采用无密码认证目前面临着一些挑战 ，身份包括改变带来的验证阻力、与旧系统的无密集成，以及初期的码身成本
，企业还可能对安全性 、份验发展方用户体验、身份无障碍性、验证合规性和数据隐私等方面存在担忧。无密

为了克服这些挑战，码身公司应该投资于教育
，份验发展方逐步整合新的身份解决方案，关注长期的验证投资回报率，模板下载确保符合行业标准  
，无密并为用户提供多种认证选项。码身

FIDO联盟最近的份验发展方一份报告显示，87%的公司正在部署或计划部署密钥以加强安全性和改善用户体验。

“无密码”对不同的人来说意味着不同的东西，那么它实际上是什么样的?安全领导者需要做些什么来准备呢?

为什么无密码认证正在兴起

据Yubico称  ，尽管有更安全的替代方案可供选择，但用户名和密码组合仍然是最普遍的建站模板认证方法，与此同时，借助AI工具的网络钓鱼攻击变得越来越先进。

攻击者不仅窃取密码，他们还劫持会话  、绕过多因素认证(MFA)，并利用设备的漏洞。

真正的无密码认证意味着没有基于知识的秘密——没有用户必须记住的密码 、安全问题或个人识别码(PIN) ，但是，香港云服务器一些被标记为无密码的系统仍然依赖于密码作为备用方案。

这在市场上造成了混淆。一些供应商宣传的无密码多因素认证(MFA)仍然允许在某些条件下输入密码
。那并不是真正的无密码——它只是具有更便捷的第一步的分层安全 。

安全领导者应该要求供应商明确说明其实现方式。一个真正的无密码系统应该：

• 使用公钥密码学来验证用户身份

• 将凭据绑定到特定设备或认证器

• 不允许将密码作为备份 ，除非受到严格限制

FIDO2标准(由FIDO联盟和万维网联盟(W3C)制定)是当前的源码下载金标准，它支持使用密钥和生物识别令牌进行认证，而无需中央共享密钥 。

科技巨头们已经在采取行动，苹果、谷歌和微软已经在设备和浏览器中推出了密钥支持。

Okta高级副总裁兼首席安全官Charlotte Wylie指出 ：“无密码策略为减轻密码疲劳提供了最佳解决方案
。当公司采用无密码策略时
，密码所带来的挑战——包括账户安全性和用户体验差、生产力损失以及成本增加——都将被消除 。”

CISO采用无密码认证的策略提示

随着网络安全领域向更安全、更友好的认证方法转变，CISO必须谨慎地对待这一转变
。亿华云以下是朝着正确方向迈进的五个提示 ：

审核你当前的认证堆栈：确定密码仍在使用的地方：内部应用程序
、第三方软件即服务(SaaS) 、旧系统。完成后，优先处理高风险或高摩擦用例 。

从高影响用户群体开始：为能够访问敏感系统的高管 、开发人员和管理员试点无密码选项。使用像YubiKey或密钥这样的强认证器 。

利用支持FIDO2的身份提供商 
：确保你的免费模板身份提供商(如Okta 、Azure AD、Ping等)支持现代无密码协议，并能与你的现有目录和应用程序集成 。

教育和培训用户：无密码认证只有在用户信任该系统时才有效。解释其好处 ，提供自助注册指南
，并为无障碍性或设备问题提供替代方案 。

不要放弃备用安全方案：使用抗网络钓鱼的方法(如次要设备认证或身份验证)建立恢复流程。避免重新引入密码作为备用方案。

展望未来

一旦企业采用无密码认证 ，跟踪系统性能就变得至关重要，以衡量其成功与否 。对于CISO来说 ，衡量ROI和对安全性的影响是证明解决方案价值的关键，监测系统的有效性
，并确保其成功降低风险是很重要的 。

CISO应该关注关键指标 ，如用户采用率 、阻止的网络钓鱼尝试次数以及安全事件的整体减少情况 。随着时间的推移，他们可能会看到成功阻止的网络钓鱼尝试次数减少、凭据盗窃事件减少，甚至与密码重置相关的IT支持成本降低。

展望未来 ，无密码认证将成为各行各业的常态。随着这项技术的进步，企业应该尽早采用它，以降低风险、减少IT支持成本 ，并走在监管变化的前面 。

AI和机器学习将通过跟踪用户行为和发现异常模式来增强无密码认证，这些工具有助于在保持登录过程简单的同时加强安全性，并根据潜在风险调整要求。

Stytch的CTO Julianna Lamb表示：“首先，未来将是无密码的。虽然许多公司可能还没有准备好切换到无密码(出于各种原因，许多公司也确实没有准备好) ，但我相信  ，在未来十年到二十年里 ，我们将看到无密码认证在所有行业和用例中得到普及 ，因为它们更加安全和用户友好。”