文章來源 / Okta Official Blog
今年早些時候,我們宣布Okta將完全過渡至無密碼身份驗證,全面更新工作人員使用的所有應用程式和服務,以使其與防釣魚政策保持一致。為實現此目標,我們正在取得重大進展。每週,我們分析由我們工作人員所觸發的數千次身份驗證事件。而在過去的一週中,僅低於2%的事件是以密碼為基礎的,截至撰寫本文時,Okta已達到98%的無密碼身份驗證。
我們在無密碼旅程中不孤單。向無密碼身份驗證流程的推進在各種技術和使用者領域都正在積極發展。事實上,富比世預測:「到2023年底,80%的《財星》世界500大公司已經正式制定預算進行無密碼身份驗證項目」,但到底是什麼激勵了這一運動呢?
無密碼推動的主要優勢有兩個。第一個集中在使用者體驗與「擺脫密碼」帶來的種種好處。第二個當問題涉及到您的安全姿勢,通過消除密碼作為攻擊向量,安全性可以得到顯著提升。這兩個優勢都是相當重要的,但單獨看不能完整呈現為什麼這麼多組織正在改進其身份驗證方法的全貌。
密碼的問題:可重複使用、易受釣魚攻擊、成本高昂
讓我們回顧一下為什麼密碼如此問題重重?首先,密碼是可重複使用的。儘管最佳實踐是使用密碼管理器,並為每個網站和服務存儲唯一且複雜的密碼,但實際應用中常常失敗。密碼的重複使用可能使單一事件變得更加危險,因為一個供應商的遭受侵犯,或一個網站成功遭受釣魚攻擊,可能會擴散到其他地方。然而,密碼的重複使用非常普遍。根據Bitwarden最近的一項調查,84%的受訪者表示他們重複使用密碼,超過一半的人表示他們在5個或更多網站上重複使用密碼。
其次,即使我們將自己視為密碼衛生的「潔癖者」,密碼仍然容易受到釣魚攻擊。釣魚是指攻擊者使用社交工程學方法獲取秘密用戶數據的行為。中間人攻擊、暴力破解攻擊、憑證填充攻擊和重放攻擊都是釣魚攻擊的例子。不幸的是,這些風險正在上升:根據Perception Point的數據,2023年上半年的釣魚攻擊比前六個月增加了41%。
最後,部分原因如上所述,維護密碼的成本很高。消費者必須花時間管理他們的密碼,即使如此,釣魚攻擊仍然可能使這些努力無效。此外,密碼問題以及解決這些問題的幫助台票會導致組織工作效率大幅下降。事實上,根據Beyond Identity的數據,這些問題每年對公司造成大約每位員工480美元的損失。
尋找走向無密碼的道路
簡而言之,在身份驗證的多樣歷史和技術中,密碼可以說是最弱的選擇。但是,去除密碼會解決現代身份驗證中的所有問題嗎?並不完全如此;替代方法也有其自身的限制需要考慮。
例如,為了減輕密碼的風險或將其從身份驗證流程中消除,許多組織今天要求用戶通過多因素身份驗證(MFA)進行登錄。這無疑是朝著更安全的方向邁出的一步。但是某些類型的MFA因素,如短信消息,未必能抵抗釣魚攻擊。
短信已成為全球廣泛使用的身份驗證技術,在客戶身份領域越來越普遍。與僅使用密碼的基線相比,它代表了身份安全的重大改進。然而,在工作場所,短信多年來一直被視為一種低保證的離線驗證器。由於釣魚事件的後果在工作場所情境中可能是巨大的,身份驗證方法必須更加堅固。
那麼,為什麼一些組織仍然允許使用簡訊等方法呢?這是因為我們明白我們要滿足用戶的需求:根據他們自己的用戶體驗和風險承受能力。包括短信作為一個因素的多因素身份驗證仍然比僅基於密碼的身份驗證更安全。它可能只是達到我們最終目標 - 抵抗釣魚攻擊的可接受過渡步驟。
結合多因素身份驗證和抵抗釣魚攻擊
在工作場所實施中,去除密碼但替換為短信或推送通知的方法確實可能提升用戶體驗。然而,確保對所有資源訪問都需要具有抵抗釣魚攻擊能力的因素將提高安全性水平。
抵抗釣魚攻擊的技術可以增強多因素身份驗證,通過添加額外的安全層,增強基本多因素身份驗證,並對抵抗釣魚攻擊的流程進行預防接種。這可以通過在訪問時展示用戶意圖的機制來實現,例如要求進一步驗證流程需要生物特徵檢查。另一種常見的機制是使用公鑰加密來消除共享秘密的需求。WebAuthn,基於FIDO2標準開發,是這種方法中最為突出的示例之一。
當然,在工作場所實施中,要使抵抗釣魚攻擊且無密碼的技術取得成功並不是一項小任務。身份驗證、激活和恢復抵抗釣魚攻擊的憑證方面仍然存在著重大的管理挑戰。然而,隨著身份安全行業不斷取得重大進展,前方有令人興奮的機會。這些技術的實施和運營正朝著簡化的方向發展。
展望未來的工作場所安全
最終,用戶體驗將推動這些解決方案的採用。消費者行為經常會影響企業內部採用的技術,尤其是那些由設備製造商推動的技術。
以密鑰為例。關於密鑰背後的一些「爭議」已經有(而且將繼續有)大量的討論。然而,它們在客戶身份中的廣泛採用將大幅改善用戶體驗和安全性。儘管WebAuthn密鑰使工作場所使用案例變得複雜(例如,密鑰的私鑰可以跨設備共享,甚至可以與他人共享),但根據FIDO聯盟的說法,它們仍然是更具抵抗釣魚攻擊的解決方案。不要驚訝,密鑰可能會在工作場所實施中變得越來越常見。
當您尋求將您的組織或企業過渡至無密碼技術時,請記住您為什麼這麼做。用戶體驗的改善可能會很大,對於客戶使用情境無疑是一個福音。但讓我們不要過分強調消除密碼並啟用無密碼體驗,以至於我們忘記了我們在消除它們時所追求的原則。 「無密碼」 只是一種工具——抵抗釣魚攻擊才是我們所有人正在追求的目標。
深入了解無密碼的好處、更多關於如何通過多因素身份驗證、WebAuthn 和 Okta FastPass 等解決方案放棄密碼的實用建議,可以諮詢奧登的專業顧問。
Comments