การรักษาความปลอดภัยแบบไม่มีรหัสผ่านยังคงเป็นวิธีการที่ค่อนข้างใหม่ในการตรวจสอบสิทธิ์ผู้ใช้ในที่ทำงานแม้จะมีมาตรฐานการทำงานของตัวตนทศวรรษที่ทำงานโดย Fido Alliance และ W3C เพื่อสร้างความสามารถเหล่านี้ให้เป็นประชาธิปไตย ในปีที่สามสถานะของรายงานความปลอดภัยที่ไม่มีรหัสผ่านเผยแพร่โดยHYPRมีการค้นพบที่สำคัญหลายประการที่ค้นพบวิธีการตรวจสอบความถูกต้องที่ไม่ปลอดภัยที่แพร่หลายว่าเป็นหนึ่งในองค์กร
ในขณะที่การยอมรับแบบไม่มีรหัสผ่านกำลังเพิ่มขึ้นดังนั้นการโจมตีแบบฟิชชิ่ง ตัวอย่างเช่น 97 เปอร์เซ็นต์ขององค์กรที่ใช้การรับรองความถูกต้องด้วยรหัสผ่านสำหรับพนักงาน (n = 271) กำลังใช้วิธีการที่น่าสนใจและ 28 เปอร์เซ็นต์ขององค์กร (n = 1,000) มีประสบการณ์การโจมตีฟิชชิงการแจ้งเตือนแบบพุชซึ่งมากกว่าสองเท่าในรายงานปีก่อน
บางทีที่แย่กว่านั้นคือองค์กรระบุว่าโดยเฉลี่ยแล้วระบบการตรวจสอบความถูกต้องสี่ระบบจะถูกใช้โดยพนักงานทุกวันและส่วนใหญ่ขึ้นอยู่กับรหัสผ่านผู้จัดการรหัสผ่านและวิธีการตรวจสอบความถูกต้องแบบหลายปัจจัย (MFA) และเกือบทุกองค์กร - 97 เปอร์เซ็นต์อนุญาตให้พนักงานอย่างน้อยส่วนหนึ่งในการเข้าถึงคอมพิวเตอร์ บริษัท ของพวกเขาด้วยชื่อผู้ใช้และรหัสผ่านเท่านั้น กระนั้น 87 เปอร์เซ็นต์ของผู้นำด้านไอทีและผู้นำด้านความปลอดภัยเหล่านี้พิจารณาวิธีการที่มีอยู่ขององค์กรในการตรวจสอบความถูกต้องให้สมบูรณ์หรือส่วนใหญ่เป็นส่วนใหญ่
ตามรายงานสรุปปริศนานี้ดูเหมือนจะหยั่งรากในความจริงที่ว่า 65 เปอร์เซ็นต์ของการสำรวจไม่สามารถระบุความแตกต่างระหว่าง phishable กับ MFA ที่ทนทานต่อฟิชชิ่ง การตรวจสอบความถูกต้องแบบหลายปัจจัยที่ทนทานต่อฟิชชิ่งนั้นขึ้นอยู่กับการเข้ารหัสลับของสาธารณะและใช้ปัจจัยที่ปลอดภัยและมีความปลอดภัยในการตรวจสอบตัวตน มันไม่ได้ใช้ข้อมูลรับรองประเภทใด ๆ ที่สามารถทำฟิชหรือถูกดักจับโดยผู้โจมตีรวมถึงรหัสผ่านรหัสผ่านครั้งเดียว (OTP) ข้อความ SMS การแจ้งเตือนการส่งโทรศัพท์และคำถามความปลอดภัยตามความรู้
เป็นที่ชัดเจนจากผลการสำรวจและการค้นพบว่าจำเป็นต้องมีการศึกษามากขึ้นเกี่ยวกับ MFA ที่ทนทานต่อฟิชชิง แต่เพียงอย่างเดียวจะไม่แก้ปัญหาหลักในสถานที่ทำงานที่เริ่มต้นด้วยระบบปฏิบัติการและผู้ผลิตอุปกรณ์ รายงานสรุปเกี่ยวกับบันทึกเกี่ยวกับpasskeysซึ่งแทนที่รหัสผ่านด้วยคู่คีย์เข้ารหัสและการรับรองความถูกต้องบนอุปกรณ์ประกาศโดยApple, Google และ Microsoftอย่างไรก็ตามสำหรับ Passkeys ระยะสั้นยังขาดการบริหารที่สำคัญการกำหนดค่านโยบายและความสามารถในการจัดการสำหรับการปรับใช้ในที่ทำงาน
หัวข้อบทความ
ไบโอเมตริกซ์-ความปลอดภัยทางไซเบอร์-HYPR-การรับรองความถูกต้องหลายปัจจัย-passkeys-การตรวจสอบสิทธิ์แบบไม่มีรหัสผ่าน
