密码无障碍的迷思与现实

文章重点

本篇文章探讨了「密码无障碍」的概念及其背后的迷思，强调了在当前的安全架构中，密码依然无法完全被消除。虽然广泛主张消除密码的声音越来越多，实际操作却面临不少挑战与现实困境，特别是在社区及业务运作方面。文章中建议使用更优化的多重身份验证方式来减轻对使用者的影响。

许多身份与安全领导者在讨论「密码无障碍」的过程中，会开始指责使用者，并发出「人类啊，必须采取行动」的呼声，最终却常演变为一种无奈的接受。

为什么密码无障碍是个迷思？

在现实中，对于任何业务来说，都难以彻底去除密码。以安全团队使用的活跃目录或笔记本电脑为例，Reset之后登录Mac的TouchID或WindowsHello都是几乎不可能的任务。我们的IT领视也知道，根据目前的业务需求，完全消除所有密码意味著更换或重写应用程式成为PKI基础的身份认证架构，这对许多IT领导而言是一个成本高昂的选择。

当前的现实 | 密码无障碍的幻想
—|—
用户始终需要密码 | 完全不需要密码
须用“有”与“是”的强身份验证 | 期待零密码的安全环境

密码管理的困境

创建一个身份的过程通常是由管理人员邀请新员工或合约工进入域，之后该工作人员需要为这个身份建立密码。这些流程其实导致了潜在的安全风险，因为用户的权限越来越高，成为了攻击者的目标。

一些密码无障碍的纯粹主义者认为我们应该完全消除密码，但现实主义者则认为应该减少攻击者利用用户及其密码的可能性。事实上，将密码安全分成两个区域——密码无障碍的用户与密码中心架构，能够解决这种认知不协调。

密码无障碍的多重身份验证（MFA）

用户在透过强身份验证之后，可以不需要知道目录密码。如果他们的MFA验证器能够接手这一责任，大大减轻了使用者的负担。当前大多数的MFA技术充当目录的代理，在经过额外因素的测试后传递用户的凭证。

密码无障碍的多重身份验证技术能够帮助用户摆脱繁琐的密码管理，带来更顺畅的体验。用户不必再记住复杂的12位数密码，减少了他们在日常工作中的摩擦。

为什么密码无障碍的MFA至关重要？

去除用户的密码管理，不仅能减少用户的负担，还能降低对相关IT资源的需求。根据Gartner的数据，密码问题驱动了惊人的40%的帮助台通话，因此这一变革也为IT部门节省了大量的时间。

此方法不仅对用户有利，对于管理人员也能因为密码的改进措施而高效运行。在减少内部威胁和移动侵扰者方面，企业都会受益。通过这种方式，企业不仅能有效降低安全风险，还能实现双赢的局面，唯一受到威胁的则是那些需面对更具挑战的攻击者。

**_Don Shin，安全市场策略师，Secret Double