9月3日,以“服务合作促发展 绿色创新迎未来”为主题的2022年中国国际服务贸易交易会(以下“服贸会”)在京火热进行。作为全球服务贸易领域规模最大的综合性展会,服贸会聚集了全球服务贸易领域的新技术、新应用、新服务,吸引了全球七十多个国家和地区数千家企业和组织参展。
北京一砂作为全球领先的数字身份服务管理提供商,与阿里云一同受德勤中国的邀请出席服贸会活动,并由一砂解决方案总监张盛毅先生分享一砂对于数字身份行业的思考。
《网络安全热点之无密码认证解读》
北京一砂解决方案总监 张盛毅
《零信任/IDaas助力企业监管合规》
阿里云高级产品专家 Michael
张盛毅先生先后分享了谷歌、微软、苹果引领的无密码认证的国际趋势,以及一砂在国内实践的经验与思考。
身份认证是数字世界中应用最广泛的一项安全服务,密码的本质就是解决身份认证问题,但随着移动互联的发展和安全形势的恶化,传统密码已不再能够保证“你是你”,暴力破解、木马盗取、网络监听、撞库拖库等问题逐渐凸显,所以从传统密码体系迁移到更高级的认证方式,行业普遍认为,无密码化是未来身份认证的发展方向。
2022年5月5日,苹果、谷歌和微软这三大科技巨头在一项联合计划中宣布,他们将致力于在未来一年,在其控制的所有移动、桌面和浏览器平台上打造无密码登录系统。
在国内,由蚂蚁、中国信通院、华为等创立的IIFAA联盟也在基于国产生态推广无密码。而作为IIFAA副理事长单位的一砂,已经和生态伙伴一起,推出了eOFA无密码解决方案。
从国内外实践来看,无密码认证的目标是消除“共享秘密”这一密码认证模式中的根本缺陷。Verizon 公司发布的2021数据泄露调查报告发现,去年 61% 的泄露事件涉及登录凭据,目前已经被盗或入侵的帐户超过110亿个。根本的缺陷在于密码是一种“共享秘密”。
传统的多因素身份验证 (MFA)方法仍然依赖密码作为初始安全检查措施,因此安全链中的弱点并没有被消除。任何依赖于可能被盗的多个因素的多因素身份验证(MFA)解决方案都不够安全,无法击败网络攻击者,而安全无密码认证则能够彻底消除认证中的共享秘密。
安全无密码认证利用经过验证的公/私密钥认证杜绝交换共享秘密,再进一步将私钥安全地存储在用户设备本身上,并使用用户生物特征作为使用私钥的唯一钥匙,从而在没有任何共享秘密的情况下自信地验证用户,降低安全数据泄漏风险,甚至连客户都不知道自己的私钥,也不会有遗忘、记录丢失的风险。
一砂已经为客户提供了覆盖移动、桌面和物联网的安全无密码认证解决方案:
移动应用:生物指纹+公私钥
桌面服务:生物人脸+双因子
物联网服务:云端人设备公私钥+权威方公私钥签发设备的可验证凭证
实现安全的双重价值:
网络安全方面,采用无密码认证有助于快速达到可信、安全、合规的要求,同时大大降低组织风险,快速弥补员工在网络安全防护方面缺乏经验的短板。
业务认证方面,生物识别等多因子认证方式让企业业务授权摆脱了密码维护和记忆的限制,可以更方便灵活的共享软硬件资源,改善业务过程中身份认证的效率和质量的同时,节省了软硬件资源,实现了绿色可持续的发展理念。
纵观全球发展趋势,全球主要国家和地区都开始重视数字身份对经济发展和网络安全的重要支持作用。因此,可信的数字身份服务,已成为企业治理的重要内容。
一砂深耕行业多年,与生态广泛合作,并一直致力于以身份安全为核心的技术研发和应用推广,打造可信、便捷、多场景的数字身份服务,为企业数字化业务赋能。一砂已成功为超500+客户提供优质的数字身份产品,涵盖金融、政企、互联网、物联网等多个领域,得到了行业的广泛认可。一砂期待,在本届服贸会上与更多客户及合作伙伴共同探讨数字身份的未来,共享国内外市场的全新发展机遇。
作为IIFAA(互联网身份认证联盟)理事会成员,未来一砂将继续坚定推动数字身份产业化、轻型化、智能化、绿色化,满足企业实现数字身份建设所带来的直接和长期效益,与合作伙伴持续共建身份安全生态。