我们都讨厌密码。我们讨厌记住他们。我们讨厌每90天改变它们。我们讨厌他们的复杂性规则。这是一个好消息:密码过时。未来将在线使用快速身份(Fido)。
文章|6M阅读
10月8日,2020年
几十年来,密码已核心访问安全性。他们开始作为一种方式分享访问大型计算机计算机在20世纪60年代,我们依靠密码来保护敏感数据以来以来的每一个在线活动。但是,作为安全机制,密码已经显示了他们的年龄。恶意黑客和其他糟糕的演员长期以来,窃取密码更容易被闯入网络或应用程序,这就是verizon在2019年报告的原因80%的黑客相关的违规行为涉及被盗或弱凭证。
它没有秘密,我们必须解决与密码相关的访问安全风险。这导致了更加采用双因素认证和零信任安全。但只要我们依赖密码来保护员工登录凭据,我们将继续将我们的组织公开为赎金软件,网络钓鱼和社会攻击等风险。在这篇文章中,我会争辩为什么我们是时候让我们永远退出密码,以及在线身份(Fido)技术如何为我们提供更好的方式。
80%
与黑客相关的违规涉及被盗或弱凭证
当用户为简单而不是安全性选择它们时,会出现密码的主要问题。想想当您要求密码时:您必须记住它的上下文以及您使用的密码使用哪个网站。也许您使用Password Manager或浏览器扩展,如LastPass为每个登录创建长期和复杂的密码。在这种情况下,您可能正在将密码复制和粘贴到输入字段中,而不是手动键入它。如果您处理物质敏感或分类信息,您也可以使用CAC卡或多因素身份验证来验证您的身份,但用户很少采用这些附加访问步骤,除非它们是必需的。
当用户为简单而不是安全性选择它们时,会出现密码的主要问题。
Kurt Roemer.
首席安全战略赛立特赛
简而言之,大多数用户希望最简单的方法播放登录屏幕并进入他们想要访问的应用程序或站点。但是,这通常会导致用户采用简单易于猜测的密码,然后在多个登录中通过一个数字或字母改变它们。虽然这些基本密码很容易记住,但它们也很容易对当今的黑客来到基于云的技术可以蛮力猜测八个字符的密码只需12分钟即可。对于任何可以阅读用户已复制到其计算机的剪贴板的应用程序也很容易使用应用程序,这引入了使用密码管理器的另一个缺陷。
我们试图调整我们的密码策略以加强我们的访问安全性。但是它是否强制执行密码复杂性规则,需要定期凭证更改或使用密码管理器,我们所有的密码加强方法都面临权衡和问题。员工忘记了他们使用哪些复杂密码,或者每次更改凭据时使用同一弱密码的简单变体。一个密码管理器,为多个登录创建复杂的访问凭据仍然可以依赖于单个用户密码来登录管理器。如果用户的个人设备丢失或被盗,甚至物理安全键或两因素身份验证也可能会受到影响。简单的真相?密码不足以保护我们免受现代网络攻击。
Gartner预测到2022年,60%大型企业和几乎所有中型组织将使他们对密码的依赖减少一半。如果密码是访问安全的过去,则在线快速标识是未来。也称为Fido身份验证,此访问安全技术“使密码登录只能用安全和快速的登录体验替换。”今天,FIDO2基于Web的API使用户可以通过生物识别,移动设备或专门的安全令牌替换密码与用户始终与它们具有的东西进行身份进行身份验证,并且不能被盗。
以下是Fido身份验证的工作原理:
依靠生物识别和FIDO2身份验证,都简化了用户体验并增强了访问安全性。除了启用快速和安全的访问外,这意味着用户不必记住并不断更新一系列复杂密码。组织又会增加其访问安全性,可能需要不同的生物识别身份验证以保护敏感数据。\
密码是互联网的僵尸 - 它们将永远存在,但您的组织不需要被他们困扰。通过拥抱FIDO身份验证,您可以释放员工,合作伙伴和第三方用户必须通过使用生物识别用户认证用户来终止定期更改和复杂的密码,并加强您的访问安全性。
通讯