沒有密碼就不會被盜！是時候考慮無密碼驗證了

什麼是無密碼驗證？

傳統的密碼驗證是一種運用「對特定資訊的理解」（例如密碼、個人資料等）來進行驗證，也是任何現行的 IT 系統中最常見的身分驗證方式。相對而言，無密碼驗證（Passwordless authentication）就是運用與人或裝置相關的某些形式的密鑰來執行驗證，通常是透過公開金鑰加密技術，由伺服器端保存公鑰，而裝置上則是經記號化（tokenized）處理的私鑰。 由於當今大多數的智慧型裝置都搭載了指紋與臉部辨識等功能，生物辨識認證也成為一種越來越普及的無密碼驗證方式。

密碼由於網釣攻擊變得脆弱

在 2022 年初，新的駭客集團 Lapsus$ 對多家知名公司發動攻擊，包括了 Nvidia、Microsoft、Samsung、Ubisoft、Okta 和 T-Mobile 等。他們透過社交工程向內部人員取得登入憑證，並設法潛入公司系統。在許多案例中，他們賄賂了那些擁有有效憑證的人。

此外，最近幾個月，利用釣魚郵件竊取來的憑證所造成的資料外洩事件正在增多。Twilio、Best Buy 與 Doordash 都是帳號遭到侵害的公司。近期的一起網釣攻擊包含了導向釣魚網站的連結，而且該網頁還模仿了知名 IT 服務的登入頁面，如果使用者沒有察覺，他便會受騙而在該釣魚網站中輸入有效的登入憑證，無意間將這些資訊提供給了駭客。

上述這兩種趨勢都清楚顯示了，駭客們現在攻擊的是人的弱點，而非針對系統。再者，一旦駭客取得了有效的憑證，就沒有系統能夠預防得了攻擊。這些將人作為目標的攻擊不斷增加，也表示了這些攻擊確實是有效的。

密碼的主要問題

基本上，密碼應該要是難以猜測的。而且，只有安全強度夠的密碼才能從暴力破解法之類的攻擊中保護帳戶。為了協助管理這些複雜的密碼，市面上也有不少密碼管理的解決方案。只要使用者能妥善保密，這些安全性強的密碼確實是很有效的。

但是，如果這些密碼被提供給了駭客，就沒什麼方法能阻擋他們進行未經授權的存取了。這點可以看出密碼的一個主要問題，就是其「可移轉性」。由於密碼本身與人無關，所以任何取得有效密碼的人，都能在任何地方、以任何裝置進行登入。

降低人性弱點的風險

鑑於人類可能受到欺騙，且密碼具有可移轉性，一旦任何駭客得知了某組密碼，他就能使用這組密碼進入該使用者的帳號。因此，為了減少人性弱點的風險，最好還是避免使用密碼，採取其他的驗證方式，而這也是為什麼無密碼驗證逐漸受到重視。

無密碼驗證的其中一個方式，就是以裝置本身作為驗證因子。不過，我們當然也不能排除裝置遭竊的可能性，因此它最好和多重因素驗證（MFA）搭配使用。由於攻擊的手法不斷演進，自然也不可能會有能夠對付每個攻擊的完美解方。但是，即便密碼遭到駭客竊取，裝置與多重因素驗證的結合仍然是個強大的保護。

HENNGE One：無密碼驗證的最佳解方

HENNGE One 有一項功能叫做裝置憑證（Device Certificate），讓使用者能夠透過安裝了憑證的裝置來進行登入。由於 HENNGE One 也有無密碼登入的功能，使用者可以選擇用裝置憑證來取代密碼進行登入。除此之外，HENNGE One 也提供多重因素驗證（MFA）功能，利用經註冊的行動裝置生成 OTP 來進行第二層驗證，這個步驟也能夠透過點擊在行動裝置上推播的通知來完成。

隨著網釣攻擊成功的次數越來越多，釣魚郵件在未來也只會持續增加，員工因此受騙而交出有效登入憑證的機率也只會越來越高。在這樣的趨勢下，是時候該考慮無密碼驗證了！

進一步瞭解 HENNGE One，讓 HENNGE 協助您達成無密碼驗證！