top of page

揭開密碼金鑰(Passkeys)的威力及其對抗釣魚攻擊的韌性

文章來源 / Okta Official Blog


「資安」,這永遠是一項困難的業務。我指的不僅僅是無休止的修補、監控和培訓。還有不斷追趕最新技術以補救新的 CVE(通用漏洞和危機曝露)通知下降,或者擔心你會在休息時間被叫回辦公室應對危機。


之所以艱難,並不僅僅因為它是一個純粹的技術工作。資訊安全的成功取決於好的建議、溝通和指導能力。從安全性角度來看,最有效的組織是那些每個人都參與其中,而不是那些空有一堆SANS證書的人。因此,你的人力資本是企業的第一線防線、更是最重要的防線。


但事實是:即使是意圖良好的人也會犯錯。只需一個錯誤的點擊或重複使用的密碼就足以破壞你的安全措施。安全意識的培訓有助於減少這種情況發生的風險,但也只是「有限」的效果。安全團隊有責任保護人們。


這種責任不僅僅落在安全團隊身上,集體責任延伸到員工和客戶。


根據我的經驗,最有效的安全措施是能夠保護組織或個人,但不需要付出過多努力即可使用的保護措施。安全措施的便利性,可以增強法遵能力、也增加了安全性。這就是密碼金鑰的作用所在。



密碼金鑰是什麼,它們為何重要?


在過去50年來,我們一直使用密碼來保護電腦系統和應用程式,以防止未經授權的使用。它們完成了它們的目的,但隨著時間的推移,密碼的不足變得越來越明顯。


密碼可能會被竊取、猜測或外洩。對個人用戶來說,使用密碼是一種負擔,有47%的消費者將需要滿足密碼複雜性要求看為一種挫折的來源。普通消費者必須管理超過100個應用程式的密碼,這使得憑證重複使用成為一個常見問題。如果一個網站洩露了您的憑證,攻擊者可以存取您使用的每個網站或服務。


在理想的情況下,每個人都應該遵守良好的密碼衛生習慣,為他們在擁有帳戶的每個服務和網站使用強大且複雜的密碼。但我們並不生活在一個理想的世界。這就是為什麼我們需要更好的解決方案。


密碼金鑰應運而生。這是實現無密碼驗證的一種方式,它具有天生的抗網釣特性,用戶友好且高效。密碼金鑰將傳統密碼替換為存儲在個人設備上的加密憑證。


密碼金鑰無法被竊取或外洩。密碼金鑰儲存在個人的設備或他們控制的雲端帳戶上,通常與個人的其他身份要素相關聯(例如生物識別資訊,如指紋或面部識別掃描),或者只有他們知道,例如他們手機的主要PIN代碼。


密碼金鑰不需要人們記住一個長度適當的、包含特殊字符和數字的密碼,因為它們是數學生成的,所以也無法被「猜測」。


但最重要的是,它們非常方便。當然,無需記住任何東西,但也無需學習。如果你曾經在智慧手機上輸入PIN碼,或者使用FaceID登入銀行應用程式,那麼你知道如何使用密碼金鑰。


密碼金鑰是可以在特定生態系統中的其他設備之間同步的可發現的FIDO憑證。因此,在這種情況下,安全性不要求您對每個應用程式和服務使用的單個設備進行約束。你可以在不同設備上安全且方便地使用相同的密碼金鑰,無需受到單一設備的束縛。



為何便利對安全專業人員(和使用者)至關重要?


身分識別通常是安全漏洞的根本原因。在2022年,與憑證相關的釣魚攻擊數量激增61%。根據最新的Verizon DBIR(數據洩露調查報告)研究,被竊取的憑證占所有成功攻擊的50%。這是因為傳統密碼在當今高度網路化的世界中簡直無法勝任。


密碼金鑰是一個安全的替代方案。它們也非常容易使用。正是這種便利性使它們成為一個極具吸引力的替代方案。安全專業人員長期以來一直明白,如果政策或程序過於複雜或繁瑣,使用者將尋求繞過它們的方法。


這一點在2008年RSA的一項調查就被發現了:儘管大多數公司員工理解其組織安全政策背後的原因,但許多人仍然願意扭曲規則以完成工作。這到了在2022年也仍是事實,哈佛商業評論發現,企業中67%的員工明知違反安全政策卻仍持續這麼做,而在其中又有85%的人,說明這樣的行為是為了增加個人生產力。


如果人們在工作中不遵循資安的最佳作法,那麼他們在私人生活中遵循這些作法的可能性有多大呢?在那裡,風險似乎相對低,也沒有人強制執行資安規則。


最終,這突顯了為什麼便利性和易用性對資訊安全專業人員如此重要。如果有人在趕著壓倒性的截止日期工作,「違反公司內部的安全規則」可能會被視為可接受的風險。從心理角度來看,他們當前的需求優於您保護公司的需求。


而且,在我們在私人生活中使用的面向消費者的應用程式和服務的情況下,人們可能不認為他們有足夠的風險來實行完美的密碼衛生標準。有人很容易使自己陷入虛假的安全感,認為自己「目標太小而不值得成為目標」,但作為一名經驗豐富的安全專家,你當然知道保持不懈警惕的重要性。


僅僅擁有嚴格的規則、高質量和定期培訓,以及「安全文化」是不夠的。您需要阻止人們採取最終可能損害組織的捷徑,從而減少他們這樣做的動力。


密碼金鑰解決了問題的一部分。而身分識別是組織織中重要的一環,特別是考慮到後疫情時代遠程和混合工作的崛起,以及在個人和職業生活中對資訊技術(因此攻擊面更廣)的日益依賴。因此,將焦點放在這一點是有道理的。


替消費者把密碼換成密碼金鑰是一個簡單的勝利。它消除了使用者「改善不良的密碼習慣」之需要。消費者不再需要應對他們在日常工作中使用的無數應用程式、網站和服務的憑證所帶來的複雜性(以及認知負荷)。它還消除了人為錯誤的可能性,畢竟,根據Tessian和史丹佛大學的研究數據顯示:人為錯誤占所有安全漏洞的85%。


我相信,人們不是資安鏈中的薄弱環節,而可以成為組織對抗危險線上世界最堅強的防線。問題在於,直到現在,人們還沒有足夠的工具來充分保護自己,因此也無法保護他們所代表的企業。


通向無密碼未來的道路


我希望,最終,密碼會成為遙遠的記憶。有段時間,它們對我們有所幫助。但就像所有過時的技術一樣,它們將被更好的東西所取代。而我相信密碼金鑰就是那個「更好的東西」。

然而,要保持現實。過渡到密碼金鑰不會一夜之間完成。雖然將這項技術描述為「最前沿」可能不準確,但考慮到行業採用的快速速度,它們尚未達到臨界質量。


密碼金鑰的採用將是一個漸進的過程,將在未來的十年以及可能更長的時間內發生。然而,對於組織來說,現在是時候開始調查和採用密碼金鑰,因為基本工作已經完成。


Google、Microsoft 和 Apple 在它們的最新桌面和移動操作系統中都支持密碼金鑰。越來越多的消費者和企業應用程序已經實施了密碼金鑰支持,包括 PayPal、eBay、CloudFlare、Dashlane、GoDaddy 等等。每個月都帶來更廣泛的採用,因此,我們距離被主流接受越來越近。


開始使用通行密鑰


在您自己的應用程式中實施密碼金鑰也是一個完全可行的前景。由 Okta Customer Identity Cloud(由 Auth0 提供支援)支援,允許您在幾天內實施密碼金鑰,並可以與其他身分驗證方法和您的客戶或用戶一起過渡。


密碼金鑰最終將帶來一個更安全、更易使用的資訊世界。這是一個令人興奮的景象。儘管過渡需要時間,但值得記住,隨著每個應用程式或供應商為這項技術提供支援,您的組織的安全性也相應提高。而且您已經以一種容易讓您的客戶和同事接受的方式實現了這一點。




Comments


bottom of page