一个不再存在密码的未来可能就在眼前--这次是真的。
今年早些时候,具有讽刺意味的是,在世界密码日,苹果、谷歌和微软集体宣布计划在FIDO联盟和万维网联盟(W3C)制定的规范基础上,扩大对无密码认证的支持。通过一项名为Passkey的技术,用户将能够通过采取与解锁手机相同的动作来认证兼容的网站和应用程序。这消除了记忆密码的需要。
对于任何面向消费者的企业来说,数字参与已经成为客户体验的一个重要组成部分,这一宣布凸显了其整体客户身份和访问管理(CIAM)战略中未来创新的一个重要技术趋势。大多数消费者不喜欢记住数以百计的密码,所以这是一个促进采用无密码认证的主要机会。
有鉴于此,我们认为我们应该打破一些与无密码认证相关的常见误解,特别是使用设备生物识别技术。在我们为未来做好准备的时候,任意的字符串也许会在我们的登录方式中占据次要地位。
误解一:无密码不安全
自从20世纪60年代成立以来,用户名和密码挑战一直是我们登录应用程序的事实经验。因此,我们很自然地觉得没有密码的东西是不安全的。现实情况是,我们被骗入了一种错误的安全感。
当我们看数据时,密码始终构成安全挑战。Nordpass强调,普通消费者必须为其所有在线账户记住大约100个密码。由于证书数量庞大,我们必须记住,86%的消费者承认重复使用密码,这给攻击者带来了巨大的机会。
2022年Verizon数据泄露调查报告发现,几乎一半的数据泄露都是从被盗的凭证开始的。不幸的是,这些漏洞的财务和社会成本可能使企业每年平均损失六百万美元。在这样一个环境中,消费者重复使用密码是常态,网络犯罪分子正在利用不良行为,而企业正在承受后果,密码被证明是一种不太理想的认证形式。
使用WebAuthn(由W3C和FIDO编写的规范)设备生物识别技术的无密码认证为这个问题提供了独特的解决方案,因为它实际上是一种双因素认证体验。与其让用户根据他们所知道的东西进行认证,不如利用他们拥有的东西(设备)和他们是谁(他们的生物识别信息)来登录。这就是为什么有些消息来源说,使用WebAuthN设备生物识别技术的无密码认证是唯一基于标准的认证方法,是不可伪造的。
💡现实。使用设备生物识别技术的无密码认证实际上比用户名和密码凭证更安全,因为它是一种2FA体验。
误解二:无密码对企业没有好处
表面上看,无密码认证和商业价值之间的关系可能并不明显。消费者经历的摩擦是揭穿这一神话的关键。CIAM已经从被视为成本中心的细项发展为创收活动,因为它对提高用户转化率有积极影响,因为消费者应用已经无处不在,成为日常生活中大多数方面的核心,每一次注册和登录都是与客户接触的内在机会。
历史上,身份识别完全是IT团队的责任。现在,客户身份提供了一个在客户旅程的每个接触点提供无缝体验的机会,它也成为销售和营销团队的责任和考虑。根据Auth0的调查,如果客户对注册过程感到沮丧,就像83%的受访者那样,这些客户会放弃他们正在做的事情,去寻找一个无摩擦的注册和登录过程。
例如,88%的网上购物者报告说,他们在经历了糟糕的体验后不会再回到一个网站。良好的体验从第一次点击开始,而无密码系统使用户不必再创建另一个用户名和密码--这是全球53%的消费者感到沮丧的根源。
💡现实。无密码认证可以通过提供卓越的客户体验来帮助增加顶线收入。
误解三:无密码带来了数据隐私方面的担忧
从财务和品牌声誉的角度来看,企业需要确保他们满足不断变化和苛刻的数据隐私法的要求。谷歌趋势数据显示,对 "数据隐私 "的搜索查询在过去十年中攀升了53%。这与消费者和政府对企业如何收集个人数据并从中获利的高度关注相一致。69%的消费者担心他们的个人信息如何被企业使用。与此同时,世界各国政府继续推出旨在保护公民个人信息的新法律和法规,到2021年全球将从10个增加到144个--《加州消费者隐私法》(CCPA)和欧盟的《通用数据保护条例》(GDPR)就是两个例子。
鉴于这一领域的快速发展,以及违反法律的严重经济后果,人们可能对采用设备生物识别技术的无密码认证有一些担忧。这种担心是围绕着组织如何处理(例如,存储和安全)生物识别数据。幸运的是,WebAuthn规范迫使所有生物识别数据被用作设备内的私钥。用户永远不会把他们的生物识别信息交给他们正在访问的应用程序。从硬件的角度来看,一些公司更进一步,采用了 专用的子系统来隔离敏感数据。
💡现实。使用WebAuthn,企业不需要担心处理生物识别数据的问题。该规范要求生物识别数据必须包含在正在使用的设备中。
误解4 - 难以鼓励用户使用无密码系统
人类有抵制变化的基因,特别是当这种变化威胁到我们的安全时。尽管采用无密码认证 离普及还有很长的路要走,但企业可以采取一些措施来逐步培养和转化用户使用他们的生物识别信息来认证应用。
从设计的角度来看,改变你对登录流程的看法会有很大的影响。取代通常的用户名和密码挑战,选择 标识符优先的流程来慢慢改变用户行为。使用标识符优先的方法,用户首先被要求提供一个标识符,如电子邮件地址、电话号码或会员ID。从那里,他们可以选择一个最适合他们的认证选项,如生物识别技术、一个神奇的链接,甚至是密码。这是一个微小的变化,但用户实际上有权选择一个他们感到舒服的选项。
从教育的角度来看,宣传无密码认证的价值--最小的摩擦和最大的安全--也是一个好的开始。它不仅提供了一个无缝的双因素认证体验,而且也更方便。我们自己的数据显示,WebAuthn的 完成率(95%)比其他认证方法更好,但它的完成时间也更短(5秒)。
💡现实。产品设计和教育是促进用户采用无密码认证的两个途径。
误解五--无密码认证太难了
因为无密码认证首先取决于CIAM的正确性,所以这种误解是有一定道理的。身份认证本来就很复杂。让你的开发人员承担这种额外的责任,使他们的注意力从核心产品的创新上移开,可能会遇到挫折,特别是如果你在内部建立了一个身份系统。与只关注身份的CIAM供应商合作是今天开始使用无密码认证的一种方式。
💡现实。与致力于CIAM的身份即服务(IdaaS)提供商合作,可以加速您的无密码之旅。
开始使用无密码
在Auth0,我们与世界各地的公司合作,提供无缝而安全的登录体验。我们的平台是一个方便开发者的认证和授权解决方案。Auth0身份认证平台建立在一套可组合的构件上,通过API和协议公开,为您企业内部的创造者提供了处理任何客户身份用例的能力。
重要的是,您将能够在您的应用程序中实施最新的、最具创新性的身份识别功能,使您的客户受益,而不会给您的开发人员带来负担。无论是自适应MFA、 WebAuthn还是 社交登录,你都可以通过翻转开关提供对你的客户有意义的身份体验--实际上是一个无线电开关,但你明白这个意思。
有了正确的身份解决方案,你可以逐步改变你的客户的登录体验,并通过无密码认证来赢得更多胜利。
如果你有兴趣进一步了解Auth0如何帮助你的企业走向无密码的未来,请 联系我们的团队。
关于Auth0
Auth0身份认证平台是Okta的一个产品单元,采用现代身份认证方法,使企业能够为任何用户提供对任何应用程序的安全访问。Auth0是一个高度可定制的平台,开发团队想要多简单就有多简单,需要多灵活就有多灵活。Auth0每月保障数十亿次的登录交易,提供便利、隐私和安全,使客户能够专注于创新。欲了解更多信息,请访问auth0.com。
