持續的網絡釣魚將Passkeys推到密碼

根據OhnerID的一份新報告，技術巨頭通過技術巨頭採用FIDO聯盟的Passkey，推動了用戶設備的支持。 '無密碼身份驗證報告2023``在深入的討論之後，對Passkeys的深入討論及其在由更好的身份聯盟，FIDO聯盟和身份盜竊資源中心主持的年度網絡安全政策論壇上發表。

自己的表示，客戶發現實施無密碼註冊和登錄名使經過身份驗證的用戶在網站上增加了20％。

該報告稱，在過去的一年中，也有重大轉變向採用生物識別技術進行無密碼身份驗證。

FIDO預測網絡釣魚

Fido Alliance執行董事和CMO Andrew Shikiar在網絡安全政策論壇上發表了主題演講。

他說，Fido在2022年的虛擬網絡安全政策論壇上預測了MFA旁路攻擊到主流中，這強調了有必要從基於知識的傳統身份驗證方法轉變為基於本地生物特徵的擁有因素的更現代認證。

在接下來的一年中，Shikiar認為MFA旁路攻擊將繼續，但這樣做將迫使組織朝著無法碰撞的身份驗證。

在章魚攻擊中，Cloudflare避免了“將FIDO安全鍵在Okta之上而不是TOTP：他們沒有受到攻擊的打擊”而違反。 ”同樣的攻擊激發了Twilio轉移到FIDO2而不是一次性密碼。

SMS OTP是下一個要出現的漏洞。 Shikiar說，身份驗證也進入了主流，並引用了Twitter的舉動並提起了在線年齡保護。

為了應對這些趨勢，FIDO聯盟計劃在2023年啟動面部驗證解決方案的LIVICE和生物識別匹配認證。

該組織還在努力通過無處不在的可用性和現有企業的採用來擴展其身份驗證。

Shikiar說：“我們如何部署FIDO有一些基本方面阻礙了這種採用。” “所以我們做出了決定Passkey這允許在UP上從OS上進一步可用性，同時又不會失去對安全性的關注。 ”

現在允許將私鑰牢固地通過雲牢固同步，這是什麼不同的。Passkeys還與操作系統更深入地集成在一起，從而可以跳過某些WebAuthn集成中發現的“古怪”設備和瀏覽器提示。

根據Shikiar的說法，Passkeys非常互補，並將在2023年進一步發展成為消費者主流。

他們可以一起幫助身份驗證，以作為數字鴻溝上的橋樑，取代由許多密碼創建的楔形。

Fido預測，今年有意義的進展將在減少政府服務密碼方面取得。

Shikiar引用了Fido的認可和在美國和其他地方的各種出版物和公告中的強大認證。

立即在Shikiar的演講之後，就“ Passkeys和“無密碼身份驗證的未來”的未來進行了討論。

該小組由NIST，Microsoft，Amazon和Google的代表組成，並由Fido Alliance的Megan Shamas主持。

Christiaan Brand的Google產品經理說，Passkeys將於今年開始進入Google產品。該公司的內部研究表明，有46％的消費者將跌落經過精心製作的網絡釣魚嘗試，並緊迫地鼓勵在公眾中收養。

密碼管理人員和其他第三方的作用是Microsoft Identity標準架構師Tim Cappalli所說的“可插入的Passkey提供商”。他們將與OS作為本機插件進行交互，該插件提供了功能之類的其他方面。

Brand指出，儘管消費者對蘋果和Android Wander Passkeys等平台的引入如何介紹，但第三方的引入會引入複雜性，並且可能以不同的方式處理安全性。聯盟內正在討論最低條。

企業系統等不同環境也呈現出自己的複雜性。

設備之間的同步引入了NIST的注意事項數字身份指南SP 800-63-4，目前在草稿階段，NIST計算機安全部負責硬件鋼鋼安全部的負責人安德魯·雷格斯切德（Andrew Regenscheid）說。有信號表明給定的憑據已與新設備同步，這是一件好事。

在演講期間，敦促組織來研究除二元決定之外的收養，以便為每個人或根本沒有任何地方部署Passkeys。

對於更複雜的用例，例如涉及多種設備的用例，關於何時以及如何提供通用的用例，即在2023年到來。

有了這一清晰度，並且用戶採用大概從沒有Passkey的用戶設備數量中剔除了大量叮咬，隨著時間的推移，將回答剩下的一些問題，或者使他們無誤。

看來，那將是當用戶需要提防的東西變成了較少安全時代的遺產的時候。