自IT早期以来,用户名和密码一直是主要的身份验证方法.  技术已经发生了巨大的变化,用户名和密码的使用已经成为问题.  用户名很容易被猜出来,密码也会随着网络钓鱼的尝试而被获取.  为了使情况更加复杂,用户需要管理一系列用户名和密码.  通常,他们为多个站点使用相同的凭证. 因此,当在不太安全的网站上使用时,将他们的证书置于风险之中.

多因素身份验证(MFA)减轻了单一因素的风险, 用户名, 和密码验证要求.  身份验证因素指的是用户知道的东西, 例如密码或个人密码, 他们是, 如指纹或面部扫描, 或者他们有的东西, 比如智能卡或手机.  与密码, 生物识别和物理设备被认为是不可获取的,不容易受到网络钓鱼企图的影响.

虽然多因素身份验证可以显著提高安全性,但也有一些缺点.  双因素身份验证可能不方便.   用户需要使用低安全性的密码和第二个高安全性的密码.  密码对保护用户帐户的作用极小.  无密码身份验证是MFA的一种安全替代方案.  无密码身份验证消除了较弱的安全性操作, 的密码, 同时保留一个更强的身份验证方法.  

根据公司或行业最佳实践,每个组织都有不同的身份验证需求.  在许多情况下,登录需要多个因素.    尽管无密码身份验证去掉了密码, 身份验证仍然需要多个因素.  这包括用户所拥有的东西, 例如Windows 10或Windows 11客户端设备, 一个手机, 或者安全密钥和用户所知道的东西, 例如生物识别或个人密码.  无密码认证为终端用户提供了更高的安全性和便捷性.

Azure AD集成了三个无密码认证选项:Windows你好 for Business, 微软认证器应用程序, 和FIDO2安全密钥.  以下信息是每个选项的概述.

Windows你好 for Business

Windows你好 for Business利用了大多数笔记本电脑上可用的TPM芯片. 对于拥有专用计算机的用户来说,这是一个很好的选择.  公钥和私钥对保护登录过程.  证书与计算机绑定, 这意味着它是不可伪造的,不能用于从其他设备登录.  进行身份验证, 登录过程使用用户拥有的东西, 带有私有证书的笔记本电脑, 加上个人识别码或生物识别手势.

微软认证器应用程序

许多组织已经在MFA中使用微软认证者应用程序.  该应用程序还可以用于无密码认证.  微软认证者应用程序利用基于密钥的身份验证与绑定到移动设备的凭证.  用户被要求将登录屏幕上的一个数字与登录时应用程序中显示的多个数字进行匹配.  在那之后, 在登录完成之前,系统会提示用户输入第二个因素的生物特征或密码.

安全的关键

在有些环境中,Windows你好或微软认证者应用程序不是一个选项.  这可能包括法律要求或规范环境,组织不能要求员工在工作中使用个人设备.  Azure AD支持快速身份在线(FIDO2)安全密钥进行无密码身份验证.   安全密钥是一种不需要移动设备的无密码身份验证的廉价选择.  FIDO2密钥是一种小型USB设备,通常也支持NFC.  符合Azure AD的FIDO2安全密钥需要客户端PIN. 安全密钥和PIN相结合,为一个强大的,无密码的多因素登录体验.

Windows你好, 微软认证者, 和FIDO2安全密钥, 有无良好的无密码身份验证选项.  Azure AD支持这三种工具,管理员开销很小.  它们为用户提供了一种方便的安全登录方式,同时几乎消除了证书泄露或钓鱼的可能性.