身份驗證:我們為什麼要這樣做?關於身份驗證的對話通常以技術,設備,方法和用戶體驗為中心。生物識別技術對於Passkeys?移動的可驗證憑證?被動或主動LIVISINE檢測?現實情況是,至少幾代人,大多數人將繼續使用安全和身份驗證工具- 包括密碼 - 作為加密技術,數字證書和生物特徵驗證驗證繼續成熟。
這一點,參與者在最近的一個菲多面板是為什麼首先需要身份驗證的原因。 “歸根結底,應該將重點放在首位,我們如何擺脫網絡釣魚?如何擺脫遠程攻擊場景?” Fido Alliance董事會成員Matthew Miller說,活動贊助商無密碼的技術負責人思科二重奏。
Passkeys提供了抵抗網絡釣魚的抵抗力,但身份驗證是一個不斷發展的問題,其範圍隨著新的身份盜用和欺詐技術而出現。真正安全的端到端用戶身份驗證工作流程需求抗網絡釣魚在身份驗證的點,以及在入學率和經過身份驗證的會議期間進行保護。
思科二重奏首席產品經理克里斯·安德森(Chris Anderson)說:“就像一個人一樣,一件事本身就不會帶來明天的烏托邦不可能的世界。” “這是不同服務的分層方法。”
爭論不一定是使用哪些工具,而是威脅的性質和規模。在有關當前身份驗證狀態的簡報中,安德森分享了最新的思科這樣的事件回應數據表明,2023 - 24年80%的違規行為將身份作為關鍵組成部分。
“這為什麼會發生?”他問。 “為什麼這會繼續逐年發生?為什麼我們繼續看到身份作為違規的核心向量? ”
思科確定了找到答案的三個關鍵領域:沒有集中見解的不透明身份基礎設施,保護差距多因素身份驗證(MFA)方法和高摩擦導致沮喪的用戶。
鑑於工作的變化性質,越來越多的員工遠程工作,保護差距的多樣性是多種多樣的。笨拙的身份驗證體驗意味著,通常要求用戶每天多次登錄不同的應用程序和帳戶。安德森說:“在發生這種情況時,用戶會感到非常沮喪,最終他們會抵制採用這些身份驗證方法。”
為了改善情況,組織需要在登機中管理認證方案,會話令牌以記住登錄以及用戶名和用戶名的現實密碼身份驗證在整個安全環境中仍被廣泛使用,留下了欺詐的漏洞。
“Passkeys米勒說:“對用戶進行了簡化和簡化實際認證儀式本身的簡化和簡化實際參與的實際身份驗證儀式。” Miller說。它不一定減少他們必須進行身份驗證的次數,但確實使其更簡單,更少的稅收。 ”
“他們還具有減少攻擊者可以使用的數據庫洩漏的信息量的連鎖益處。它縮小了帳戶折衷的爆炸半徑。”
會話令牌Miller說,這是釀造身份驗證的下一個創新需求,米勒(Miller)說,尤其是在綁定會話代幣與設備的綁定。有效地,Passkeys的成功促使欺詐者將會話令牌視為目標。他指出Google和Microsoft正在研究設備結合的會話憑據(DBSC)“允許網站與瀏覽器一起使用瀏覽器所維護的設備結合的密鑰對簽署cookie的技術。”
最大的收穫是,組織需要意識到整個用戶體驗中的身份驗證挑戰,並意識到不斷發展的欺詐威脅,並且在採用安全工俱生態系統方面有用,該工具有助於消除核心問題並提供最順暢的用戶體驗。
米勒說:“這不會是向Passkeys的一夜過渡。” “如果您可以刪除密碼,那麼很棒,但是大多數人永遠不會到達那裡,或者如果他們願意的話,那將是多代的事情。”
Dashlane Passkey報告顯示亞馬遜領先無密碼採用
達什蘭同意的是,在一份新聞稿中宣布“密碼長期以來一直拖累數字經濟”。指出它是“第一個支持所有主要平台的Passkeys的憑證經理”,它啟動了Dashlane Passkey報告,“首先要研究帶來無密碼採用的品牌和服務。”
該報告表明,消費者正在為其最常用的應用選擇Passkeys。亞馬遜排在首位。與eBay和目標同樣在前四名中,電子商務被證明是Passkey的強國。 (第三快的是在線簿記工具Moneybird。)
名單上還有社交媒體平台X(Twitter)和Facebook,Silicon Valley Giants Apple和Google和 - 排名第八 - Roblox。
達什蘭(Dashlane)說,規模的平台和早期採用者正在駕駛和維持大量的Passkey使用情況,但是情況發生了變化,並且更多站點啟用Passkeys。該報告說:“與密碼相比,與密碼相比,Passkey的使用總體上仍然是新生的。但是增長繼續加速。Passkey的身份驗證每月增長到每月200,000,自年初以來增長了400%以上。”
“攻擊者打破這一努力需要什麼樣的努力?”
Gluu的新識別式辦公時間會議以演講者為主題高風險用例的Passkey,特別關注同步的通行證。在這種情況下,也出現了關鍵問題:使用Passkeys和Multifactor身份驗證,我們要實現什麼?
“目前互聯網上最大的威脅之一是密碼填充”身份管理專家約翰·布拉德利(John Bradley)說,他目前是一名專注於開放身份標準的高級技術建築師尤比科。
“如果您不在乎您要介紹誰的帳戶,請列出一系列常見的密碼,並且只是嘗試使用1億個帳戶,實際上效果很好。這是兩因素身份驗證旨在放慢腳步的事情之一,但不一定打算停止目標攻擊。不同的人對此有不同的目標。”
布拉德利還說,Fido的網絡釣魚抗性非常好,具有多因素身份驗證,即使系統聽起來很棒,如果沒有在整個攻擊方面優化防禦,那麼這些討厭的安全差距也是可能的。
Rolf Lindemann足夠的實驗室同意,標籤的合規性問題不如真正的實際保護重要。 “比有一個或兩個因素或三個因素的標籤更重要的是,或者有一個不錯的卡通顯示出13個因子銀行的身份驗證,這完全是無法使用的,這確實是安全性的魯棒性。”為了採取高風險的安全措施,唯一相關的問題是:“攻擊者打破這一努力需要什麼樣的努力?”
YouTube有在線完整會議。
文章主題
亞馬遜|生物識別驗證|生物識別技術|達什蘭|二人安全|FIDO聯盟|膠水|足夠的實驗室|Passkeys|無密碼的身份驗證
