萬能鑰匙是 2025 年值得關注的生物辨識安全趨勢。第 11 屆年度 FIDO 東京研討會的主題是如何加速密鑰採用,來自 Google、索尼互動娛樂、萬事達卡和其他加入無密碼生活之旅的組織的演講。微軟已經確認了其關於如何讓人們喜歡萬能鑰匙的建議,因為它消除了一個導致 4 億 Outlook 365 用戶暴露的重大漏洞。
主要科技品牌推動密碼帳號登入的主流化
FIDO 的新聞稿概述了過去一年的密鑰成功案例。
2024年,向 100% 的用戶提供金鑰,並在全球創建了 1.75 億個用於登入 amazon.com 的金鑰。谷歌表示,現在有 8 億個谷歌帳戶使用密鑰,過去兩年有超過 25 億次密鑰登錄,登錄成功率提高了 30%。索尼全球 Playstation 遊戲社群的網路應用程式登入時間縮短了 24%。
凱悅 (Hyatt)、IBM、塔吉特 (Target) 和 TikTok 等公司已添加他們的勞動力身份驗證選項。更多提供金鑰選項的憑證管理產品意味著消費者擁有更大的靈活性。
日本加入私部門和學術界的金鑰派對
日本市場顯著轉向萬能鑰匙,日經、Nulab 和東急公司等公司都採用了萬能鑰匙技術。 Nikkei 最快將於 2025 年 2 月為 Nikkei ID 部署金鑰。 Nulab 宣布「在金鑰採用方面取得了巨大進展」。
學術界正在幫助推動創新,慶應義塾大學和早稻田大學的團隊在一系列黑客馬拉松和研討會上的研究和原型贏得了認可。
當然,FIDO 會提供支持,現在在以下網站上提供其 Passkey Central 網站資源:密鑰實施日語版,以便日本公司可以更好地利用其介紹材料、實施策略、用戶體驗和設計指南以及詳細的推出指南。
FIDO 日本工作小組由 66 家 FIDO 聯盟成員公司組成,目前已進入第九個年頭,致力於提高該國的密碼意識。
已建立的密鑰計劃顯示出積極的成果
人們對萬能鑰匙的認知度正在提高,最近的 FIDO 研究表明,自萬能鑰匙推出以來的兩年裡,消費者的認知度提高了 50%。這可以部分歸因於早期萬能鑰匙採用者為展示如何改善了他們的業務。
FIDO 金鑰的採用意味著日本電信業者 KDDI 的客戶支援中心來電數量減少了近 35%。電子商務公司 Mercari 擁有 700 萬註冊金鑰的用戶。雅虎! JAPAN ID 是 LY Corporation 的財產,目前擁有 2,700 萬活躍的金鑰用戶,並表示智慧型手機上 50% 用戶驗證現在都是透過金鑰進行。
使用溫和的語言在金鑰部署中施加自信的力量
在其重演中在 Authenticate 2024 上,微軟發布了部落格題為「說服十億用戶喜歡萬能鑰匙:微軟的用戶體驗設計見解,以提高採用率和安全性」。
它以現在人們所熟悉的密碼即將消亡的聲明之一開始。 「這是毫無疑問的,」說:“密碼時代即將結束。”
微軟圍繞著強烈的情感建構洞察力,而許多人可能不會立即聯想到這些情感。如何讓客戶像他們一樣喜歡密鑰? 「不知何故,我們必須說服數量驚人且多樣化的人群永久改變熟悉的行為 - 並為此感到興奮,」該部落格說。
無論是否有人真的對金鑰感到興奮,結果不言而喻:微軟表示,其結果顯示使用金鑰登入比使用傳統密碼登入快三倍,比使用密碼和傳統多因素身份驗證快八倍。用戶的成功率提高了三倍與使用密碼相比(98% 對 32%)。啟動密鑰註冊流程的使用者中有 99 人完成了流程。
微軟的策略可歸結為三個步驟:從小事做起、實驗和「瘋狂擴張」。在關鍵點添加密鑰登入選項,並確保人們理解– 即他們所呈現的到底是什麼。微軟表示,「雖然'密鑰'這個詞有時不熟悉,但'人臉、指紋或PIN'這個短語通常很好理解,因此在我們的用戶體驗(UX) 中將這兩個概念聯繫起來非常重要。
一方生存,一方生存:密碼必須刪除和埋葬
最後,後兩個步驟相當於讓密鑰成為不可避免的建議。雖然被動選項產生了令人失望的結果,但將金鑰登入設為預設值並為那些尚未註冊的人設計策略「推動」會帶來更好的結果。 (他們仍然可以選擇使用其他憑證;這只是不受歡迎。)同樣,這一切都是關於溫暖的感覺:“我們希望用戶能夠接受密鑰將成為新常態的想法。”
也就是說,良好的氛圍背後有一點友善的強制。 「不要羞於邀請用戶註冊密鑰,」微軟表示。 “讓註冊和使用密鑰盡可能簡單。”並且「現在就開始提前計劃只使用」。
因為,即使像微軟預測的那樣,數百萬新用戶在未來幾個月內創建了密鑰帳戶,房間角落裡腐爛的屍體仍然存在。微軟表示,只要帳號仍然附加密碼,它仍然是網路釣魚的對象。 “我們的最終目標是完全並且擁有僅支援防網路釣魚憑證的帳戶。
AuthQuake 利用缺乏速率限制的漏洞暴露了 4 億 Microsoft 客戶
微軟對密碼的緊迫性部分可能源於一種揮之不去的感覺,即當前的多重身份驗證 (MFA) 方法正在崩潰。雷德蒙微軟部落格上的一條說明稱,網路安全公司 Oasis Security 發現了一個脆弱性Microsoft 的雙重認證 (2FA) 允許帳戶繞過安全措施而不觸發警報。
在其完整報告Oasis 表示,這個名為AuthQuake 的繞過“需要大約一個小時才能執行,不需要用戶交互,也不會產生任何通知”,該漏洞可能會影響超過4 億使用Microsoft Office 365 的客戶,包括Outlook、OneDrive 、Teams和蔚藍。缺乏速率限制和延長過期代碼有效期(OTP)是罪魁禍首,它們都允許攻擊者增加在給定時間內可以部署的攻擊數量。
Oasis 於 6 月向微軟報告了該缺陷,該公司於 10 月 9 日進行了永久修復。
文章主題
||||||
