萬能鑰匙是 2025 年值得關注的生物識別安全趨勢。第 11 屆年度 FIDO 東京研討會的主題是如何加速密鑰採用,來自 Google、索尼互動娛樂、萬事達卡和其他加入無密碼生活之旅的組織的演講。微軟已經確認了其關於如何讓人們喜歡萬能鑰匙的建議,因為它消除了一個導致 4 億 Outlook 365 用戶暴露的重大漏洞。
主要科技品牌推動密碼帳戶登錄的主流化
FIDO 的新聞稿概述了過去一年的密鑰成功案例。
2024年,向 100% 的用戶提供密鑰,並在全球範圍內創建了 1.75 億個用於登錄 amazon.com 的密鑰。谷歌表示,現在有 8 億個谷歌帳戶使用密鑰,過去兩年有超過 25 億次密鑰登錄,登錄成功率提高了 30%。索尼全球 Playstation 遊戲社區的網絡應用程序登錄時間縮短了 24%。
凱悅 (Hyatt)、IBM、塔吉特 (Target) 和 TikTok 等公司已添加他們的勞動力身份驗證選項。更多提供密鑰選項的憑證管理產品意味著消費者擁有更大的靈活性。
日本加入私營部門和學術界的密鑰派對
日本市場顯著轉向萬能鑰匙,日經、Nulab 和東急公司等公司都採用了萬能鑰匙技術。 Nikkei 最早將於 2025 年 2 月為 Nikkei ID 部署密鑰。東急公司表示,45% 的 TOKYU ID 用戶擁有密鑰。 Nulab 宣布“在密鑰採用方面取得了巨大進步”。
學術界正在幫助推動創新,慶應義塾大學和早稻田大學的團隊在一系列黑客馬拉松和研討會上的研究和原型贏得了認可。
當然,FIDO 會提供支持,現在在以下網站上提供其 Passkey Central 網站資源:密鑰實施日語版,以便日本公司可以更好地利用其介紹材料、實施策略、用戶體驗和設計指南以及詳細的推出指南。
FIDO 日本工作組由 66 家 FIDO 聯盟成員公司組成,目前已進入第九個年頭,致力於提高該國的密碼意識。
已建立的密鑰計劃顯示出積極的成果
人們對萬能鑰匙的認知度正在提高,最近的 FIDO 研究表明,自萬能鑰匙推出以來的兩年裡,消費者的認知度提高了 50%。這可以部分歸因於早期萬能鑰匙採用者為展示如何改善了他們的業務。
FIDO 密鑰的採用意味著日本電信運營商 KDDI 的客戶支持中心來電數量減少了近 35%。電子商務公司 Mercari 擁有 700 萬註冊密鑰的用戶。雅虎! JAPAN ID 是 LY Corporation 的財產,目前擁有 2700 萬活躍密鑰用戶,並表示智能手機上 50% 的用戶身份驗證現在都是通過密鑰進行的。
使用溫和的語言在密鑰部署中施加自信的力量
在其重演中在 Authenticate 2024 上,微軟發布了部落格題為“說服十億用戶喜歡萬能鑰匙:微軟的用戶體驗設計見解,以提高采用率和安全性”。
它以現在人們所熟悉的密碼即將消亡的聲明之一開始。 “這是毫無疑問的,”說:“密碼時代正在結束。”
微軟圍繞強烈的情感構建洞察力,而許多人可能不會立即聯想到這些情感。如何讓客戶像他們一樣喜歡密鑰? “不知何故,我們必須說服數量驚人且多樣化的人群永久改變熟悉的行為 - 並為此感到興奮,”該博客說。
無論是否有人真的對密鑰感到興奮,結果不言而喻:微軟表示,其結果顯示使用密鑰登錄比使用傳統密碼登錄快三倍,比使用密碼和傳統多因素身份驗證快八倍。用戶的成功率提高了三倍與使用密碼相比(98% 對 32%)。啟動密鑰註冊流程的用戶中有 99 人完成了該流程。
微軟的戰略可歸結為三個步驟:從小事做起、實驗和“瘋狂擴張”。在關鍵點添加密鑰登錄選項,並確保人們理解– 即他們所呈現的到底是什麼。微軟表示,“雖然‘密鑰’這個詞有時不熟悉,但‘人臉、指紋或 PIN’這個短語通常很好理解,因此在我們的用戶體驗 (UX) 中將這兩個概念聯繫起來非常重要。”
一方生存,一方生存:密碼必須被刪除和埋葬
最後,後兩個步驟相當於讓密鑰成為不可避免的建議。雖然被動選項產生了令人失望的結果,但將密鑰登錄設置為默認值並為那些尚未註冊的人設計戰略“推動”會帶來更好的結果。 (他們仍然可以選擇使用其他憑據;這只是不受歡迎。)同樣,這都是關於溫暖的感覺:“我們希望用戶能夠接受密鑰將成為新常態的想法。”
也就是說,良好的氛圍背後有一點友好的強制。 “不要羞於邀請用戶註冊密鑰,”微軟表示。 “讓註冊和使用密鑰盡可能簡單。”並且“現在就開始提前計劃只使用”。
因為,即使像微軟預測的那樣,數百萬新用戶在未來幾個月內創建了密鑰帳戶,房間角落裡腐爛的屍體仍然存在。微軟表示,只要帳戶仍然附加密碼,它仍然是網絡釣魚的對象。 “我們的最終目標是完全並且擁有僅支持防網絡釣魚憑據的帳戶。 ”
AuthQuake 利用缺乏速率限制的漏洞暴露了 4 億 Microsoft 客戶
微軟對密碼的緊迫性部分可能源於一種揮之不去的感覺,即當前的多重身份驗證 (MFA) 方法正在崩潰。雷德蒙德微軟博客上的一條說明稱,網絡安全公司 Oasis Security 發現了一個脆弱性Microsoft 的雙因素身份驗證 (2FA) 允許帳戶繞過安全措施而不觸發警報。
在其完整報告Oasis 表示,這個名為 AuthQuake 的繞過程序“需要大約一個小時才能執行,不需要用戶交互,也不會生成任何通知”,該漏洞可能會影響超過 4 億使用 Microsoft Office 365 的客戶,包括 Outlook、OneDrive、Teams 和 Azure。缺乏速率限制和延長過期代碼有效期(OTP)是罪魁禍首,它們都允許攻擊者增加在給定時間內可以部署的攻擊數量。
Oasis 於 6 月向微軟報告了該缺陷,該公司於 10 月 9 日進行了永久修復。
文章主題
||||||
