惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

F
Fortinet All Blogs
云风的 BLOG
云风的 BLOG
M
MIT News - Artificial intelligence
WordPress大学
WordPress大学
T
Tailwind CSS Blog
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
S
Secure Thoughts
博客园 - 【当耐特】
Know Your Adversary
Know Your Adversary
NISL@THU
NISL@THU
博客园 - 司徒正美
Last Week in AI
Last Week in AI
C
Cybersecurity and Infrastructure Security Agency CISA
P
Privacy & Cybersecurity Law Blog
C
CXSECURITY Database RSS Feed - CXSecurity.com
B
Blog
The GitHub Blog
The GitHub Blog
小众软件
小众软件
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
Spread Privacy
Spread Privacy
Martin Fowler
Martin Fowler
博客园 - 叶小钗
Security Archives - TechRepublic
Security Archives - TechRepublic
T
Tenable Blog
S
Securelist
博客园 - 三生石上(FineUI控件)
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Microsoft Security Blog
Microsoft Security Blog
Apple Machine Learning Research
Apple Machine Learning Research
罗磊的独立博客
T
Threat Research - Cisco Blogs
Application and Cybersecurity Blog
Application and Cybersecurity Blog
F
Full Disclosure
Cloudbric
Cloudbric
The Cloudflare Blog
Y
Y Combinator Blog
Hugging Face - Blog
Hugging Face - Blog
Microsoft Azure Blog
Microsoft Azure Blog
H
Hacker News: Front Page
腾讯CDC
L
Lohrmann on Cybersecurity
C
CERT Recently Published Vulnerability Notes
V2EX - 技术
V2EX - 技术
GbyAI
GbyAI
TaoSecurity Blog
TaoSecurity Blog
I
Intezer
The Last Watchdog
The Last Watchdog
G
GRAHAM CLULEY
Google Online Security Blog
Google Online Security Blog
T
The Blog of Author Tim Ferriss

人人都是产品经理

为什么你的产品找不到差异化?90%的失败都卡在第一步上(下) – 人人都是产品经理, 3年从30万到1300万用户、获2200万美元融资,这个AI教育产品用“抽卡”破解了获客难题 – 人人都是产品经理, 园区招商系统怎么做才能真正帮到去化?我加了这一个功能,推广链接转发400次阅读过万 – 人人都是产品经理, AI大事件:OpenAI发完网络安全模型又搞药物研发,小鹏汽车要抓”DeepSeek时刻” – 人人都是产品经理, 电商不是卖货,是一场更残酷的产品经理实战 – 人人都是产品经理, 没想到,活动营销又回来了! – 人人都是产品经理, 为何All-in海外KOC:一场关于AI时代窗口期的豪赌 – 人人都是产品经理, 重新理解企业的内部协作 – 人人都是产品经理, 苹果的 AI 战略到底是什么? – 人人都是产品经理, 医疗智能体·第2讲——合规护城河:等保、PIPL与HIPAA的架构实战 – 人人都是产品经理, 向量知识库五步法:从“答非所问”到“精准回复” – 人人都是产品经理, 鸿蒙PC三方库构建总指挥HPKBUILD(sha)库为例 – 人人都是产品经理, 何时该用LLM?AI产品经理的LLM设计指南 – 人人都是产品经理, 医疗信息领域的需求方、决策方、准入方以及关注点(二) – 人人都是产品经理, 即梦涨价:一场被误读的「傲慢」 – 人人都是产品经理, 面试AI PM必答题:Hermes和OpenClaw的区别,如何讲清楚业务价值 – 人人都是产品经理, AI的下一张船票:世界模型——AI产品经理必须理解的技术拐点 – 人人都是产品经理, 小红书做GEO,怎么让AI信你?记住这 3 个重要信息 – 人人都是产品经理, 5 家印度 AI 初创公司,看看印度 AI 再做什么 – 人人都是产品经理, AI项目跨团队协作:产品技术业务如何不打架 – 人人都是产品经理, Agentic Workflow(智能体工作流):让AI从”答案生成器”变成”数字员工” – 人人都是产品经理, lycium_plusplus 项目全景解读:OpenHarmony 三方库构建的“大管家” – 人人都是产品经理, 从爆单救火到前置履约:两套预采策略,把生鲜大促履约效率拉满 – 人人都是产品经理, 什么时候该补货?我用一轮数据做了一个决定 – 人人都是产品经理, 从“机械兜底”到“动态分流”:AI客服重复进线治理的4大底层逻辑 – 人人都是产品经理, 抖音拼效率,红书拼洞察 – 人人都是产品经理, 全民狂欢与退潮——为什么龙虾这波热潮冷却得如此之快? – 人人都是产品经理, Stripe押注!MPP重塑全球支付 – 人人都是产品经理, 小红书GEO:AI引用你的内容,不是因为你对,而是因为你看起来可信 – 人人都是产品经理, 前百度副总裁押注办公Agent,日韩付费爆发,Manus迎来强劲对手 – 人人都是产品经理, 企事业单位数字化的业务供需本质 – 人人都是产品经理, 医疗智能体·第1讲——医疗信息化重构:从“辅助软件”到“自主智能体”的范式转移 – 人人都是产品经理, 粉丝量就是空气!!! – 人人都是产品经理, 用户说“薯片碎了”,机器回“要买吗?”:意图识别的翻车与破局 – 人人都是产品经理, RAG召回准确率从75到90 我做对了这三件事 – 人人都是产品经理, AI大事件:Anthropic改收费、OpenAI发安全版、手术机器人纳入医保、阿里发布”秒悟” – 人人都是产品经理, Chrome 推出 Skills 新功能,Agent 重塑上网方式 – 人人都是产品经理, GitHub前创始人拿了a16z的1700万美元,做Agent时代的Git – 人人都是产品经理 拷贝或克隆其他 Flutter OH 项目到本地后无法运行 – 人人都是产品经理, 优惠券设计:优惠券创建 – 人人都是产品经理, 不用死磕文档!AI 助手 1 小时搞定飞书 CLI 安装 + 配置 + 知识库 – 人人都是产品经理, 用小龙虾做竞品分析报告:从2天到20分钟,我是怎么做到的 – 人人都是产品经理 用小龙虾做市场分析报告:搞懂这3个公式,市场规模不再靠猜 – 人人都是产品经理, 你早就在做 Harness 工程,只是不知道它叫这个名字 – 人人都是产品经理, Think Long就够?你可能想多了! – 人人都是产品经理, 货代SRM实战:供应商准入怎么做,才能让资源池不是通讯录而是可交付网络? – 人人都是产品经理, 如何做好用户调研?详解基本技巧 – 人人都是产品经理, 木鸟、途家、美团对打,平台春天行动开“卷” – 人人都是产品经理, 入职才发现公司不靠谱?小红书从业者求职避坑指南 – 人人都是产品经理, 美国 AI 三巨头联手封堵,中国 AI 突围之路在何方 – 人人都是产品经理, 小红书,放在需求对面的镜子 – 人人都是产品经理, AI 会带来大规模失业吗? – 人人都是产品经理, 从出单到补货前,我第一次犹豫:该不该放大? – 人人都是产品经理, Flutter 三方库鸿蒙化适配:5 种高效检查方式,快速判断是否需要适配 – 人人都是产品经理, 从做产品进阶拿结果:医美机构产品经理转岗科室运营经理 – 人人都是产品经理, 阿里HappyHorse,一场关于“Token经济”的阳谋 – 人人都是产品经理, To B AI:客户留存落地的观察与思考 – 人人都是产品经理, AI产品的“生命线”——数据采集、标注、清洗的产品化设计 – 人人都是产品经理, 谈谈AI Agent(二):当“孩子”能自己“体验世界”时,你该学什么? – 人人都是产品经理, UI/UX设计师的3层能力进阶,前两层让你活下来,第三层…才是真正的分水岭 – 人人都是产品经理, 2分钟 → 30秒,效率提升75%:B端产品经理如何用「规则枷锁」驯服AI幻觉? – 人人都是产品经理, 还没来得及学OpenClaw,来了个更猛的:Hermes Agent – 人人都是产品经理, AI日报:宇树机器人跑出10m/s刷新世界纪录 – 人人都是产品经理, 一文说透基金互金如何用情绪价值引导用户决策做转化 – 人人都是产品经理, 当浏览器开始替你”看”网页:AI 浏览器正在亲手拆掉它脚下的那张网 – 人人都是产品经理, 0代码,一天时间我Vibe Coding了个网站 – 人人都是产品经理, Hermes 和 OpenClaw 之争,Agent 的能力应该“装上去”还是“长出来”? – 人人都是产品经理 视频生成的“桌子”,字节Seedance 2掀完,阿里快乐马掀 – 人人都是产品经理, 从听不懂到完全信任:我的 Codex 深度产品体验 – 人人都是产品经理, 当虚拟偶像有了北京户口,与真人偶像还有什么区别? – 人人都是产品经理, 会说,远远比会做更重要 —— 对 SBTI 爆火现象的五层观察 – 人人都是产品经理, AI产品经理必看:当“搭环境”比“选模型”更重要,你的认知还在2024年吗? – 人人都是产品经理, 2026年AI产品商业化核心逻辑:从功能demo到规模化营收的3个必破卡点 – 人人都是产品经理, 京东围绕供应链,卷起裤腿下场的那些事儿 – 人人都是产品经理, SBTI一夜刷屏:它赢在了“太会说人话” – 人人都是产品经理, 折扣零售的真相:不是便宜,而是价值感! – 人人都是产品经理, 和甲方吵了一架,最后加钱做了——我学到的ToB产品经理生存法则 – 人人都是产品经理, 和几位小红书操盘手聊了8小时,干货全在这 – 人人都是产品经理, 智谱GLM-5.1登场,开源模型首超Opus4.6!!! – 人人都是产品经理 Anthropic收入凭什么反超OpenAI,终于有人把这事说清楚了 – 人人都是产品经理, 史上最有故事感的技术报告——Claude最强模型Mythos 7个极其精彩的细节 – 人人都是产品经理, 模型不是壁垒,Harness 也不是 – 人人都是产品经理, 抖音本地生活业务思考21 – 人人都是产品经理, Superpowers:145k Star的AI编码框架,到底是什么来头? Superpowers:145k Star的AI编码框架,到底是什么来头? – 人人都是产品经理, OpenAI 的路走错了,Anthropic Harness 解法启示:模型需要实践专科生 – 人人都是产品经理, 画原型图的前一步:设计站点地图 – 人人都是产品经理, 给 DeepSeek 的最后一封催更信 – 人人都是产品经理, 手把手教你用 Claude Code 搭建 AI 营销团队:5 个 Agent、12 项技能,独立完成研究、写作、设计全流程 – 人人都是产品经理, 你以为大模型在学语言?不,它在重新发明语言学 – 人人都是产品经理 所谓Skill,不过是AI时代的工业垃圾 – 人人都是产品经理, 聊一聊内容传播的几个方法 – 人人都是产品经理, 当平台开始吃掉生态:从 OpenClaw 被封杀,读懂 Anthropic 的这盘棋 – 人人都是产品经理, 你装了 10 个 AI 插件,Obsidian 还是一个文件夹 – 人人都是产品经理 关于AI智能体架构演进的系统性思考:从单体试水到多体协同的重构 – 人人都是产品经理, 当“人”变成Skill,我们又该何去何从? – 人人都是产品经理 Mythos 事件:前沿 AI 治理的意外实验 – 人人都是产品经理, 货代CRM:信用与风险管理怎么做,才能把坏账风险拦在放货之前? – 人人都是产品经理, 从HR收集自拍照到员工自助录入——我见证了园区人脸识别从”不可用”到”真好用”的全过程 – 人人都是产品经理 千问闯关AI混沌期:阿里画靶,吴嘉张弓,马云射箭? – 人人都是产品经理,
为什么说无密码技术是身份认证的未来?
科技云报到 · 2023-05-17 · via 人人都是产品经理

如果有一天访问各种应用时,无需再输入复杂密码,就能实现各个平台的登录和切换,那对于经常忘记密码的用户来说,是非常省心了。无密码技术作为一种新兴的安全技术和身份认证手段,已经成为许多企业和安全厂商研究和推广的重点。那么,哪些身份验证的技术属于无密码技术呢?目前企业采用无密码技术又有哪些难点?一起来看一下吧。

你能想象有一天访问各种应用时,无需再输入复杂密码就能实现各个平台的登录和切换吗?对于经常忘记密码的用户来说,无密码验证可以说是十分省心了。

其实当下无密码技术已经被广泛应用了,包括微软、苹果和Google在内的领先科技厂商都在积极开发一种更先进的无密码登录技术和标准,以实现更高的安全性和保护性。

5月3日,谷歌正式推出Passkey功能,用户可以用所持有的手机、电脑、平板等设备上已有的密码(PIN码、指纹、面部等),来代替谷歌账号的密码。用户需要登录谷歌账号时,只需解锁设备、无需再输入密码或进行二次验证。

此前微软也推出了类似的服务Authenticator,同样可以实现生态内的“无密码登录”,成为替代传统密码验证技术的一个重要标志。

目前,企业面临的最大安全风险之一,就是将不安全的密码技术作为身份验证的主要方法。据2022年《Verizon数据泄露事件报告》数据显示,超过80%的数据泄露是由于被窃取或破解的账户密码所引发,但很多用户并没有意识到潜在的危险。

因此,不管从合规角度,还是业务安全出发,无密码技术作为一种新兴的安全技术和身份认证手段,已成为许多企业和安全厂商研究和推广的重点。

那么,到底哪些身份验证的技术属于无密码技术?目前企业采用无密码技术又有哪些难点呢?

一、常见的无密码技术

一些无密码验证方式其实在生活中已经有所普及,典型的例子就是面部识别、指纹识别、短信验证等。

无密码身份验证模型的思路很简单。用户无需输入由用户名或电子邮件地址以及密码组成的凭据,而是使用另一种方法来验证身份信息,常见的无密码身份验证包括:

1. 生物识别

生物识别登录已经在智能手机和其他设备中使用,由唯一的生物识别符(例如指纹)组成。然而,在生物特征技术改进之前,除非与其他选项结合,否则这可能不是最安全的选择。

2. 电子邮件

输入电子邮件地址后,就会向该用户发送一封包含验证链接的电子邮件。单击链接完成身份验证并允许访问。

3. 令牌或一次性代码

用户会收到令牌或代码,然后输入网站或应用程序,而不是链接。该代码将附加到会话期间执行的所有操作中,并在用户实时交互时解密,然后在会话终止时销毁该代码。

同传统的密码口令相比较,无密码验证方式在安全性和便捷性上,都要远高于传统复杂密码口令。

从安全层面上说,用户无需在线存储密码,即便黑客入侵用户计算机,也无法轻易进入用户账户。甚至在日常办公场景下,上锁的设备在脱离视线范围之后,用户也无需为信息泄露而担忧。

在工作场景中,不同平台的使用和切换在无密码技术的加持之下,也会大大提高效率。

有调查数据显示,全球员工平均每年花费11个小时输入或重置密码。对于员工数成千上万的大企业,这直接导致生产力损失超多百万美元。

因此,无密码技术作为一种新兴的安全技术和身份认证手段,不仅能大大加强安全问题,也能很大程度上提高用户体验。

二、无密码验证的问题

实现跨设备、多操作系统、跨浏览器以及生物特征认证方式的支持,无密码验证看似科技满满,从安全性和体验的角度来看,无密码验证还是存在一些限制。

首先,从当下最为普及的指纹和人脸识别技术来看,TouchID和FaceID多年来一直被成功入侵,况且人脸、指纹数据作为独一无二的身份信息,其外泄带来的风险远大于普通账户密码泄露带来的风险。

其次,部分无密码技术将授权存储在云中,基于这种方式下,用户即便更换手机也依旧可以无障碍的登录所有账户。但这种做法的风险是,当云平台被黑客入侵,那么他们将获得授权,用户所有的账户信息容易遭到泄露。

同时,对于企业来说,启用无密码验证,就意味着需要向一些提供技术的厂商打开大门,交出用户私密信息。并且,由于无密码验证是依赖于第三方提供商,如果其中第三方一台服务器出现故障,则在问题解决之前用户可能无法访问帐户。

除此之外,想要在更多企业组织中推广应用无密码技术并不容易。研究人员发现,阻碍无密码登录技术应用的关键因素,并不是技术本身的缺陷或限制,而是由于很多企业中身份和验证管控的现状。

在很多企业中,身份管理和身份验证仍然是相对独立的,而很多广泛使用的应用程序在设计开发时,并没有合理考虑如何支持通行密钥等无密码登录验证新模式。

身份证明(即确定谁是谁)通常是指一个流程,而身份验证则属于访问网络、应用程序或数据资源时,验证访问者身份的合法性与真实性。当仅仅面对公司员工,这一切没问题,但面对需要访问网络资源外部承包商、供应商或机器用户,这个过程就变得比较复杂。

因此,只有消除身份管理和身份验证之间的隔断,无密码技术才有希望真正在更多企业中落地应用。

此外,无密码技术要真正取代传统的密码验证方法,还必须能够广泛适配企业复杂的数字化环境,包括能够兼容各种网站应用、智能手机和桌面应用程序,同时还要支持数量众多的操作系统版本和环境。

这对服务提供商是一个棘手问题,因为这意味着必须在所有这些环境中安全、稳定、便捷地共享使用密钥,要实现这种互操作性并不容易。

同时,面向企业级用户和面向消费者的无密码解决方案,在设计和实施上也会存在巨大差异。

消费级产品主要需求是管理数百万个通行密钥,需要弹性扩展能力以支持这种巨大的工作负载。而企业组织更希望让所有员工能够更安全地在各种设备、浏览器和网站之间实现互操作性,因此需要将密钥与使用者的身份进行强验证和绑定。

三、新的无密码解决方案

企业通常会在平衡安全性和易用性之间做出权衡,那么是否有一种新的无密码解决方案,可以在增强用户体验的同时确保安全性呢?

目前,分布式数字身份这一概念已经被提出,它也被称为去中心化身份(Decentralized Identity),简称DID。它是将身份注册数据和身份验证相结合,使它们密不可分。

DID分布式数字身份由用户控制,而不是只是向用户质询身份验证因子(密码、PIN或生物特征)。该验证因子与存储在Active Directory或谷歌等身份提供商拥有的中央数据库中所存储的登录信息进行核对。

这种身份和传统的帐号相比的最大好处是可以证明某个东西的发出者。

传统身份容易被盗用,容易根据系统漏洞被仿冒,甚至dba都可以篡改数据库。而DID只要守住自己的私钥,没有对内容签名,全网都可以轻松验假。

因此,相对于传统的的基于PKI的身份体系,基于区块链的DID数字身份系统具有保证数据真实可信、保护用户隐私安全、可移植性强等特征。

举个例子,当用户需要注册或登录网站时,无需输入用户名、电子邮箱、密码之类的口令,只需使用手机中存储的用户DID信息完成与网站DID的双向验证。虽然登陆形式看起来没有发生任何变化,但与传统扫码认证方式不同的是,DID中的身份信息由用户自己掌控。

用户首先通过二维码获得网站DID并进行验证获得公钥,再使用公钥加密请求数据,发送自己的身份信息交由服务器验证,若验证通过,则登陆成功。

通过整个流程可以看出,服务器并不知道用户的口令,而且也无法获得除用户DID文档以外的任何信息,从而有效防止数据泄露,保护用户身份隐私。

再比如,身份认证可以说是DID最基本的应用了,对于有身份识别(KYC)需求的场景,通过提前将多个机构颁发的VC与用户绑定,且锚定到区块链上,凭借密码算法,可进行分布式验证,用户只需获取一次VC,便可随时出示使用。

例如员工入职背景调查,材料在流转过程中极易遭受篡改,且验证手段较为匮乏,若使用DID解决方案,员工可以在链上使用自己的DID标识向学校申请学历(学位)凭证,向前公司申请工作(离职)凭证,现公司只需通过验证接口对上述凭证真实性进行核验,即可快速完成员工的入职背调。

目前,伴随着区块链等可信技术的发展,各大公司、机构已纷纷入局,对分布式数字身份(DID)的实现展开了更深入的研究探索。

四、结语

毫无疑问,无密码技术应用的时代已到来。但是要构建企业级通行密钥解决方案还需要研究人员继续努力。希望2024年的世界密码日,我们能够迎来传统密码验证技术的真正消亡。

本文由@科技云报到 原创发布于人人都是产品经理。未经许可,禁止转载。

题图来自 Unsplash,基于 CC0 协议

该文观点仅代表作者本人,人人都是产品经理平台仅提供信息存储空间服务。提供信息存储空间服务。