การรับรองความถูกต้อง: ทำไมเราถึงทำ? การสนทนาเกี่ยวกับการตรวจสอบมักจะเน้นไปที่เทคโนโลยีอุปกรณ์วิธีการและประสบการณ์ผู้ใช้ไบโอเมตริกซ์สำหรับ Passkeys? ข้อมูลรับรองที่ตรวจสอบได้สำหรับมือถือ? แฝงหรือใช้งานการตรวจจับความมีชีวิตชีวา- ความจริงก็คืออย่างน้อยสองสามชั่วอายุคนส่วนใหญ่จะยังคงใช้การผสมผสานของเครื่องมือรักษาความปลอดภัยและการรับรองความถูกต้อง- รวมถึงรหัสผ่าน - เป็นเทคโนโลยีการเข้ารหัสข้อมูลดิจิตอลและการตรวจสอบตัวตนไบโอเมตริกซ์ยังคงเติบโตอย่างต่อเนื่อง
ประเด็นกล่าวว่าผู้เข้าร่วมในช่วงล่าสุดFIDOพาเนลคือเหตุผลที่จำเป็นต้องมีการรับรองความถูกต้องตั้งแต่แรก “ ในตอนท้ายของวันควรมุ่งเน้นไปเราจะกำจัดฟิชชิ่งได้อย่างไรเราจะกำจัดสถานการณ์การโจมตีระยะไกลได้อย่างไร” Matthew Miller สมาชิกคณะกรรมการ Fido Alliance และผู้นำทางเทคนิคที่ไม่มีรหัสผ่านสำหรับผู้สนับสนุนกิจกรรมกล่าวCisco Duo-
Passkeys ให้ความต้านทานต่อฟิชชิ่ง แต่การรับรองความถูกต้องเป็นปัญหาที่เกิดขึ้นตลอดเวลาซึ่งขอบเขตเติบโตขึ้นเมื่อมีการขโมยข้อมูลประจำตัวใหม่และเทคนิคการฉ้อโกง ความต้องการเวิร์กโฟลว์การตรวจสอบความถูกต้องของผู้ใช้ที่ปลอดภัยอย่างแท้จริงความต้านทานต่อฟิชชิ่งเมื่อถึงจุดของการตรวจสอบ แต่ยังป้องกันการลงทะเบียนและในระหว่างเซสชันการรับรองความถูกต้องหลังจากนั้น
“ สิ่งหนึ่งเช่น Passkey ด้วยตัวเองจะไม่นำมาซึ่งโลกแห่งวันพรุ่งนี้ที่ไม่น่าเชื่อของยูโทเปีย” Chris Anderson ผู้จัดการผลิตภัณฑ์หลักของ Cisco Duo กล่าว “ มันเป็นวิธีการจัดเรียงของบริการที่แตกต่างกัน”
ปัญหาไม่จำเป็นต้องใช้เครื่องมือใดที่จะใช้ แต่ธรรมชาติและขนาดของการคุกคาม ในการบรรยายสรุปเกี่ยวกับสถานะปัจจุบันของการรับรองความถูกต้องแอนเดอร์สันแบ่งปันล่าสุดซิสโก้ตอบสนองเหตุการณ์เช่นนี้ข้อมูลแสดงให้เห็นว่าร้อยละ 80 ของการละเมิดในปี 2023-24 ใช้ประโยชน์จากตัวตนเป็นองค์ประกอบสำคัญ
“ ทำไมสิ่งนี้ถึงเกิดขึ้น?” เขาถาม “ ทำไมสิ่งนี้ถึงจะเกิดขึ้นอย่างต่อเนื่องในปีและปีทำไมเราถึงได้เห็นต่อไปตัวตนเป็นเวกเตอร์หลักสำหรับการละเมิด-
Cisco ระบุพื้นที่สำคัญสามประการในการค้นหาคำตอบ: โครงสร้างพื้นฐานของตัวตนทึบแสงที่ไม่มีข้อมูลเชิงลึกส่วนกลางช่องว่างในการป้องกันการรับรองความถูกต้องหลายปัจจัยวิธีการ (MFA) และแรงเสียดทานสูงที่นำไปสู่ผู้ใช้ที่ผิดหวัง
เมื่อพิจารณาถึงลักษณะการทำงานของการทำงานโดยมีพนักงานจำนวนมากที่ทำงานจากระยะไกลความหลากหลายของช่องว่างในการป้องกันจึงมีความหลากหลาย ประสบการณ์การตรวจสอบความถูกต้องของ Clunky หมายถึงผู้ใช้มักจะถูกขอให้ลงชื่อเข้าใช้หลายครั้งต่อวันสำหรับแอปพลิเคชันและบัญชีที่แตกต่างกัน “ ผู้ใช้รู้สึกหงุดหงิดอย่างมากเมื่อสิ่งนี้เกิดขึ้นและพวกเขาก็มีความต้านทานต่อการใช้วิธีการตรวจสอบสิทธิ์เหล่านี้” แอนเดอร์สันกล่าว
เพื่อปรับปรุงสถานการณ์องค์กรจำเป็นต้องจัดการสถานการณ์การรับรองความถูกต้องในการขึ้นเครื่องบินโทเค็นเซสชันเพื่อจดจำการเข้าสู่ระบบ - และความเป็นจริงของชื่อผู้ใช้และการตรวจสอบรหัสผ่านยังคงถูกใช้อย่างกว้างขวางตลอดทั้งภูมิทัศน์ด้านความปลอดภัยทำให้เกิดช่องโหว่ในการฉ้อโกง
-passkeysเป็นสิ่งที่ดีสำหรับผู้ใช้เพราะพวกเขาง่ายขึ้นและปรับปรุงพิธีรับรองความถูกต้องจริงเองซึ่งผู้ใช้มีส่วนร่วมอย่างแข็งขัน” มิลเลอร์กล่าว“ ไม่จำเป็นต้องลดจำนวนครั้งที่พวกเขาต้องตรวจสอบความถูกต้อง แต่ทำให้ง่ายขึ้นและเก็บภาษีน้อยลง”
“ พวกเขายังมีประโยชน์ในการลดจำนวนข้อมูลที่รั่วไหลในกรณีของการรั่วไหลของฐานข้อมูลที่ผู้โจมตีสามารถใช้งานได้
โทเค็นเซสชันเป็นที่ที่ความต้องการต่อไปสำหรับนวัตกรรมในการตรวจสอบความถูกต้องคือการผลิตเบียร์มิลเลอร์กล่าว - โดยเฉพาะในโทเค็นเซสชันที่มีผลผูกพันกับอุปกรณ์ อย่างมีประสิทธิภาพความสำเร็จของ Passkeys ได้ผลักดันให้ผู้หลอกลวงมองไปที่โทเค็นเซสชันเป็นเป้าหมาย เขาตั้งข้อสังเกตว่า Google และ Microsoft กำลังดำเนินการอยู่ข้อมูลรับรองเซสชันอุปกรณ์(DBSC) เทคโนโลยีที่“ อนุญาตให้เว็บไซต์ทำงานกับเบราว์เซอร์ลงนามในคุกกี้โดยใช้คู่คีย์อุปกรณ์ที่เบราว์เซอร์เก็บไว้”
ประเด็นสำคัญคือองค์กรจำเป็นต้องรับรู้ถึงความท้าทายการตรวจสอบความถูกต้องตลอดประสบการณ์ผู้ใช้ตระหนักถึงการพัฒนาภัยคุกคามการฉ้อโกงและในทางปฏิบัติในการใช้ระบบนิเวศของเครื่องมือรักษาความปลอดภัยที่ช่วยประทับตราปัญหาหลักและมอบประสบการณ์การใช้งานที่เป็นไปได้ที่ราบรื่นที่สุด
“ มันจะไม่เป็นการเปลี่ยนผ่านข้ามคืนเป็น Passkeys” มิลเลอร์กล่าว “ ถ้าคุณสามารถลบรหัสผ่านได้ดี แต่คนส่วนใหญ่จะไม่ไปถึงที่นั่นหรือถ้าพวกเขาจะเป็นสิ่งที่หลากหลาย”
รายงาน Dashlane Passkey แสดงให้เห็นว่า Amazon นำผ่านการใช้รหัสผ่านแบบไม่ใช้รหัสผ่าน
dashlaneอยู่ในข้อตกลงประกาศในการเปิดตัวว่า“ รหัสผ่านได้รับการลากมานานแล้วในระบบเศรษฐกิจดิจิทัล” สังเกตว่ามันเป็น“ ผู้จัดการข้อมูลรับรองคนแรกที่สนับสนุน Passkeys ในแพลตฟอร์มหลักทั้งหมด” มันได้เปิดตัวรายงาน Dashlane Passkey,“ การมองครั้งแรกของแบรนด์และบริการที่นำผ่านการใช้รหัสผ่านที่เป็นผู้นำ”
รายงานแสดงให้เห็นว่าผู้บริโภคกำลังเลือก Passkeys สำหรับแอพที่ใช้มากที่สุด อเมซอนออกมาด้านบน กับอีเบย์และเป้านอกจากนี้ในสี่อันดับแรกอีคอมเมิร์ซพิสูจน์ให้เห็นว่าเป็นโรงไฟฟ้า Passkey (ที่รวดเร็วที่สุดคือเครื่องมือการทำบัญชีออนไลน์ Moneybird.)
นอกจากนี้ในรายการคือแพลตฟอร์มโซเชียลมีเดีย X (Twitter) และ Facebook, Silicon Valley Giants Apple และGoogleและ - เข้ามาที่หมายเลขแปด - Roblox
Dashlane กล่าวว่าแพลตฟอร์มที่มีการปรับขนาดและผู้ใช้ก่อนกำลังขับเคลื่อนและรักษาส่วนแบ่งการใช้งาน passkey จำนวนมาก แต่สิ่งต่าง ๆ กำลังเปลี่ยนแปลงมากขึ้นและมากขึ้นเว็บไซต์เพิ่มเติมเปิดใช้งาน passkeys- “ การใช้ Passkey โดยรวมยังคงตั้งขึ้นเมื่อเทียบกับรหัสผ่าน” รายงานกล่าว“ แต่การเติบโตยังคงเร่งความเร็วต่อไป
'ต้องใช้ความพยายามแบบไหนสำหรับผู้โจมตีที่จะทำลายสิ่งนั้น?'
เซสชั่น Office enterati Office ใหม่จาก Gluu มีลำโพงในหัวข้อของPasskeys สำหรับกรณีการใช้งานที่มีความเสี่ยงสูงโดยมุ่งเน้นเฉพาะเกี่ยวกับความท้าทายของpasskeys ที่ซิงค์- ในกรณีนี้เช่นกันคำถามสำคัญเกิดขึ้น: ด้วยการตรวจสอบสิทธิ์ Passkeys และ Multifactor เราพยายามทำอะไร?
“ หนึ่งในภัยคุกคามที่ยิ่งใหญ่ที่สุดในอินเทอร์เน็ตในปัจจุบันคือการบรรจุรหัสผ่าน” จอห์นแบรดลีย์ผู้เชี่ยวชาญด้านการจัดการข้อมูลประจำตัวซึ่งปัจจุบันทำหน้าที่เป็นสถาปนิกด้านเทคนิคอาวุโสที่มุ่งเน้นไปที่มาตรฐานเอกลักษณ์แบบเปิดสำหรับชาวยิวโกะ-
“ หากคุณไม่สนใจว่าบัญชีที่คุณพยายามจะบุกเข้าไปในรายการรหัสผ่านทั่วไปและลองใช้บัญชี 100 ล้านบัญชีกับพวกเขาใช้งานได้ดีจริง ๆ นั่นเป็นหนึ่งในสิ่งที่การตรวจสอบความถูกต้องสองปัจจัยนั้นมีความหมายช้าลง แต่ก็ไม่ได้ตั้งใจที่จะหยุดการโจมตีเป้าหมาย
แบรดลีย์ยังกล่าวอีกว่าการต่อต้านฟิชชิ่งของ Fido นั้นยอดเยี่ยมด้วยการตรวจสอบความถูกต้องหลายปัจจัยแม้ว่าระบบจะฟังดูดี แต่ช่องว่างด้านความปลอดภัยที่น่ารำคาญนั้นเป็นไปได้หากการป้องกันไม่ได้รับการปรับให้เหมาะสมตลอดการโจมตีทั้งหมด
Rolf Lindemann แห่งเพียงพอห้องปฏิบัติการตกลงว่าคำถามของการติดฉลากเพื่อการปฏิบัติตามนั้นมีความสำคัญน้อยกว่าการคุ้มครองที่แท้จริง “ มีความเกี่ยวข้องมากกว่าว่าจะได้รับฉลากหนึ่งปัจจัยหรือสองปัจจัยหรือสามปัจจัย-หรือมีการ์ตูนที่ดีแสดงการรับรองความถูกต้องของธนาคาร 13 ปัจจัยซึ่งไม่สามารถใช้งานได้ทั้งหมด-เป็นความแข็งแกร่งของความปลอดภัยจริงๆ” สำหรับมาตรการรักษาความปลอดภัยที่มีความเสี่ยงสูงคำถามเดียวที่เกี่ยวข้องคือ“ ระดับความพยายามแบบไหนสำหรับผู้โจมตีที่จะทำลายสิ่งนั้น?”
YouTube มีไฟล์เซสชันเต็มออนไลน์-
หัวข้อบทความ
อเมซอน-การรับรองความถูกต้องทางชีวภาพ-ไบโอเมตริกซ์-dashlane-ความปลอดภัยของคู่-Fido Alliance-กาว-เพียงพอห้องปฏิบัติการ-passkeys-การตรวจสอบสิทธิ์แบบไม่มีรหัสผ่าน
