SecureAuth Corporation已经发布了调查结果,揭示了有关密码和身份验证的行业观点。
在调查结果中,与韦克菲尔德(Wakefield)一起委托进行了调查的200多个IT决策者(ITDMS),调查显示,在未来五年内,有69%的组织可能会在未来五年内取消密码。
“在最近的大型违规行为之后,Yahoo!,用户名,密码和安全问题的回答受到了损害,个人和企业对身份验证进行了大修的越来越多,” SecureAuth首席执行官Craig Lund说。 “单因素,基于密码的身份验证,甚至许多传统的两因素方法 - 在当今日益数字的世界中不再足够。由于与每年数百万美元的网络攻击相关的成本,这是每个人的最大利益,使攻击者更难对我们的经济造成进一步的损害。”
韦克菲尔德调查发现,通过多因素技术,组织平均只能保护其资产的56%。当被问及为什么他们尚未改善其身份验证策略时,有42%的韦克菲尔德受访者将公司高管的抵抗力和对用户日常工作的中断视为最高障碍。
不采用改进的身份验证策略的其他原因包括:缺乏支持维护的资源(40%);陡峭的员工学习曲线(30%);并担心改进是行不通的(26%)。
隆德说:“尽管公司正在了解到仅密码政策使组织脆弱,但许多ITDS和C级高管仍然不愿发展和更新其身份验证策略。” “这是一项艰难的平衡行为 - 组织必须确认用户身份最强的访问控制形式,同时还可以平衡积极的,非侵入性的用户体验。幸运的是,当用户友好型自适应访问技术(例如设备识别,威胁服务和地理位置查找)中,当层中使用时,可以在任何组织的安全姿势中使用,以增强任何组织的安全性,以增强安全的型号,以使其保持安全和制作范围,以使其具有最小的超级影响。
调查中还显示,几乎所有(99%)的受访者同意,两因素身份验证是保护身份及其访问权限的最佳方法。但是,最近的新闻表明,许多传统的两因素身份验证方法,例如基于SMS的一次性密码,都在精心制作的网络钓鱼攻击中被攻击者规避。实际上,美国国家标准技术研究所(NIST)最近宣布了一项建议,不再建议使用SMS提供一次性密封码作为带外身份验证方法的两因素身份验证。
此外,大多数韦克菲尔德受访者(73%)认为安全问题或基于知识的身份验证(KBA)是公司安全验证其用户的最重要措施。但是,攻击者通常会损害这些安全问题和答案,从而大大增加了个人对网络犯罪攻击的暴露。对某些安全问题的回答也可以从社交媒体网站,社会工程攻击甚至网络犯罪分子的受过教育的猜测中收集。
ITDS认为其组织的身份验证策略所认为的其他措施包括:设备识别(59%);生物特征,例如指纹,面部或虹膜扫描(55%);一次性密码(49%);以及地理围栏,地理位置或地质速度功能(34%)。
SecureAuth的首席技术官Keith Graham说:“组织正在使用过时的身份验证方法,需要为用户提供额外的步骤,并且对当今的高级攻击无效。”
“遗产两因素的身份验证方法已不再足够,组织必须进化并加强对网络对手的防御能力。那些正在前瞻性思维正在实施现代的人,在现代化的幕后自适应风险检查,从而提高安全性,而不会妨碍最终用户的经验。在身份验证期间,在身份验证期间不再能够以最终的用户和组织的方式来实现,现在不再是用户 - 现在是用户 - 现在是用户 - 现在是用户的付出代价。
在2016年9月16日至22日之间,通过电子邮件邀请和在线调查进行了韦克菲尔德研究的证券调查。
