安全性是第一位的。身份認證系統的安全性將基于多種考慮，包括與其他解決方案相比形成相對優勢，針對已知威脅和系統所面臨的新威脅的生存期，以及其解決和引入的硬件和軟件漏洞。此外，安全性還取決于其在減少欺詐和風險方面的效率，以及通過記錄日志所體現出的可靠性。

（二）隱私性。密碼是眾多數據泄露的源頭，對全球隱私造成了負面影響。面向未來的身份認證技術應謹記確保隱私所需的各種法規和文化因素，并為全球所接受，確保其與最嚴格的法規和文化兼容。盡管部分身份認證解決方案可能屬于隱私增強技術的范疇，但不代表全部。

（三）可持續性。可持續性是確認技術選擇符合長期愿景的另一個關鍵要素。過渡到無密碼身份認證可以降低成本并增加收入，但需考慮實際的購置成本。對于某些具有龐大IT系統規模的公司而言，其身份認證方式的轉變可能需要分階段進行，過渡期需要新舊身份認證解決方案共存。同樣，身份認證技術要確保身份認證和認證系統的兼容。最后，必須考慮身份認證系統與其他解決方案相比，負面影響是什么，以及會產生多少電力和網絡活動等。

（四）包容性。身份認證系統是數字服務的切入點，因此確保其包容性（而不是歧視性）對于平臺企業至關重要。這種系統應努力避免任何形式的歧視，涉及年齡、文化、殘疾、語言、姓名、國籍、醫療條件、出身、宗教信仰、性取向和膚色等。例如：身份認證技術越來越多地使用人工智能，向在線服務提供認證時，機器學習算法是否會帶來偏見，從而可能造成對某些人群的歧視？

（五）可擴展性。平臺經濟需要規模化的解決方案。隨著員工和終端用戶越來越多地跨越不同平臺進行身份認證，當平臺達到臨界量并開始產生網絡效應，其用戶增長可能是指數級的。因此，從規模化的角度考慮身份認證解決方案至關重要。認證系統的性能目標需要提前很長時間進行規劃，尤其是圍繞可靠性和可用性。同樣，解決方案的“增長潛力”在后續階段也很重要。例如，現成的解決方案可能無法滿足運營多個IT環境的大型公司所需的預期定制水平。

（六）用戶體驗。用戶體驗不再是一個可有可無、有則更好的選擇，它已成為一個關鍵的差異因素。用戶體驗的質量決定了用戶的選擇、偏好和行為。因此，未來的身份認證應努力提供無縫的用戶體驗以確保適用性。

無密碼身份認證的案例

（一）增加收入，降低成本

網絡安全在傳統上被視為支出成本的領域，因此經濟上的考量或許是公司應該考慮過渡到無密碼身份認證的最顯著的原因。

1.提高員工生產力和客戶評級。調查顯示，全球員工平均每年花費11個小時輸入或重置密碼。對于平均擁有15000名員工的公司，這直接導致生產力損失520萬美元。對此，雖然過渡到無密碼的生態系統會產生一定的成本，但僅通過提高生產力就可以迅速抵消這些成本。在用戶體驗改善和安全性的推動下，金融服務業處于采用下一代身份認證技術的最前沿。使用FIDO聯盟開發的標準（該標準允許大部分身份認證在用戶端執行），可以顯著簡化密碼管理。系統管理員和呼叫中心運營商在與員工和客戶聯系時將有更好的體驗，這將間接提高公司聲譽和客戶評級。相關案例是美國一家面向消費者的中型零售銀行，該銀行意識到，密碼認證是消費者不滿意的根源，影響了其數字服務的使用并導致運營成本的增長。對于數百萬的消費者而言，即使是很小的改善也會對投資回報率產生重大影響。

2.降低數據泄露的防控成本。80%的數據泄露事件涉及弱密碼或被盜密碼，29%的網絡攻擊利用的是后者。2019年，全球數據泄露的平均成本為392萬美元，比上年增長1.5%。如果沒有密碼可以推斷或竊取，那么罪犯訪問和竊取數據的能力將會被嚴重削弱。此外，密碼散列也會被犯罪分子利用，在沒有認證服務器強加限制的情況下，他們可以對其進行暴力破解。從風險管理的角度，這意味著，過渡到無密碼身份認證將使公司可以把數據泄露風險相關的預算削減五分之四，相當于降低了網絡保險費。

3.節省密碼重置費用。對于IT部門和呼叫中心，公司平均花費2.5個月來重置內部密碼。IT服務臺所有呼叫中，20%至50%與密碼重置有關，單個重置的成本估計在30到70.18美元之間。比如，密碼安全公司LastPass，其平均每年大概花費100萬美元來處理密碼重置問題。相關案例是美國一家財富500強的健康保險企業，其于2018年轉型為無密碼身份認證。在保險行業領域，用戶通常是間歇性地登錄關鍵服務。因此，在客戶重新注冊時，密碼重置和服務臺擁塞十分普遍。這種類型的商業模式和用戶體驗會導致成本激增，并降低整體認證頻率。

（二）改善用戶體驗

便捷、無縫的用戶體驗對于用戶廣泛接受和使用身份認證至關重要。

1.提升體驗經濟。體驗日益比價格更為重要，有86%的客戶愿意為更人性化的體驗付費。這意味著，如果平臺的身份認證體驗不佳，則某些客戶會選擇服務質量較差但身份認證體驗更好的平臺。無密碼身份認證是無縫的，它模仿了人類幾千年來相互認識的方式，即通過尋找識別物品或個人特征來進行認證。無密碼身份認證作為在線服務的入口，正在成為數字化轉型的競爭優勢。相關案例是Google員工使用基于FIDO的安全密鑰進行內部身份認證，將認證的總時間減少了近三分之二，最重要的是，認證失敗率為零，而同時間段內基于一次性密碼（OTP）的身份認證失敗率為3%。從用戶體驗的角度來看，還有許多其他好處，最顯著的影響是切換到安全密鑰后，沒有任何員工帳戶遭受網絡釣魚攻擊。

2.減少規則數量。當用戶被迫記憶100多個證明信息和密碼時，他們自然會尋找辦法減輕負擔，比如重復使用密碼、選擇弱密碼或者在手機、電子郵件地址或鍵盤下方記錄密碼。更好的用戶體驗意味著身份認證系統能夠得到合其初衷的使用：減少規則數量，提高用戶認可度，進而反過來提高安全性。

3.增強適用性。無密碼身份認證以客戶為中心，利用快速便捷的解決方案，依靠許多人每天使用的相同設備（例如智能手機），無密碼驗證技術可以在任何地方適用。

（三）互操作性釋放價值

1.互操作性提升可擴展性。標準使互操作性成為可能。2019年3月，由萬維網聯盟（W3C）開發的FIDO聯盟的“FIDO2”標準已成為Web標準。這種身份認證利用了公鑰加密技術，即可以與任何人共享的公共密鑰。所有者在其設備（例如手機、計算機或安全密鑰）上的“身份認證器”中安全地持有關聯私鑰。當用戶向支持FIDO的站點進行身份認證時，可以通過簡單的操作（例如掃描指紋或觸摸安全設備）來驗證其身份或存在。網站和用戶的身份認證器之間進行“詢問—響應”，以驗證用戶是否擁有正確的私鑰。每個服務使用唯一一對密鑰，并且私鑰永遠不會離開用戶的設備。所有領先的網絡瀏覽器均支持FIDO2，使其在現代設備上實現普及。

2.互操作性提供更多選擇。采用基于標準的方法意味著服務提供商可以更快地入門無密碼身份認證。服務和技術提供商可以按照通用標準開發解決方案——包括Web開發人員可以輕松利用的公共API3，從而消除了對密碼的依賴。FIDO通過已建立的認證程序實現互操作性，該程序已完成650多種產品的一致性和互操作性測試。除標準之外，還有許多其他流程可以幫助實現企業環境內無密碼身份認證擴展框架的快速實施。這些流程包括供應商評估、用戶體驗建設、內部用戶教育、路線圖以及從現有解決方案調整到改善登錄流程的遷移。隨著在線服務成為公民與政府之間互動的主要方式，公共部門也在大力投資數字項目，并重新審視其國家身份認證方案，以提高政府數字服務的安全性。相關案例是英國政府的統一身份認證平臺，該平臺建立在一個以標準和指導文件為基礎的信任框架之上，這些標準和指導文件確定了參與框架的規則。該規則的相關要求包括有關使用行業標準的建議，這些建議適用于對在線服務（例如FIDO技術詳述和認證）訪問的保護。此類指導旨在同時滿足國家要求和在國際上可互操作的要求。

3.互操作性允許擴展市場。互操作性使新用戶可以訪問某些服務，它允許現有用戶進行更多交易，還允許數字服務為他們的用戶提供新的交易方式。公開標準大大縮短了開發時間，并提供了進入正在采用已認證解決方案的新市場的機會，并允許國際兼容性和擴展數字業務。舉例來看，歐盟的《通用數據保護條例》等法規會影響為歐洲用戶服務的企業，無論企業本身在何處注冊。無密碼身份認證使遵守此類國際法規變得更加容易，利于企業在不同地區擴展數字業務。

（四）密碼更少，安全性更高

企業通常會在平衡安全性和易用性之間做出權衡。如前所述，無密碼解決方案可增強用戶體驗，但是這樣做會犧牲安全性嗎？

1.減少企業的攻擊面。公司過渡到無密碼解決方案時，其不需要出于身份認證目的而存儲任何個人信息，大大減少了遭受數據泄露的風險。在用戶側實施身份認證程序，不會在互聯網上傳輸任何個人信息，從而使中間人攻擊變得不可能。身份認證數據（例如用戶的生物特征）保存在用戶設備上，網絡罪犯就沒有任何收集點可以用來獲取客戶的生物特征數據集，這使在線欺詐和身份盜用的風險概率大大降低。不利的方面是如果用戶丟失身份認證器（例如身份認證器與物理設備綁定在一起），則重置訪問權限比密碼重置更為麻煩。

2.增強終端用戶安全性。隨著犯罪分子和計算機在竊取和猜測密碼方面變得更加有效，密碼安全規則也在飛速發展。考慮到復雜的密碼安全規則難以在用戶端實行，最近專家呼吁簡化密碼管理協議。對此，使用無密碼的身份認證解決方案，沒有任何密碼可供網絡罪犯從平臺服務器中竊取，沒有公司儲存的信息可能被黑客利用來推斷或暴力破解密碼，因此可以更好地保護用戶。

3.隱式多因素身份認證。大多數無密碼身份認證都同時利用生物特征以及特定的設備或應用程序（例如與用戶綁定的身份認證器）：這是兩個不同的身份認證因素，它們提供的保證比單個共享機密要強得多。例如，與輸入密碼后短信息服務SMS發送的一次性密碼不同，無密碼身份認證解決方案是無摩擦的，因此比以往任何時候都更快地促進了多因素身份認證的采用。

4.遏制網絡經濟犯罪。銀行或Uber賬戶的登入證明信息在暗網上以7美元甚至更低的價格出售，此類交易產生的收入助長了網絡犯罪和恐怖活動。因此，替換密碼會增加有組織犯罪集團的成本，影響地下網絡犯罪經濟，降低其利潤，從而打壓實施網絡犯罪的動機。

可供使用的

五種關鍵無密碼技術

（一）使用面部生物識別技術進行身份認證。智能手機相機和機器學習模型的最新技術進步意味著現有面部識別和文檔掃描可以用于遠程大規模驗證人員。簡而言之，在在線服務上創建新賬戶時，用戶會上傳其身份證明信息，應用程序將身份證明上的用戶照片與拍照者進行比較。通過使用面部生物特征進行認證，用戶不再需要將密碼與其賬戶關聯。

（二）硬件密鑰提供額外的安全性。在最近的一項研究評估中，Google將密碼身份認證的標準與安全密鑰、基于智能手機的一次性密碼（OTP）生成器以及通過SMS進行的兩步驗證（2SV）進行了比較，發現安全密鑰提供了最強的安全性，同時還提供了可用性和可部署性的最佳組合。安全密鑰的形式多種多樣，它們可以是駐留在用戶鑰匙串中的小型USB、NFC或藍牙設備，也可以內置在用戶手機中，在用戶需要登錄新設備時進行安全身份認證。此處的共同要素是，進行身份認證時，設備必須同時在物理空間上存在于本地。

（三）用戶體驗優先的二維碼認證。復雜的動態二維碼（簡稱QR）也可以用于無密碼身份認證。登錄的用戶使用智能設備掃描QR碼，將會話綁定到他們的用戶身份。然后確認消息會顯示在設備上的應用程序中，驗證身份并觸發生物識別掃描，以確認用戶身份。最后，將經過身份認證的會話傳遞給信任方，用戶進而成功登錄。動態QR碼掃描具有許多優點，例如可以防止會話劫持或重放攻擊。由于該代碼具有動態效果，圖像獨特且有效操作時間很短，因此它為綁定會話提供了一種安全的方法進行身份認證，同時提供無縫的體驗，無需在設備之間進行復雜的配對。

（四）行為分析無縫認證。行為分析認證使用不可識別但對于個人而言獨特的因素來確認身份。用戶可能看不到密碼登錄，但是他們將在后臺使用各種因素進行身份認證，例如，從鼠標移動到打字速度和習慣、登錄歷史記錄、網絡詳細信息（例如IP地址）、使用的瀏覽器等不可識別的行為屬性。盡管這些無法識別的因素中的單獨一個都不足以驗證身份，但是當它們組合成一個安全網格時，身份認證既安全又不可見。所有這些因素都可以整合到一個大數據集中，并應用人工智能和機器學習技術來分析合法用戶，還可以準確區分犯罪分子和欺詐性身份認證。

（五）零知識證明的密碼認證。零知識證明（ZKP）是一種質詢/響應身份認證協議，其中要求各方提供其機密信息的正確性，但又不泄露這些機密信息。它允許用戶進行身份認證，其方式使密碼永遠不會離開用戶設備或瀏覽器。簡而言之，ZKP身份認證過程可以將密碼轉換為復雜且唯一的抽象字符串，例如具有完全隨機模式的魔方。該抽象形式被傳輸到服務器并存儲。這種方式的挑戰在于，通過生成與魔方模型相匹配的一系列隨機序列，來證明客戶端上的魔方多維數據集與服務器上的多維數據集相同。這樣，整個模型就永遠不會轉移，但是用戶仍然有高度可能性證明兩個模型是相同的。主要優點之一是驗證者無法從身份認證過程中了解任何信息。ZKP技術可以消除私人用戶數據在驗證或身份確認過程中的暴露問題。它甚至可以用于驗證之外，允許用戶回收和控制其數字身份的使用。

結論

本白皮書介紹了無密碼身份認證的四個理由。首先，它極大地改善了用戶體驗。其次，它大大降低了與密碼管理和數據泄露相關的成本。第三，它支持互操作性，釋放企業內部和企業之間以及公共服務的價值，同時支持為獲得平臺經濟利益而進行的數字化轉型工作。最后，無密碼身份認證更加安全。它消除了從憑證信息獲取到網絡釣魚攻擊的一長串攻擊媒介，并使用戶重新獲得控制權。

進行無密碼身份認證的本身并不是目的。犯罪分子會適應新環境，而安全控制往往是短暫的。健全的身份認證系統應該建立在長期愿景之上，以促進安全性、隱私性、可持續性、用戶體驗、可擴展性和包容性。