无密码身份认证：安全数字化转型下一个突破

刘丽超　高婴劢

身份认证是平台企业安全地进行数字化转型的基石，此外，还是第四次工业革命的支柱。从需要进行身份认证的机器到机器通信的物联网（IoT）设备，再到将被用于保护和绕过身份认证系统的人工智能（AI），甚至是区块链系统，对于这些系统，可信赖的身份认证是大规模采用该密钥的关键。

但是，继续使用密码作为身份认证的主要手段被一个关键的问题阻碍了。对密码的依赖和使用破坏了用户体验，这正成为最重要的品牌差异化因素之一。而且，自相矛盾的是密码实际上极难确保安全。一方面，用户为了便于登录数字平台，倾向于重复使用相同的密码。另一方面，公司难以安全地处理和存储密码。根据2019年美国威瑞森电信公司（Verizon）发布的数据泄露调查报告，绝大多数数据泄露源于身份认证的凭证薄弱或密码被盗。

如今，伪造凭证攻击（即利用被盗凭证的攻击）非常普遍，主要零售网站上90%以上的登录尝试都是恶意的，平均成功率约为1%。对于高价值目标，甚至使用被盗凭证进行手动欺诈攻击的现象也在增加，密码不能提供足够的保护。最重要的是，密码每年给公司造成数百万美元的损失，不仅在缓解数据泄露方面，同时也在密码管理成本方面。

为了促进平台经济发展，同时解决密码管理、安全和欺诈风险日益增加的成本问题，需要鼓励开发新的身份认证方法，以消除我们对仅使用密码技术的依赖。

一、身份认证在数字化转型中的重要性

（一）身份认证实践的演变

在数字世界中，身份认证过程可以确定提出保护数字身份的身份认证者与最初建立身份的是同一实体。随着人类面临的威胁越来越复杂，身份认证方法也变得越来越复杂。身份认证通常包括三种类型的基础要素：

类型1：我们所知道的东西，例如口令、密码或个人识别码。

类型2：我们的所有物，例如警卫制服、信用卡或手机。

类型3：我们自身与生俱来的特征，例如我们的身高、面容、指纹或DNA。

如今，越来越多的安全公司引入额外因素对以上三种类型进行补充，例如可以利用基于行为的信息、地理位置，甚至用户的个人关系等，来进一步提高结果的准确性，这些因素通常不能单独使用。值得强调的是，身份认证不一定是绝对的，只需要达到身份认证目的即可。考虑到生物识别的假正率，达到99.99%的认证准确率比达到100%的认证准确率性价比更高。

当前，确保身份认证过程的安全也变得越来越复杂。安全是一个不断演变的过程，在这个猫捉老鼠的游戏中，攻击者和防御者都试图智胜对方。这一范式在数千年的军事历史中一直适用，随着信息技术的不断进步，这些变化变得更加频繁、更具破坏性。直接的结果是，过去几个世纪的军事理论中出现了另一种概念方法——纵深防御。

纵深防御建立在这样一个理念之上，即需要采取多种安全措施，要么挫败最熟练的攻击者，要么给防御者足够的时间作出反应。这种方法在中世纪被用来保护城堡，至今仍被用来保护计算机网络和核电站。

出于身份认证的目的，这意味着需要组合多种类型的身份认证因素。这就是为什么一些在线支付系统同时需要密码和短信发送的临时验证码：密码是类型1的身份认证因素;假设短信是由属于被认证人的手机接收的，那么它就是类型2。

尽管如此，纵深防御的概念依赖于这样一个前提，即每一项安全措施都会增加另一种措施的安全程度，并且专家们早就指出，基于短信的双重身份认证可以轻易地被破解。

由于数据泄漏时存在大量密码泄露、计算能力的提高允许猜测散列密码，以及密码猜测尝试的自动化，密码使用的指数增长已经导致了其稳健性的指数级稀释。

攻击者可以推断密码、窃取密码、强行破解密码，第1类认证因素变得像一堵纸墙。因此，解决方案依赖于类型2+类型3的组合因素。实际上，类型2、类型3的无密码身份认证仅在最近几年才联合使用。

（二）身份认证是数字业务的关键推动力

随着公司对平台业务的采用日益增多，数字信任问题也在迅速增长。降低网络风险日趋成为企业领导者的首要任务，这要从有效的身份认证开始。

过时的身份认证系统会导致安全盲点和漏洞，黑客利用这些安全隐患可以访问公司网络的核心部分。一旦进入，他们可以窃取公司机密信息、个人客户数据和加密文件并索要赎金、揭露公司的细节，并利用这些信息敲诈高管，或利用非法访问散布全国性的不信任。平台的本质意味着一个盲点可能会对数以百万计的用户产生影响。

弱认证不仅是企业风险的问题，它可能带来更广泛的后果。有一个发生在2008年9月的例子，当时一名大学生利用雅虎的电子邮件平台基于知识的密码恢复程序，以及有关共和党副总统候选人莎拉·佩林的公开信息访问她的电子邮件账户。尽管这一事件没有直接影响美国的选举进程，但它是网络活动具有潜在社会后果的早期案例。

现代的身份认证系统不仅仅是从安全角度来看必不可少，而且是关键的数字化驱动器。它使移动性更加无缝，减少了用户摩擦，从而改善客户和员工的体验，并可以提高运营效率及法规遵从性。值得注意的是，身份认证是IAM（身份和访问管理）系统的组成部分之一。筒仓似的数据壁垒会增加身份盗用和漏洞的风险。

（三）平台经济改变了身份认证的环境

根据2008年与2018年全球前十大企业排行榜对比情况，平台企业数量明显增加。平台经济正在改變许多公司与客户互动的方式。其中，基于密码的消费者身份认证要求用户创建和记忆由字母、数字、符号和大小写复杂组合的密码，并希望用户能经常更换密码且尽量不重复使用账户密码。

此外，不同在线服务之间还存在密码规则的差异。大量研究和公司积累的经验证明，个人用户并不太遵循这种密码创建方式，而是倾向于反复使用相同的密码。这也是密码成为数据泄露核心问题的原因之一。

尽管平台经济正日益推动企业估值和业务增长，但数字化不信任感的加剧侵蚀了整个在线社区的信心。用户对透露过多个人信息持谨慎态度;平台担心丢失用户身份信息;当系统和客户信息受到损害时，全球化企业会面临罚款及承担声誉和收入损失等风险。这将导致引领平台经济的服务提供商陷入困境。其中包括数字社区生态系统的平台创建者，以及云、移动和其他技术及基础架构提供商。同时，这些服务商正是最有可能打破僵局并引导重新设计用户身份认证的组织，将为平台经济提供更强大、更简单的身份认证。

二、面向未来的身份认证系统框架

（一）安全性

在制定身份认证系统策略时，从逻辑上讲安全性是第一位的。身份认证系统的安全性将基于多种考虑，包括与其他解决方案相比形成相对优势，针对已知威胁和系统所面临的新威胁的生存期，以及其解决和引入的硬件和软件漏洞。此外，安全性还取决于其在减少欺诈和风险方面的效率，以及通过记录日志所体现出的可靠性。

（二）隐私性

密码是众多数据泄露的源头，对全球隐私造成了负面影响。面向未来的身份认证技术应谨记确保隐私所需的各种法规和文化因素，并为全球所接受，确保其与最严格的法规和文化兼容。尽管部分身份认证解决方案可能属于隐私增强技术的范畴，但不代表全部。

（三）可持续性

可持续性是确认技术选择符合长期愿景的另一个关键要素。过渡到无密码身份认证可以降低成本并增加收入，但需考虑实际的购置成本。对于具有庞大IT系统规模的公司而言，其身份认证方式的转变可能需要分阶段进行，过渡期需要新旧身份认证解决方案共存。同样，身份认证技术要确保身份认证和认证系统的兼容。最后，必须考虑身份认证系统与其他解决方案相比，负面影响是什么，以及会产生多少电力和網络活动等。

（四）包容性

身份认证系统是数字服务的切入点，因此确保其包容性对于平台企业至关重要。这种系统应努力避免任何形式的歧视，涉及到年龄、文化、残疾、语言、姓名、国籍、医疗条件、出身、宗教信仰、性取向和肤色等。例如身份认证技术越来越多地使用人工智能，向在线服务提供认证时，机器学习算法是否会带来偏见，从而可能造成对某些人群的歧视？

（五）可扩展性

平台经济需要规模化的解决方案。随着员工和终端用户越来越多地跨越不同平台进行身份认证，当平台达到临界量并开始产生网络效应，其用户增长可能是指数级的。因此，从规模化的角度考虑身份认证解决方案至关重要。认证系统的性能目标需要提前很长时间进行规划，尤其是围绕可靠性和可用性。同样，解决方案的“增长潜力”在后续阶段也很重要。例如现成的解决方案可能无法满足运营多个IT环境的大型公司所需的预期定制水平。

（六）用户体验

用户体验不再是一个可有可无、有则更好的选择，它已成为一个关键的差异因素。用户体验的质量决定了用户的选择、偏好和行为。因此，未来的身份认证应努力提供无缝的用户体验以确保适用性。

三、无密码身份认证的案例

（一）增加收入，降低成本

网络安全在传统上被视为支出成本的领域，因此经济上的考量或许是公司应该考虑过渡到无密码身份认证的最显著的原因。

1、提高员工生产力和客户评级

调查显示，全球员工平均每年花费11个小时输入或重置密码。对于平均拥有15，000名员工的公司，这直接导致生产力损失520万美元。对此，虽然过渡到无密码的生态系统会产生一定的成本，但仅通过提高生产力就可以迅速抵消这些成本。

在用户体验改善和安全性的推动下，金融服务业处于采用下一代身份认证技术的最前沿。使用FID0联盟开发的标准

（该标准允许大部分身份认证在用户端执行），可以显著简化密码管理。系统管理员和呼叫中心运营商在与员工和客户联系时将有更好的体验，这将间接提高公司声誉和客户评级。

相关案例是美国一家面向消费者的中型零售银行，该银行意识到，密码认证是消费者不满意的根源，影响了其数字服务的使用并导致运营成本的增长。对于数百万的消费者而言，即使是很小的改善也会对投资回报率产生重大影响。

另一个案例是美国一家金融软件公司，该公司将其认证成功率提高到99.9%，并将登录时间减少了78%。由于其更简便的用户体验，该公司还能够引入其他安全功能，从而缩短了身份认证令牌的寿命并大大减少了潜在的攻击面。

2、降低数据泄露的防控成本

80%的数据泄露事件涉及弱密码或被盗密码，29%的网络攻击利用的是后者。2019年，全球数据泄露的平均成本为392万美元，比上年增长1.5%。如果没有密码可以推断或窃取，那么罪犯访问和窃取数据的能力将会被严重削弱。此外，密码散列也会被犯罪分子利用，在没有认证服务器强加限制的情况下，他们可以对其进行暴力破解。从风险管理的角度，这意味着过渡到无密码身份认证将使公司可以把数据泄露风险相关的预算削减4/5，相当于降低了网络保险费。

3、节省密码重置费用

对于IT部门和呼叫中心，公司平均花费2.5个月来重置内部密码。IT服务台所有呼叫中，20%至50%与密码重置有关，单个重置的成本估计在30到70.18美元之间。LastPass作为一家著名的密码安全公司，其平均每年大概花费100万美元在密码帮助服务台的工作人员配置上，来处理密码重置问题。

相关案例是美国一家财富500强的健康保险企业，其于2018年转型为无密码身份认证。在保险行业领域，用户通常是间歇性地登录关键服务。因此，在客户重新注册时，密码重置和服务窗口拥塞十分普遍。这种类型的商业模式和用户体验会导致成本激增，并降低整体认证频率。

（二）改善用户体验

便捷、无缝的用户体验对于用户广泛接受和使用身份认证至关重要。

1、提升体验经济

体验日益比价格更为重要，有86%的客户愿意为更人性化的体验付费。这意味着，如果平台的身份认证体验不佳，则某些客户会选择服务质量较差但身份认证体验更好的平台。

无密码身份认证是无缝的，它模仿了人类几千年来相互认识的方式，即通过寻找识别物品或个人特征来进行认证。无密码身份认证作为在线服务的入口，正在成为数字化转型的竞争优势。

相关案例是Google员工使用基于FID0的安全密钥进行内部身份认证，将认证的总时间减少了近三分之二，最重要的是认证失败率为零，而同时间段内基于一次性密码（OTP）的身份认证失败率为3%。从用户体验的角度来看，还有许多其他好处，最显著的影响是切换到安全密钥后，没有任何员工账户遭受网络钓鱼攻击。

2、减少规则数量

当用户被迫记忆100多个证明信息和密码时，他们自然会寻找办法减轻负担，比如重复使用密码、选择弱密码或者在手机、电子邮件地址或键盘下方记录密码，10个最常用的密码如表1所示。更好的用户体验意味着身份认证系统能够得到合其初衷的使用：减少规则数量，提高用户认可度，进而反过来提高安全性。

3、增强适用性

无密码身份认证以客户为中心，利用快速便捷的解决方案，依靠许多人每天使用的相同设备（例如智能手机），无密码验证技术可以在任何地方适用。

（三）互操作性释放价值

1、互操作性提升可扩展性

标准使互操作性成为可能。2019年3月，由万维网联盟（W3C）开发的FID0联盟的“FID02”标准已成为Web标准。

这种身份认证利用了公钥加密技术，即可以与任何人共享的公共密钥。所有者在其设备（例如手机、计算机或安全密钥）上的“身份认证器”中安全地持有关联私钥。

当用户向支持FID0的站点进行身份认证时，可以通过简单的操作（例如扫描指纹或触摸安全设备）来验证其身份或存在。网站和用户的身份认证器之間进行“询问-响应”，以验证用户是否拥有正确的私钥。每个服务使用唯一一对密钥，并且私钥永远不会离开用户的设备。所有领先的网络浏览器均支持FID02，使其在现代设备上实现普及。

2、互操作性提供更多选择

采用基于标准的方法意味着服务提供商可以更快地入门无密码身份认证。服务和技术提供商可以按照通用标准开发解决方案——包括Web开发人员可以轻松利用的公共API，从而消除了对密码的依赖。FID0通过已建立的认证程序实现互操作性，该程序已完成650多种产品的一致性和互操作性测试。

除标准之外，还有许多其他流程可以帮助实现企业环境内无密码身份认证扩展框架的快速实施。这些流程包括供应商评估、用户体验建设、内部用户教育、路线图以及从现有解决方案调整到改善登录流程的迁移。

随着在线服务成为公民与政府之间互动的主要方式，公共部门也在大力投资数字项目，并重新审视其国家身份认证方案，以提高政府数字服务的安全性。

相关案例是英国政府的统一身份认证平台GOV.UK Verify，该平台建立在一个以标准和指导文件为基础的信任框架之上，这些标准和指导文件确定了参与框架的规则。该规则的相关要求包括有关使用行业标准的建议，这些建议适用于对在线服务（例如FID0技术详述和认证）访问的保护。此类指导旨在同时满足国家要求和在国际上可互操作的要求。

3、互操作性允许扩展市场

互操作性使新用户可以访问某些服务，它允许现有用户进行更多交易，还允许数字服务为他们的用户提供新的交易方式。公开标准大大缩短了开发时间，并提供了进入正在采用已认证解决方案的新市场的机会，并允许国际兼容性和扩展数字业务。

举例来看，欧盟的《通用数据保护条例》（简称GDPR）等法规会影响为欧洲用户服务的企业，无论企业本身在何处注册。无密码身份认证使遵守此类国际法规变得更加容易，利于企业在不同地区扩展数字业务。

（四）密码更少，安全性更高

企业通常会在平衡安全性和易用性之间做出权衡。如前所述，无密码解决方案可增强用户体验，但是这样做会牺牲安全性吗？

1、减少企业的攻击面

公司过渡到无密码解决方案时，其不需要出于身份认证目的而存储任何个人信息，大大减少了遭受数据泄露的风险。在用户侧实施身份认证程序，不会在互联网上传输任何个人信息，从而使中间人攻击变得不可能。

身份认证数据（例如用户的生物特征）保存在用户设备上，网络罪犯就没有任何收集点可以用来获取客户的生物特征数据集，这使在线欺诈和身份盗用的风险概率大大降低。不利的方面是如果用户丢失身份认证器（例如身份认证器与物理设备绑定在一起），则重置访问权限比密码重置更为麻烦。

2、增强终端用户安全性

随着犯罪分子和计算机在窃取和猜测密码方面变得更加有效，密码安全规则也在飞速发展。考虑到复杂的密码安全规则难以在用户端实行，最近专家呼吁简化密码管理协议。对此，使用无密码的身份认证解决方案，没有任何密码可供网络罪犯从平台服务器中窃取，没有公司储存的信息可能被黑客利用来推断或暴力破解密码，因此可以更好地保护用户。

3、隐式多因素身份认证

大多数无密码身份认证都同时利用生物特征以及特定的设备或应用程序（例如与用户绑定的身份认证器）：这是两个不同的身份认证因素，它们提供的保证比单个共享机密要强得多。例如与输入密码后短信息服务SMS发送的一次性密码不同，无密码身份认证解决方案是无摩擦的，因此比以往任何时候都更快地促进了多因素身份认证的采用。

4、遏制网络经济犯罪

银行或Uber账户的登入证明信息在暗网上以7美元甚至更低的价格出售，此类交易产生的收入助长了网络犯罪和恐怖活动。因此，替换密码会增加有组织犯罪集团的成本，影响地下网络犯罪经济，降低其利润，从而打压实施网络犯罪的动机。

四、可供使用的五种关键无密码技术

（一）使用面部生物识别技术进行身份认证

智能手机相机和机器学习模型的最新技术进步意味着现在面部识别和文档扫描可以用于远程大规模验证人员。简而言之，在在线服务上创建新账户时，用户会上传其身份证明信息，应用程序将身份证明上的用户照片与拍照者进行比较。通过使用面部生物特征进行认证，用户不再需要将密码与其账户关联。

（二）硬件密钥提供额外的安全性

在最近的一项研究评估中，Google将密码身份认证的标准与安全密钥、基于智能手机的一次性密码（OTP）生成器以及通过SMS进行的两步验证（2SV）进行了比较，发现安全密钥提供了最强的安全性，同时还提供了可用性和可部署性的最佳组合。

安全密钥的形式多种多样，它们可以是驻留在用户钥匙串中的小型USB、NFC或蓝牙设备，也可以内置在用戶手机中，在用户需要登录新设备时进行安全身份认证。此处的共同要素是，进行身份认证时，设备必须同时在物理空间上存在于本地。

（三）用户体验优先的二维码认证

复杂的动态二维码（简称QR）也可以用于无密码身份认证。登录的用户使用智能设备扫描QR码，将会话绑定到他们的用户身份。然后确认消息会显示在设备上的应用程序中，验证身份并触发生物识别扫描，以确认用户身份。最后，将经过身份认证的会话传递给信任方，用户进而成功登录。

动态QR码扫描具有许多优点，例如可以防止会话劫持或重放攻击。由于该代码具有动态效果，图像独特且有效操作时间很短，因此它为绑定会话提供了一种安全的方法进行身份认证，同时提供无缝的体验，无需在设备之间进行复杂的配对。

（四）行为分析无缝认证

行为分析认证使用不可识别但对于个人而言独特的因素来确认身份。用户可能看不到密码登录，但是他们将在后台使用各种因素进行身份认证。例如从鼠标移动到打字速度和习惯、登录历史记录、网络详细信息（例如IP地址）、使用的浏览器等不可识别的行为属性。尽管这些无法识别的因素中的单独一个都不足以验证身份，但是当它们组合成一个安全网格时，身份认证既安全又不可见。

所有这些因素都可以整合到一个大数据集中，并应用人工智能和机器学习技术来分析合法用户，还可以准确区分犯罪分子和欺诈性身份认证。

（五）零知识证明的密码认证

零知识证明（ZKP）是一种质询/响应身份认证协议，其中要求各方提供其机密信息的正确性，但又不泄露这些机密信息。它允许用户进行身份认证，其方式使密码永远不会离开用户设备或浏览器。简而言之，ZKP身份认证过程可以将密码转换为复杂且唯一的抽象字符串，例如具有完全随机模式的魔方。该抽象形式被传输到服务器并存储。这种方式的挑战在于，通过生成与魔方模型相匹配的一系列随机序列，来证明客户端上的魔方多维数据集与服务器上的多维数据集相同。这样，整个模型就永远不会转移，但是用户仍然有高度可能性证明两个模型是相同的。主要优点之一是验证者无法从身份认证过程中了解任何信息。

ZKP技术可以消除私人用户数据在验证或身份确认过程中的暴露问题。它甚至可以用于验证之外，允许用户回收和控制其数字身份的使用。

五、结论

本报告介绍了无密码身份认证的四个理由。首先，它极大地改善了用户体验。其次，它大大降低了与密码管理和数据泄露相关的成本。第三，它支持互操作性，释放企业内部和企业之间以及公共服务的价值，同时支持为获得平台经济利益而进行的数字化转型工作。最后，无密码身份认证更加安全，它消除了从凭证信息获取到网络钓鱼攻击的一长串攻击媒介，并使用户重新获得控制权。

进行无密码身份认证的本身并不是目的。犯罪分子会适应新环境，而安全控制往往是短暂的。健全的身份认证系统应该建立在长期愿景之上，以促进安全性、隐私性、可持续性、用户体验、可扩展性和包容性。

责任编辑：梁媛