The Last 24 Hours | 安全无小事

从密码到无密码:在无密码时代保持 ISO 27001 合规

2026/2/16 安全研究 Bleeping Computer

Password management

有一天早上,你发现业务已经发展到无法再继续使用那辆老旧的柴油小车,于是安排试驾全新的电动车。企业从基于密码的安全转向 passkey 技术,也会有类似的变革感受。下面我们深入探讨细节。

密码多年来一直是数字身份验证的核心,就像那辆每天还能启动的老柴油车,但发动机已经在喘息,车门锁不牢,熟悉技巧的人仍能轻易打开。

研究显示,49% 的安全事件涉及被泄露的密码(Verizon 2023 数据泄露调查报告),而 84% 的用户承认在多个账户之间重复使用同一密码,这会导致连锁漏洞。这些并非小问题,而是仪表盘上的警示灯,提示系统面临系统性风险。

无密码认证,尤其是通过 passkey,实现了像高科技子弹列车般的升级:更快、更流畅、几乎不可能被劫持。

对于 ISO/IEC 27001 体系的组织而言,从密码切换到 passkey 更像是对整个航空机队进行改造,以满足更严格的安全标准,需要确保新方案与既有控制、风险处理计划以及文档义务保持一致。

本文将探讨组织在保持 ISO/IEC 27001 合规的前提下,如何平稳迁移到 passkey,包括技术基础和实用指导。

无密码认证的工作原理:技术基础

无密码认证消除了记忆密码的认知负担,依赖加密密钥、生物特征或持有因素(你拥有的或你本身的特性)。

Passkey 是该方法最成熟的实现,基于 FIDO2 和 WebAuthn 标准,类似最新的 GPS 导航,安全可靠地指引你到达目的地。

创建 passkey 时,设备生成一对加密密钥:私钥保存在设备本地,公钥注册到服务端。认证时,服务端发送挑战,设备用私钥签名,服务端验证签名。由于私钥从不离开设备,攻击者无从拦截或钓取。

NIST 的数字身份指南(SP 800‑63B)按认证保证等级(AAL)对认证方式进行分类,passkey 通常满足 AAL2 或 AAL3,显著提升安全性。

现代 passkey 有两种形态:设备绑定型(存储在硬件安全钥)和可同步型(通过加密云服务在多设备间备份)。NIST 2024 年的更新专门讨论了可同步认证器,指出失去唯一认证方式的用户面临恢复困难。

采用数据非常有说服力。FIDO 联盟报告称,超过 150 亿在线账户已支持 passkey,是 2023 年的两倍。Amazon 已创建 1.75 亿个 passkey,Google 报告称有 8 亿账户启用了 passkey。变革已在进行。

ISO/IEC 27001 合规要求

ISO/IEC 27001 如同信息安全风险的详细路线图,确保不走错路。2022 年的修订将附录 A 控制重新组织为组织、人员、物理和技术四大主题。

认证主要涉及以下三项控制:

  • 附录 A 5.15(访问控制):定义信息和系统的访问规则和权限,需制定用户认证、授权、访问供给和撤销的政策。
  • 附录 A 5.17(认证信息):要求全组织范围内的凭证分配和管理程序,包括记录认证方式和保护认证数据。
  • 附录 A 8.5(安全认证):规定技术实现要求,包括特权访问的多因素认证。

已通过 ISO/IEC 27001 认证的组织在采用 passkey 时,需要证明新认证方式满足或超出现有控制目标,风险已被适当评估,且实施过程有完整文档记录。

将无密码采纳映射到 ISO/IEC 27001 控制

迁移到 passkey 涉及多个 ISO/IEC 27001 控制,以下是对齐方式:

A 5.15(访问控制)

  • 按风险等级定义 passkey 范围:特权账户使用设备绑定型(AAL3),普通用户使用可同步型(AAL2)。
  • 记录设备丢失情形的备选流程。
  • 制定在迁移期间用户何时、如何在无 passkey 情况下进行认证的明确政策。

A 5.17(认证信息)

  • 记录完整的注册流程,包括发起人和身份验证步骤。
  • 定义存储公钥数据库的加密要求。
  • 规定重新注册触发条件:设备泄露、安全事件、设备丢失或角色变更。
  • 建立对认证数据管理的访问控制。

A 8.5(安全认证)

  • 通过文档说明 passkey 提供的两因素:设备持有加上生物特征或 PIN,满足 MFA 要求。
  • 解释加密绑定到特定域名如何防止钓鱼站点使用。
  • 详细阐述 WebAuthn 协议和 FIDO2 标准的技术实现。

风险评估与处理

  • 记录已消除的风险:通过钓鱼窃取凭证、密码复用、暴力破解、凭证填充。
  • 说明新出现的风险:设备丢失或被盗、可同步型的供应商锁定、恢复复杂性、降级攻击导致回退到密码。
  • 建立监控程序,检测并响应新攻击向量。

组织应优先为特权账户采用设备绑定型(AAL3)passkey,普通用户采用可同步型(AAL2),并记录备选流程、加密标准和重新注册触发条件,以满足审计要求。

Passkey 的收益

实际实施数据表明,Google 报告使用 passkey 的账户完全消除了基于密码的攻击,认证成功率提升,用户体验显著改善。Microsoft 也提供了企业级的 passkey 支持,具备详细审计日志和安全共享功能,帮助 ISO/IEC 27001 合规组织降低运营成本。

密码管理持续产生运营成本,包括支持请求、密码轮换和安全培训。采用 passkey 可显著降低这些开销。

Passkey 与多项合规框架天然契合,能够在 ISO/IEC 27001、GDPR 等要求下提供集中化凭证管理、审计追踪和安全共享。

挑战与误区

Passkey 虽然提升了安全性,但在实现过程中仍需注意以下限制:

Passkey 并非完全防钓鱼

虽然 passkey 能抵御传统凭证钓鱼,但仍可能遭受降级攻击或利用其他渠道的钓鱼手段。此类攻击不会泄露私钥,但可能迫使用户回退到密码。

组织应采取以下措施:

  • 实施异常登录监控。
  • 结合行为分析检测可疑活动。
  • 强化用户教育,防止降级攻击成功。

账户恢复的复杂性

如果用户失去设备,需要提供多种恢复方式,如硬件安全钥、电子邮件验证、恢复代码或注册时生成的恢复码。每种方案都有安全影响,需在 ISO/IEC 27001 文档中详细说明。

混合认证环境

大多数组织不可能一夜实现全无密码。在迁移期间会出现密码与 passkey 并存的环境,导致安全姿态不一致、策略执行困难、审计追踪复杂以及用户困惑。

  • 敏感系统使用 passkey,而遗留应用仍接受弱密码,形成安全漏洞。
  • 不同认证方式需要不同的安全策略,难以保持统一的访问控制。
  • 安全团队需跨系统关联认证事件,增加调查和合规报告的难度。
  • 员工容易混淆哪些账户使用 passkey,导致支持请求增多。

企业实施考虑因素

企业级密码管理平台应具备:

  • 基于 WebAuthn 的认证,支持指纹、Face ID、PIN 以及硬件安全钥。
  • 灵活的认证策略,允许在迁移期间对特定用户组强制无密码认证,同时保留密码认证作为临时方案。
  • 电子邮件验证机制,确保恢复流程发送给合法收件人。
  • 审计追踪与监控,记录认证事件、passkey 注册及修改情况。

这些功能支持渐进式迁移,同时保持 ISO/IEC 27001 合规。

实施最佳实践

  • 按风险优先——先为管理员、生产环境开发者和处理敏感数据的用户部署 passkey,并记录风险依据。
  • 深度防御——将 passkey 作为整体安全体系的一层,结合会话管理、认证模式监控和设备加密等措施。
  • 规划迁移——制定明确的时间表和里程碑,追踪仍使用传统认证的用户,确保迁移是临时且有结束日期的状态。
  • 主动处理账户恢复——在注册时要求多种恢复选项,定期演练恢复流程,监控异常恢复行为。
  • 完整文档化——维护技术架构、政策更新、风险评估、操作流程和培训材料的记录,以满足 ISO/IEC 27001 对文档信息的要求。

试驾结束:该签署文件了吗?

传统的基于密码的认证仍能把你从 A 点带到 B 点,但它是否已准备好迎接明天的旅程?Passkey 并不能消除所有认证风险,但构建可适应的认证框架将帮助组织在引入新技术时保持严格的安全治理。

Passkey 代表了认证安全的根本转变,能够在安全性、用户体验和运营效率上带来可量化的提升。对于遵循 ISO/IEC 27001 的组织而言,成功的关键在于基于风险的优先级、全面的文档记录以及对迁移期间的细致管理。

准备提升你的认证安全吗?Passwork 作为企业级密码管理器,提供对 passkey 的全面支持、集中化凭证管理、详细审计日志和安全共享功能,帮助组织实现 ISO/IEC 27001 合规。

免费迁移帮助、实施支持,当前订阅期间无需付费,随后可享受 20% 折扣。

免费试用 Passwork 一个月,体验高效的密码管理如何改变团队的安全习惯。

赞助并由 Passwork 撰写。