身份验证急需高级安全验证系统代替密码

密码早已经无法保证信息安全，我们需要高级安全验证系统

如果你超过10岁，你一定听过这句话:“世界由你掌控。”这基本上意味着你能够抓住生活提供的机会。没有什么能比这更准确地描述当今世界的技术了。现在，如果我们对这句话稍作改动，我们也可以说“世界是你的身份认证。”“对于组织来说，他们想要如何执行他们的愿景，有无数的选择。

很长一段时间以来，我们都被密码当作默认身份验证所拖累。这已经在许多方面证明了它是一个标准。几十年来，我们一直被教导，密码能保证某种程度上的安全，可以用来保护网站等等。但这是一个需要我们消除的不好的观念。

这里的问题是，安全需求已经到了需要用高级安全验证系统代替密码的地步。让我们以此为例：如果有人知道密码，但却不能确保是谁在使用密码。很久以来，这都是无法保证的。例如，根据2020 Verizon DBIR数据，有86％的违规是出于经济动机。

当攻击者设法破坏一个网站时，他们将重复使用他们捕获的凭据来增加对其他网站的访问权限，这是因为他们了解人们是趋于习惯性的，将会使用相同的密码去攻击一个人的多个账户。即使当检查自己的密码管理器应用程序时，我发现自己拥有超过900个密码。这也就不奇怪，人们为什么还把密码写在便笺上。

有太多的选择可以弥补我们的密码困境。MFA是一个很好的例子，这为更好的身份验证解决方案的提供了优秀示例。当我们看到像MFA这样的东西时，我们明白这其中涉及到了一种文化转变。80%的安全漏洞都涉及密码泄露。人们可能会犹豫抵制变革，但当安全实现民主化时，他们会接受变革。

如果对于非技术人员来说，使用它很容易，那么他们就会采用它，进而提高信息的安全性。例如，我母亲使用Duo应用程序来验证她的电子邮件和其他应用程序。当你使用工程师为非专业人士写的应用程序时，可以想象它会怎样的。所以安全工具一定要易于使用。

如果您正在使用推送式的应用程序，或者甚至使用W3C WebAuthN开放标准(可以利用API替换密码)的应用程序，则可以通过从组合中删除密码来提高组织的安全性。将这样的技术与Azure AD结合使用可以降低组织的风险。可以经过身份验证的用户访的系统，而不需要怀疑使用密码登录的人是否就是拥有该账户的那个人。