万能钥匙是 2025 年值得关注的生物识别安全趋势。第 11 届年度 FIDO 东京研讨会的主题是如何加速密钥采用,来自 Google、索尼互动娱乐、万事达卡和其他加入无密码生活之旅的组织的演讲。微软已经确认了其关于如何让人们喜欢万能钥匙的建议,因为它消除了一个导致 4 亿 Outlook 365 用户暴露的重大漏洞。
主要科技品牌推动密码帐户登录的主流化
FIDO 的新闻稿概述了过去一年的密钥成功案例。
2024年,向 100% 的用户提供密钥,并在全球范围内创建了 1.75 亿个用于登录 amazon.com 的密钥。谷歌表示,现在有 8 亿个谷歌帐户使用密钥,过去两年有超过 25 亿次密钥登录,登录成功率提高了 30%。索尼全球 Playstation 游戏社区的网络应用程序登录时间缩短了 24%。
凯悦 (Hyatt)、IBM、塔吉特 (Target) 和 TikTok 等公司已添加他们的劳动力身份验证选项。更多提供密钥选项的凭证管理产品意味着消费者拥有更大的灵活性。
日本加入私营部门和学术界的密钥派对
日本市场显着转向万能钥匙,日经、Nulab 和东急公司等公司都采用了万能钥匙技术。 Nikkei 最早将于 2025 年 2 月为 Nikkei ID 部署密钥。东急公司表示,45% 的 TOKYU ID 用户拥有密钥。 Nulab 宣布“在密钥采用方面取得了巨大进步”。
学术界正在帮助推动创新,庆应义塾大学和早稻田大学的团队在一系列黑客马拉松和研讨会上的研究和原型赢得了认可。
当然,FIDO 会提供支持,现在在以下网站上提供其 Passkey Central 网站资源:密钥实施日语版,以便日本公司可以更好地利用其介绍材料、实施策略、用户体验和设计指南以及详细的推出指南。
FIDO 日本工作组由 66 家 FIDO 联盟成员公司组成,目前已进入第九个年头,致力于提高该国的密码意识。
已建立的密钥计划显示出积极的成果
人们对万能钥匙的认知度正在提高,最近的 FIDO 研究表明,自万能钥匙推出以来的两年里,消费者的认知度提高了 50%。这可以部分归因于早期万能钥匙采用者为展示如何改善了他们的业务。
FIDO 密钥的采用意味着日本电信运营商 KDDI 的客户支持中心来电数量减少了近 35%。电子商务公司 Mercari 拥有 700 万注册密钥的用户。雅虎! JAPAN ID 是 LY Corporation 的财产,目前拥有 2700 万活跃密钥用户,并表示智能手机上 50% 的用户身份验证现在都是通过密钥进行的。
使用温和的语言在密钥部署中施加自信的力量
在其重演中在 Authenticate 2024 上,微软发布了博客题为“说服十亿用户喜欢万能钥匙:微软的用户体验设计见解,以提高采用率和安全性”。
它以现在人们所熟悉的密码即将消亡的声明之一开始。 “这是毫无疑问的,”说:“密码时代正在结束。”
微软围绕强烈的情感构建洞察力,而许多人可能不会立即联想到这些情感。如何让客户像他们一样喜欢密钥? “不知何故,我们必须说服数量惊人且多样化的人群永久改变熟悉的行为 - 并为此感到兴奋,”该博客说。
无论是否有人真的对密钥感到兴奋,结果不言而喻:微软表示,其结果显示使用密钥登录比使用传统密码登录快三倍,比使用密码和传统多因素身份验证快八倍。用户的成功率提高了三倍与使用密码相比(98% 对 32%)。启动密钥注册流程的用户中有 99 人完成了该流程。
微软的战略可归结为三个步骤:从小事做起、实验和“疯狂扩张”。在关键点添加密钥登录选项,并确保人们理解– 即他们所呈现的到底是什么。微软表示,“虽然‘密钥’这个词有时不熟悉,但‘人脸、指纹或 PIN’这个短语通常很好理解,因此在我们的用户体验 (UX) 中将这两个概念联系起来非常重要。”
一方生存,一方生存:密码必须被删除和埋葬
最后,后两个步骤相当于让密钥成为不可避免的建议。虽然被动选项产生了令人失望的结果,但将密钥登录设置为默认值并为那些尚未注册的人设计战略“推动”会带来更好的结果。 (他们仍然可以选择使用其他凭据;这只是不受欢迎。)同样,这都是关于温暖的感觉:“我们希望用户能够接受密钥将成为新常态的想法。”
也就是说,良好的氛围背后有一点友好的强制。 “不要羞于邀请用户注册密钥,”微软表示。 “让注册和使用密钥尽可能简单。”并且“现在就开始提前计划只使用”。
因为,即使像微软预测的那样,数百万新用户在未来几个月内创建了密钥帐户,房间角落里腐烂的尸体仍然存在。微软表示,只要帐户仍然附加密码,它仍然是网络钓鱼的对象。 “我们的最终目标是完全并且拥有仅支持防网络钓鱼凭据的帐户。”
AuthQuake 利用缺乏速率限制的漏洞暴露了 4 亿 Microsoft 客户
微软对密码的紧迫性部分可能源于一种挥之不去的感觉,即当前的多重身份验证 (MFA) 方法正在崩溃。雷德蒙德微软博客上的一条说明称,网络安全公司 Oasis Security 发现了一个脆弱性Microsoft 的双因素身份验证 (2FA) 允许帐户绕过安全措施而不触发警报。
在其完整报告Oasis 表示,这个名为 AuthQuake 的绕过程序“需要大约一个小时才能执行,不需要用户交互,也不会生成任何通知”,该漏洞可能会影响超过 4 亿使用 Microsoft Office 365 的客户,包括 Outlook、OneDrive、Teams 和 Azure。缺乏速率限制和延长过期代码有效期(OTP)是罪魁祸首,它们都允许攻击者增加在给定时间内可以部署的攻击数量。
Oasis 于 6 月向微软报告了该缺陷,该公司于 10 月 9 日进行了永久修复。
文章主题
||||||
