身份验证:我们为什么要这样做?关于身份验证的对话通常以技术,设备,方法和用户体验为中心。生物识别技术对于Passkeys?移动的可验证凭证?被动或主动LIVISINE检测?现实情况是,至少几代人,大多数人将继续使用安全和身份验证工具- 包括密码 - 作为加密技术,数字证书和生物特征验证验证继续成熟。
这一点,参与者在最近的一个菲多面板是为什么首先需要身份验证的原因。 “归根结底,应该将重点放在首位,我们如何摆脱网络钓鱼?如何摆脱远程攻击场景?” Fido Alliance董事会成员Matthew Miller说,活动赞助商无密码的技术负责人思科二重奏。
Passkeys提供了抵抗网络钓鱼的抵抗力,但身份验证是一个不断发展的问题,其范围随着新的身份盗用和欺诈技术而出现。真正安全的端到端用户身份验证工作流程需求抗网络钓鱼在身份验证的点,以及在入学率和经过身份验证的会议期间进行保护。
思科二重奏首席产品经理克里斯·安德森(Chris Anderson)说:“就像一个人一样,一件事本身就不会带来明天的乌托邦不可能的世界。” “这是不同服务的分层方法。”
争论不一定是使用哪些工具,而是威胁的性质和规模。在有关当前身份验证状态的简报中,安德森分享了最新的思科这样的事件回应数据表明,2023 - 24年80%的违规行为将身份作为关键组成部分。
“这为什么会发生?”他问。 “为什么这会继续逐年发生?为什么我们继续看到身份作为违规的核心向量?”
思科确定了找到答案的三个关键领域:没有集中见解的不透明身份基础设施,保护差距多因素身份验证(MFA)方法和高摩擦导致沮丧的用户。
鉴于工作的变化性质,越来越多的员工远程工作,保护差距的多样性是多种多样的。笨拙的身份验证体验意味着,通常要求用户每天多次登录不同的应用程序和帐户。安德森说:“在发生这种情况时,用户会感到非常沮丧,最终他们会抵制采用这些身份验证方法。”
为了改善情况,组织需要在登机中管理认证方案,会话令牌以记住登录以及用户名和用户名的现实密码身份验证在整个安全环境中仍被广泛使用,留下了欺诈的漏洞。
“Passkeys米勒说:“对用户进行了简化和简化实际认证仪式本身的简化和简化实际参与的实际身份验证仪式。” Miller说。它不一定减少他们必须进行身份验证的次数,但确实使其更简单,更少的税收。”
“他们还具有减少攻击者可以使用的数据库泄漏的信息量的连锁益处。它缩小了帐户折衷的爆炸半径。”
会话令牌Miller说,这是酿造身份验证的下一个创新需求,米勒(Miller)说,尤其是在绑定会话代币与设备的绑定。有效地,Passkeys的成功促使欺诈者将会话令牌视为目标。他指出Google和Microsoft正在研究设备结合的会话凭据(DBSC)“允许网站与浏览器一起使用浏览器所维护的设备结合的密钥对签署cookie的技术。”
最大的收获是,组织需要意识到整个用户体验中的身份验证挑战,并意识到不断发展的欺诈威胁,并且在采用安全工具生态系统方面有用,该工具有助于消除核心问题并提供最顺畅的用户体验。
米勒说:“这不会是向Passkeys的一夜过渡。” “如果您可以删除密码,那么很棒,但是大多数人永远不会到达那里,或者如果他们愿意的话,那将是多代的事情。”
Dashlane Passkey报告显示亚马逊领先无密码采用
达什兰同意的是,在一份新闻稿中宣布“密码长期以来一直拖累数字经济”。指出它是“第一个支持所有主要平台的Passkeys的凭证经理”,它启动了Dashlane Passkey报告,“首先要研究带来无密码采用的品牌和服务。”
该报告表明,消费者正在为其最常用的应用选择Passkeys。亚马逊排在首位。与eBay和目标同样在前四名中,电子商务被证明是Passkey的强国。 (第三快的是在线簿记工具Moneybird。)
名单上还有社交媒体平台X(Twitter)和Facebook,Silicon Valley Giants Apple和谷歌和 - 排名第八 - Roblox。
达什兰(Dashlane)说,规模的平台和早期采用者正在驾驶和维持大量的Passkey使用情况,但是情况发生了变化,并且更多站点启用Passkeys。该报告说:“与密码相比,与密码相比,Passkey的使用总体上仍然是新生的。但是增长继续加速。Passkey的身份验证每月增长到每月200,000,自年初以来增长了400%以上。”
“攻击者打破这一努力需要什么样的努力?”
Gluu的新识别式办公时间会议以演讲者为主题高风险用例的Passkey,特别关注同步的通行证。在这种情况下,也出现了关键问题:使用Passkeys和Multifactor身份验证,我们要实现什么?
“目前互联网上最大的威胁之一是密码填充”身份管理专家约翰·布拉德利(John Bradley)说,他目前是一名专注于开放身份标准的高级技术建筑师尤比科。
“如果您不在乎您要介绍谁的帐户,请列出一系列常见的密码,并且只是尝试使用1亿个帐户,实际上效果很好。这是两因素身份验证旨在放慢脚步的事情之一,但不一定打算停止目标攻击。不同的人对此有不同的目标。”
布拉德利还说,Fido的网络钓鱼抗性非常好,具有多因素身份验证,即使系统听起来很棒,如果没有在整个攻击方面优化防御,那么这些讨厌的安全差距也是可能的。
Rolf Lindemann足够的实验室同意,标签的合规性问题不如真正的实际保护重要。 “比有一个或两个因素或三个因素的标签更重要的是,或者有一个不错的卡通显示出13个因子银行的身份验证,这完全是无法使用的,这确实是安全性的鲁棒性。”为了采取高风险的安全措施,唯一相关的问题是:“攻击者打破这一努力需要什么样的努力?”
YouTube有在线完整会议。
文章主题
亚马逊|生物识别验证|生物识别技术|达什兰|二人安全|FIDO联盟|胶水|足够的实验室|Passkeys|无密码的身份验证
