我们已经开始远离长期以来的第一道和最后一道防线：密码。这是一个令人兴奋的时刻。从一开始，密码就使人们更加恼火。同时，密码已成为大多数攻击中事实上的第一步。但是我不禁要想，我们的行动会带来什么后果？

意料之外的后果

早在高架摄像机来到加拿大安大略省的收费高速公路时，不久就通过SQL注入将表格放到保险杠上。最近在加利福尼亚，研究员Joe Tartaro购买了标为NULL的车牌。有了保险杠贴纸，故事就过去了，每个共享道路的人将获得数小时的免费驾驶服务。但是使用NULL车牌吗？Tartaro最终在每张没有指定车牌的交通票上都陷入困境，损失了数千美元。

我建议一个组织最近完成了一项倡议，以减少端点上的代理数量。在许多人在延长端点的使用寿命和性能而又取消了与位置有关的安全控制的一年中，这种转变具有战略意义。

我与另一个最近将多因素身份验证器整合到一个平台上的CISO进行了交谈。标准化用户体验并降低成本始终是务实的举动。但是这些举措限制了未来的举措。在这两种情况下，安全团队更改身份验证者或增加代理的任何主动行动都被困在公园里，等待绿灯。

注意不要限制未来的动作

为了采取行动开辟可能性，安全团队会从两方面考虑：可用性和防御性。也就是说，这种变化将对劳动力产生短期和长期的影响吗？相反，这种变化将如何影响近期和长期的犯罪行为？

无论是减少通过单点登录（SSO）所需的密码数量，还是为了强大的身份验证因素（无密码）而完全消除密码，都必须优先考虑员工的工作经验。解决安全领导者提出的密码问题的首要原因是改善用户体验。这是一种罕见的安全控制，它使人们的生活更轻松，领导层希望充分利用这一优势。

规划可用性时，有两个注意事项。首先是确保该策略解决了常见的摩擦点。例如，使用无密码，该方法是否提供对人们使用的设备和应用程序的访问？他们今天做的事更方便快捷吗？第二个考虑因素是评估该策略允许安全团队接下来做什么。无密码或SSO的方法是否会由于锁定而阻止将来的计划？还是该更改使我们能够采取进一步措施来保护身份验证？

攻击者

我们可以确定的一件事是，无论我们采取什么步骤，犯罪分子都会采取步骤绕过我们。自第一次密码泄露以来的60年中，我们已经尽力使用机器和人工完成了所有工作。我们已经加密了密码。我们已经对它们进行了哈希处理。我们增加了**长度和算法强度。同时，我们要求用户创建更长的密码，更复杂的密码，唯一的密码。我们提供了安全意识培训。这些步骤都不是在真空中进行的。罪犯**了文件，创建了彩虹表，暴力**和伪造凭证。六十年的经验表明，我们取得的进步将受到高级攻击。

我们必须在增强可用性的同时增加对身份验证的信任，并且我们必须采取可开拓未来选择的步骤。安全团队可以通过将用户身份验证与设备身份验证配对来提高信任度。现在，对手必须同时破坏身份验证并获得对设备的访问权限。

为了减少设备损坏的可能性，请设置策略以防止未打补丁，不安全，受感染或受到破坏的设备进行身份验证。通过捕获遥测，对活动进行建模并将活动与用户的基准进行比较，甚至可以进一步降低这种可能性。现在，攻击者必须破坏身份验证，访问端点设备，避免端点检测并避免行为分析。

结论

技术充满了意想不到的后果。有些导致免费电话，而另一些导致意外费用。一些带来新的机会，另一些带来新的漏洞。如今，许多人正在通过减少或删除密码来改善用户体验。其后果将不会立即得知。我们必须确保我们的方法满足员工关注的用例，同时使我们能够应对长期目标和挑战。

此外，我们必须领先于对手和罪犯。通过设备信任和行为分析，我们必须增加对无密码身份验证的信任。我们无法预测会发生什么，但是安全团队今天可以采取这些步骤来更好地定位和保护我们的组织。