自IT早期以来,用户名和密码一直是主要的身份验证方法. 技术已经发生了巨大的变化,用户名和密码的使用已经成为问题. 用户名很容易被猜中,而密码也很容易被网络钓鱼窃取. 为了使情况更加复杂,用户需要管理一组用户名和密码. 通常,他们对多个站点使用相同的凭据. 因此,当在不太安全的网站上使用时,将他们的证书置于风险之中.
多因素身份验证(MFA)可以降低单一因素的风险, 用户名, 密码认证要求. 身份验证因素指的是用户知道的东西, 例如密码或PIN, 他们是, 比如指纹或面部扫描, 或者他们有什么东西, 比如智能卡或手机. 与密码, 生物识别和物理设备被认为是不可收获的,不容易受到网络钓鱼企图的影响.
虽然多因素身份验证可以显著提高安全性,但也存在一些缺陷. 双因素身份验证可能不方便. 用户需要使用低安全性的密码和第二个高安全性因素. 密码为保护用户帐户增加了最小值. 无密码身份验证是MFA的安全替代方案. 无密码身份验证删除较弱的安全操作, 的密码, 同时保留更强的身份验证方法.
每个组织都有由公司或行业最佳实践驱动的不同身份验证需求. 在许多情况下,登录需要多个因素. 尽管无密码身份验证会删除密码, 身份验证仍然需要多个因素. 这包括用户拥有的东西, 例如Windows 10或11客户端设备, 一个手机, 或者安全密钥和用户知道的东西, 例如生物识别或PIN. 无密码认证为终端用户提供了更高的安全性和方便性.
Azure AD集成了三个无密码身份验证选项:Windows你好 for Business, 微软认证器应用程序, FIDO2安全密钥. 以下信息是每个选项的概述.
Windows你好 for Business
Windows你好 for Business利用了大多数笔记本电脑上可用的TPM芯片. 对于有专用计算机的用户来说,这是一个很好的选择. 公钥和私钥对可以保证登录过程的安全性. 证书与计算机绑定, 这意味着它是不可钓鱼的,不能用于从其他设备登录. 进行身份验证, 登录过程使用用户拥有的东西, 带有私有证书的笔记本电脑, 以及密码或生物识别手势.
微软认证器应用程序
许多组织已经在使用微软MFA认证器应用程序. 该应用程序还可以用于无密码认证. 微软认证者应用程序利用绑定到移动设备的凭据的基于密钥的身份验证. 用户需要将登录屏幕上的一个号码与登录时应用程序中显示的多个号码进行匹配. 在那之后, 在登录完成之前,系统会提示用户输入第二个因素的生物特征或密码.
安全的关键
在某些环境中,Windows你好或微软认证者应用程序不是一个选项. 这可能包括法律要求或监管环境,在这些环境中,企业不能要求员工在工作中使用个人设备. Azure AD支持快速在线身份认证(FIDO2)安全密钥,用于无密码身份验证. 安全密钥是一种不需要移动设备的廉价的无密码身份验证选项. FIDO2键是一种小型USB设备,通常也支持NFC. Azure AD兼容的FIDO2安全密钥需要客户端PIN. 安全密钥和PIN结合为一个强大的,无密码的多因素登录体验.
Windows你好, 微软认证者, FIDO2安全密钥, 无密码身份验证是好的选择吗. 这三个都是Azure AD支持的,管理员开销很小. 它们为用户提供了一种方便的安全登录方式,同时几乎消除了凭证泄露或网络钓鱼的可能性.