儘管Fido Alliance有十年的身份標準和W3C使這些能力民主化,但無密碼的安全性仍然是工作場所用戶身份驗證的一種相對較新的方法。在第三年無密碼安全報告出版HYPR有幾個關鍵發現可以發現組織中普遍存在的不安全身份驗證實踐。
儘管無密碼的採用率正在上升,但網絡釣魚攻擊也是如此。例如,使用無密碼身份驗證的組織中有97%(n = 271)使用了可裂方法,而28%的組織(n = 1000)經歷了推送通知網絡釣魚攻擊,這在上幾年的報告中的數字增加了一倍以上。
也許更糟糕的是,組織平均每天使用四種不同的身份驗證系統,大多數人依靠密碼,密碼管理器和可溶作媒體的多因素身份驗證(MFA)方法。幾乎所有組織 - 97%的人只允許至少一部分員工使用用戶名和密碼訪問其計算機。然而,其中87%的IT和安全負責人認為其組織的現有方法是完全或大部分安全的。
如報告所述,這個難題似乎源於以下事實:65%的被調查人員無法識別出抗網絡釣魚與抗網絡釣魚的MFA之間的差異。抗網絡釣魚的多因素身份驗證是基於公開密碼學的,並使用安全的,設備的因素來驗證身份。它沒有使用任何類型的憑據,這些憑據可以被攻擊者(包括密碼,一次性密碼)(OTP),SMS消息,推送通知,電話和基於知識的安全性問題(包括密碼),一次性密碼(OTP),攻擊者截獲或攔截。
從調查結果和發現可以清楚地看出,圍繞抗網絡釣魚的MFA需要更多的教育,但僅此而已就無法解決從操作系統和設備製造商開始的工作場所中的主要問題。該報告總結了有關Passkeys,用加密密鑰對替換密碼和由設備身份驗證宣布蘋果,谷歌和微軟但是,對於近期的Passkey,仍然缺乏在工作場所部署的關鍵管理,配置,政策和管理能力。
