Tháng Hai 12, 2023

Bạn cần đăng nhập vào một trong các tài khoản trực tuyến của mình - đã đến lúc chứng minh rằng bạn là người bạn nói. Ở cấp độ cao nhất, bạn sẽ gặp một trong hai tùy chọn ở đây:

  1. Xác thực dựa trên kiến thức. Điều này thường có nghĩa là mật khẩu. Đó là một tùy chọn quen thuộc, nhưng thường gây ra vấn đề cho cả người dùng và tổ chức. Ví dụ: trong 24 giờ qua, 32% người dùng đã phải yêu cầu nhắc nhở mật khẩu. Quên mật khẩu là một vấn đề lớn gây ra chi phí hành chính đáng kể và mất doanh nghiệp.
  2. Xác thực không cần mật khẩu. Đây có thể là Mật mã một lần SMS (OTP), xác thực vân tay hoặc bất kỳ phương thức xác thực nào khác không yêu cầu mật khẩu. Ví dụ, với sinh trắc học khuôn mặt iProov, người dùng có thể xác thực đơn giản bằng cách nhìn vào thiết bị của họ để có quyền truy cập vào tài khoản của họ.

Trong những năm gần đây, các tổ chức đã tránh xa mật khẩu và hướng tới các tùy chọn không cần mật khẩu, bởi vì xác thực dựa trên mật khẩu thường cồng kềnh, tốn kém và không an toàn.

Có nhiều tùy chọn không cần mật khẩu khác nhau, nhưng không phải tất cả chúng đều được tạo ra như nhau – một số tùy chọn mang lại trải nghiệm người dùng, bảo mật và tính toàn diện tốt hơn những tùy chọn khác.

[LWPTOC]

Xác thực không cần mật khẩu là gì?

Xác thực không cần mật khẩu là quá trình xác thực quyền truy cập của người dùng vào tài khoản, phần mềm hoặc dịch vụ trực tuyến mà không yêu cầu mật khẩu dựa trên kiến thức.

Một số công nghệ có thể được sử dụng để cho phép người dùng truy cập an toàn mà không cần mật khẩu, chẳng hạn như:

  • Xác thực sinh trắc học (tức là khuôn mặt, giọng nói hoặc dấu vân tay)
  • Xác thực SMS OTP
  • Email xác thực liên kết một lần
  • Ứng dụng xác thực
  • Xác thực dựa trên phần cứng (tức là Yubikey)
  • Xác minh cuộc gọi video

Tại sao các tổ chức chọn xác thực không cần mật khẩu?

Xác thực không cần mật khẩu có lợi vì nó thường có thể tăng cường bảo mật. Các lỗ hổng mật khẩu rất nổi tiếng và chúng có thể bị vi phạm theo nhiều cách - ngoài ra, các phương pháp quản lý mật khẩu thường có rủi ro.

Vì vậy, các tùy chọn không cần mật khẩu được thiết kế để tăng cường bảo mật và giảm số lượng tấn công cách hệ thống có thể bị tấn công. Một giải pháp không cần mật khẩu tốt cũng có thể làm cho quá trình xác thực thuận tiện hơn cho người dùng so với mật khẩu, vì mật khẩu rất dễ bị mất, quên và vi phạm, dẫn đến quá trình khôi phục kéo dài.

Khá phổ biến hiện nay, các tổ chức chọn thực hiện xác thực hai yếu tố hoặc đa yếu tố để thiết lập niềm tin trực tuyến lớn hơn trong các điều kiện thù địch và hạn chế gian lận thông qua xác thực mạnh hơn. Điều này có nghĩa là các tổ chức không cần phải loại bỏ hoàn toàn mật khẩu nếu họ không muốn - thay vào đó họ có thể kết hợp chúng với một yếu tố khác như xác minh khuôn mặt sinh trắc học.

Nhưng hãy nhớ rằng: những lợi ích cụ thể của việc không cần mật khẩu sẽ phụ thuộc vào giải pháp bạn áp dụng. Điều quan trọng là phải đạt được sự cân bằng giữa bảo mật và trải nghiệm người dùng.

Quá khứ và tương lai của xác thực không cần mật khẩu

Trong những ngày đầu của internet, các tổ chức thường chỉ dựa vào ID người dùng và mật khẩu để xác minh khách hàng. Khi nhiều tiền bắt đầu đổi chủ trực tuyến, những kẻ lừa đảo bắt đầu lợi dụng.

Những kẻ lừa đảo đã thành công: thật đáng kinh ngạc, 80% các vi phạm liên quan đến hack liên quan đến thông tin đăng nhập mật khẩu bị xâm phạm và yếu. Mật khẩu về bản chất làm suy yếu tính toàn vẹn của quy trình bảo mật và khiến cá nhân hoặc dịch vụ gặp rủi ro. Điều này gây ra rủi ro bảo mật trên toàn xã hội cho người dùng và tổ chức.

Trên đường đi, các cuộc tấn công mà các tác nhân xấu sử dụng để phá hoại mật khẩu trở nên tinh vi và có khả năng mở rộng hơn. Chúng bao gồm, nhưng không giới hạn ở:

  • Lừa đảo
  • Keylogging
  • Tấn công vũ phu
  • Man-in-the-middle tấn công.

Vì vậy, các phương pháp xác thực khách hàng mới xuất hiện để chống lại những nhược điểm của mật khẩu. Một số ở lại, và một số chết đi. Một phương pháp duy trì là xác thực sinh trắc học - không chỉ vì nó có thể cung cấp quyền truy cập an toàn trong vòng vài giây mà người dùng không cần phải nhớ bất cứ điều gì.

Vào năm 2023, iProov dự đoán rằng sinh trắc học kết hợp với thiết bị sẽ vượt qua mật khẩu kết hợp với thiết bị như một giải pháp xác thực hai yếu tố - có nghĩa là cuối cùng chúng ta có thể thấy sự kết thúc của mật khẩu, ngay cả khi là một phần của giải pháp xác thực hai và đa yếu tố.

Xác thực không cần mật khẩu hoạt động như thế nào?

Xác thực không cần mật khẩu thường được chia thành hai loại:

1. Dựa trên sở hữu

Các yếu tố dựa trên sở hữu, chẳng hạn như OTP, đôi khi được gọi là "thứ bạn sở hữu". Họ cố gắng xác thực người dùng thông qua quyền sở hữu thiết bị. Ví dụ: nếu bạn có thể tìm nạp và dán OTP, thì điều này sẽ chứng minh rằng bạn là người sở hữu thiết bị được liên kết với số điện thoại đó và bạn có quyền truy cập độc quyền - do đó chứng minh danh tính của bạn.

Một vấn đề với xác thực dựa trên sở hữu là nó tin tưởng các thiết bị hơn con người. Mã có thể chia sẻ và lừa đảo, có nghĩa là chúng không phải là đại diện rõ ràng về danh tính của ai đó.

2. Căn cứ vào vốn có:

Các yếu tố dựa trên vốn có - tức là sinh trắc học - đôi khi được gọi là "bạn là ai". Họ cố gắng xác thực người dùng bằng cách khẳng định một đặc tính sinh học / vật lý. Ví dụ: quét khuôn mặt của bạn bằng camera hướng tới người dùng của thiết bị hoặc ấn ngón tay vào bàn quét dấu vân tay của thiết bị.

Yếu tố xác thực thứ ba là dựa trên kiến thức. Xác thực dựa trên kiến thức thường có nghĩa là mật khẩu, nhưng cũng có thể có nghĩa là câu trả lời bí mật, chẳng hạn như thú cưng đầu tiên của bạn hoặc tên thời con gái của mẹ (mặc dù câu trả lời bí mật ngày nay ít được sử dụng hơn).

Nói một cách đơn giản, xác thực không cần mật khẩu hoạt động bằng cách người dùng xác thực bằng cách sử dụng yếu tố sở hữu hoặc dựa trên vốn có - chẳng hạn như OTP hoặc quét sinh trắc học khuôn mặt - thay vì mật khẩu.

Tự động điền mật khẩu không phải là xác thực không cần mật khẩu. Cũng không sử dụng mã mở khóa điện thoại di động để điền vào trường mật khẩu. Cả hai tùy chọn này đều dựa trên mật khẩu cơ bản. Xác thực không cần mật khẩu hoạt động thông qua việc bỏ qua nhu cầu mật khẩu bằng cách sử dụng một công nghệ hoàn toàn khác.

Nhấp vào đây để hiểu sâu hơn về các phương pháp xác thực khác nhau có sẵn.

Tại sao nên chọn sinh trắc học khuôn mặt để xác thực không cần mật khẩu?

Sự đơn giản của sinh trắc học khuôn mặt là một trong những lợi thế tuyệt vời của nó. Nó có thể truy cập rộng rãi, không có mật khẩu để nhớ và không có thiết bị hoặc mã thông báo truy cập để mang theo. Điều này làm cho xác minh khuôn mặt sinh trắc học trở thành một trong những phương pháp bảo mật toàn diện và dễ tiếp cận nhất – nếu nó được triển khai chính xác.

Mặc dù các phương pháp khác có thể mang lại lợi ích so với mật khẩu truyền thống, nhưng bảo mật vẫn thường thiếu một giải pháp sinh trắc học tinh vi. Ví dụ, OTP thường dễ lừa đảo một cách đáng báo động. Đọc thêm về rủi ro của OTP tại đây.

Vì vậy, hãy xem xét một số lĩnh vực mà xác thực không cần mật khẩu sinh trắc học có thể tạo ra sự khác biệt thực sự:

  • An ninh: Nói chung, xác thực không cần mật khẩu hỗ trợ sinh trắc học sẽ an toàn hơn đăng nhập bằng mật khẩu. Mật khẩu rất khó nhớ, vì vậy mọi người có xu hướng sử dụng cùng một mật khẩu trên nhiều trang web. Điều này có nghĩa là nếu mật khẩu bị đoán hoặc vi phạm, tin tặc có thể truy cập vào toàn bộ tài khoản người dùng bằng cách sử dụng các cuộc tấn công nhồi thông tin xác thực. Ngoài ra, mọi người thường chọn mật khẩu đơn giản, dễ bẻ khóa. Đó là lý do tại sao phần lớn các vi phạm bảo mật liên quan đến mật khẩu. 63% người tiêu dùng đã phải thay đổi mật khẩu do vi phạm bảo mật. Tuy nhiên, bạn không thể mất mặt hoặc bị đánh cắp.
  • Cải thiện trải nghiệm người dùng và sự tiện lợi: Với xác thực không cần mật khẩu, người dùng thường không phải nhớ bất cứ điều gì. Trong trường hợp của iProov, họ thậm chí không phải làm bất cứ điều gì: họ chỉ nhìn chằm chằm vào camera hướng tới người dùng trên thiết bị của họ. Điều này làm cho việc xác thực trở nên đặc biệt dễ dàng cho người dùng cuối.
  • Giảm chi phí: Sinh trắc học có nghĩa là giảm chi phí đặt lại mật khẩu và ít thời gian hơn để nhắc nhở nhân viên đặt lại mật khẩu hoặc sử dụng mật khẩu an toàn. Vé trợ giúp mật khẩu là một vấn đề lớn trong các ngành công nghiệp - một số tổ chức lớn có trụ sở tại Hoa Kỳ trong các ngành dọc khác nhau phân bổ hơn 1 triệu đô la hàng năm cho chi phí hỗ trợ liên quan đến mật khẩu. Họ yêu cầu bảo trì liên tục từ CNTT. Xóa mật khẩu giúp loại bỏ các chi phí này bằng cách dựa vào các phương pháp xác thực hiệu quả và an toàn hơn.

Lợi ích của việc triển khai xác thực không cần mật khẩu bằng sinh trắc học khuôn mặt iProov

Tương tự như một số phương pháp không cần mật khẩu tốt hơn những phương pháp khác, một số giải pháp sinh trắc học cũng tốt hơn những phương pháp khác.

Có một số đề xuất độc đáo nâng cao công nghệ iProov lên trên những đề xuất khác như một giải pháp không cần mật khẩu:

  • Tỷ lệ hoàn thành hàng đầu trong ngành: Tỷ lệ hoàn thành iProov thường > 98%. So sánh thống kê này với thực tế là Hơn 50% người dùng đã từ bỏ mua hàng trực tuyến vì họ quên mật khẩu và việc truy xuất mật khẩu mất quá nhiều thời gian và thật dễ hiểu tại sao các tổ chức tránh xa mật khẩu.
  • Bảo mật dựa trên đám mây. Bảo mật dựa trên đám mây iProov có nghĩa là xác thực của chúng tôi không bị ảnh hưởng bởi bất kỳ lỗ hổng nào trên thiết bị được sử dụng. Điều đó cũng có nghĩa là bảo mật của chúng tôi không rõ ràng đối với kẻ tấn công và khó đảo ngược kỹ thuật hơn nhiều. Cuối cùng, điều này cho phép iProov cung cấp xác thực ngoài băng tần. Một số tùy chọn xác thực không cần mật khẩu được gắn với thiết bị – vì vậy nếu thiết bị đó bị xâm phạm, OTP hoặc ứng dụng xác thực sẽ vô giá trị vì kẻ tấn công có quyền truy cập vào mã trên thiết bị. Đây là lý do tại sao Tổng thống Biden đã nhấn mạnh tầm quan trọng của kiến trúc dựa trên đám mây.
  • Trải nghiệm thực sự thụ động: Trải nghiệm người dùng iProov rất dễ dàng, nhanh chóng và thụ động - tất cả những gì người dùng cần làm là nhìn vào camera hướng tới người dùng của thiết bị.
  • Khả năng mở rộng và thành công đã được chứng minh: iProov đã chứng minh khả năng mở rộng quy mô trong môi trường thế giới thực với các triển khai lớn trên toàn thế giới - với hơn 1 triệu xác minh mỗi ngày trong thời gian cao điểm. iProov là một nhà cung cấp đã được chứng minh, đã được sử dụng tích cực và dựa vào bởi các tổ chức hàng đầu như Bộ An ninh Nội địa Hoa KỳUBS.
  • iSOC: Trung tâm điều hành bảo mật iProov giám sát các hoạt động hàng ngày và xác định các cuộc tấn công mới và đang phát triển. Hệ thống phòng thủ và thuật toán của chúng tôi được cập nhật liên tục để đối phó với các mối đe dọa mới, điều này khiến cuộc sống của những kẻ tấn công trở nên khó khăn hơn nhiều. Điều này cuối cùng có nghĩa là chúng ta tìm hiểu nhiều hơn về những kẻ tấn công hơn là chúng tìm hiểu về chúng ta.

Đọc chuyên sâu tất cả các ưu điểm của xác thực sinh trắc học khuôn mặt iProov tại đây.

Tại sao Liveness lại quan trọng đối với xác thực không cần mật khẩu?

Công nghệ Liveness là một thành phần của công nghệ sinh trắc học phân biệt giữa các vật thể vô tri vô giác và con người.

Công nghệ Liveness là một cân nhắc quan trọng để lựa chọn giải pháp xác thực không mật khẩu sinh trắc học. Khi bạn đang xem xét loại công nghệ sống động nào để sử dụng, bạn phải suy nghĩ về hồ sơ mối đe dọa của bạn trông như thế nào. Kẻ tấn công sẽ cố gắng như thế nào để đột nhập vào hệ thống của bạn? Làm thế nào quan trọng đối với bạn để thiết lập rằng một người dùng trực tuyến là một người thực sự và không phải là một giả mạo? Và thông tin họ đang truy cập có giá trị như thế nào? Các trường hợp sử dụng khác nhau yêu cầu mức độ đảm bảo khác nhau – đó là lý do tại sao một số tổ chức chọn xác thực từng bước.

Cuối cùng, không phải tất cả sự sống đều được tạo ra như nhau. Có một loạt các công nghệ sống. Một số trong số chúng rất rẻ và nhanh chóng. Một số trong số chúng đáng kể và linh hoạt hơn nhiều đối với các phương pháp của kẻ tấn công có thể phát hiện ngay cả những kẻ tấn công quyết tâm nhất. Loại thứ hai có thể cung cấp sự yên tâm đáng kể cho các tổ chức và người dùng của họ.

iProov cung cấp các giải pháp bao gồm các trường hợp sử dụng rủi ro thấp đến cao. Nhưng khi một giao dịch là nhiệm vụ quan trọng, chỉ iProov Dynamic Liveness (GPA) mới có thể đảm bảo rằng người dùng là đúng người, đúng người thật và đang xác thực trong thời gian thực. Điều này rất quan trọng trong việc bảo vệ chống lại các cuộc tấn công được tiêm kỹ thuật số có khả năng mở rộng cao. Sử dụng công nghệ Flashmark™ được cấp bằng sáng chế, mã sinh trắc học một lần được tạo ra mà không thể sao chép.

Tìm hiểu thêm về Dynamic Liveness tại đây.

Sinh trắc học để xác thực không cần mật khẩu: Tóm tắt

  • Các phương pháp xác thực không cần mật khẩu được phát triển để chống lại sự thiếu hiệu quả, không an toàn và bất tiện liên quan đến mật khẩu.
  • Xác thực không cần mật khẩu thường được chia thành hai loại: dựa trên sở hữu (chẳng hạn như OTP) và dựa trên vốn có (chẳng hạn như sinh trắc học).
  • Các phương thức xác thực không cần mật khẩu nói chung sẽ an toàn và thuận tiện hơn các tùy chọn dựa trên mật khẩu. Nhưng có một hệ thống phân cấp cho các tùy chọn có sẵn: các nhà vô địch iProov phải đối mặt với sinh trắc học như một phương pháp tối đa hóa sự tiện lợi, toàn diện và bảo mật.
  • Xác thực sinh trắc học khuôn mặt của iProov đang được sử dụng trên quy mô lớn bởi các tổ chức có ý thức bảo mật nhất thế giới để cung cấp giải pháp không cần mật khẩu giúp cải thiện bảo mật và trải nghiệm người dùng đồng thời.

Nếu bạn muốn biết thêm về việc triển khai công nghệ của iProov để cung cấp xác thực không cần mật khẩu liền mạch và an toàn, vui lòng yêu cầu bản demo tại đây.

Xác thực không cần mật khẩu là gì? Xác thực không cần mật khẩu hoạt động như thế nào? Sử dụng sinh trắc học. Hình ảnh là một người đàn ông thất vọng vì quên mật khẩu trên điện thoại của mình