Fido说,部署强验证的时间
根据Tech Industry Partners的联盟,包括亚马逊,Facebook,谷歌,微软和英特尔的Fido联盟,根据Fido Alliance,根据Fido Alliance,所需的工具现已到位,包括亚马逊,Facebook,谷歌,微软和英特尔,这些联盟正在努力建立强大的标准验证。
“这是部署Fido身份验证的一年,因为所有的碎片都在那里进行,所有的平台都在支持它,因此不再有任何理由延迟,”Fido的首席营销官Andrew Shikiar说。
虽然组织可能无法立即消除所有密码,但2019年绝对是他们可以开始降低密码依赖性并减少管理密码的负担的年份,我们应该开始在接下来的两个内看到免费的免费在线体验年。
该联盟于2012年7月成立,通过解决强大的认证技术中缺乏互操作性,并解决用户面临的问题和记住多个用户名和密码的问题,以实现快速身份(FIDO)。
从那时起,FIDO已发布通用认证框架(UAF),以使认证器能够验证用户到设备和通用第二因子(U2F)协议,用于通过以下方式将第二因素FIDO认证安全性添加到基于密码的系统中一个符合Fido标准的USB密钥的验证者。
该方法使组织能够远离易受攻击的集中凭证商店,以便能够在本地到诸如智能手机或安全密钥的设备本地认证,该设备存储私钥,并且服务器仅保存公钥。
“当用户扫描其指纹时,例如,解锁私钥,然后将其与服务器上的公钥通信,以分散的方式使用公钥加密通过公钥加密来改变验证人的整体动态,”Shikiar说。
“私人和公钥之间的握手中有很多元数据,包括关于网址和网站的数据,因此它对网络钓鱼非常耐受。”
FIDO还建立了一个认证计划,以确保支持Fidouthentication标准的产品和服务的互操作性,并且最近完成了WEDO2项目,包括万维网联盟(W3C)Web身份验证规范(WebAuthn)和Fido的相应克朗-authenticator协议(CTAP)。
FIDO声称,FIDO2使用户能够使用常用设备在移动和桌面环境中对在线服务进行身份验证,现在多个主要的Web浏览器包括Chrome,Firefox和Microsoft Edge,已实现标准和Android,Windows 10及相关的Microsoft。技术支持支持FIDO身份验证。
“还有其他方法可以进行公钥加密和生物识别认证,但采用基于标准的方法,您具有更大的可扩展性和灵活性,因为现有数百种产品现在认证彼此互操作,这意味着组织不需要锁定在任何供应商中,“Shikiar说。
根据联盟的说法,完成FIDO2标准化工作和领先的浏览器供应商的承诺为其实施的新时代为普遍存在的硬件支持的Fido认证保护,为每个人都使用互联网。
“虽然没有密码的世界是最终目标,但现在我们的重点是在设备和浏览器中的FIDO启用,并且与密码的使用较少,较少使用,从而降低我们最近看到的可扩展攻击的可能性#1 Shikiar说,泄露了772.9百万封电子邮件,2120万密码和11亿个独特的电子邮件地址组合,“
“密码对企业有巨大风险。绝大多数违规是由弱和共享的凭证引起的,这为企业开辟了巨大的攻击面。密码也导致摩擦,由于密码问题,50%的购物车放弃,并且在与密码相关的企业内昂贵的IT支持呼叫的大量成本。“
根据FIDO,密码的成本是支持组织的需要切换到替代身份验证方法,这些方法将使流程降低并降低成本。
在美国,一份报告表明,潮流正在转向,通过数据泄露,网络钓鱼和法规驾驶快速采用强大的认证,并且自2017年以来,使用加密支持的消费者对消费者的强大认证增加了两倍,并且增加了近50%企业身份验证。
这种形式的身份验证不容易受到凭据的网络钓鱼,中间人和/或其他攻击,这些凭证是具有密码和一次性密码(OTPS)的已知漏洞,根据标枪战略和研究的强大认证状态2019年报告,由Fido Alliance赞助。
报告称,监管正在加速强大的认证采用,近70%的企业调查说,他们面临强大的监管压力,为客户提供强大的认证,并在推出修订后的服务指令(PSD2)以及数据保护法规等欧盟的一般数据保护条例(GDPR)和加利福尼亚州的消费者隐私法案。
报告称,持有强大身份验证的组织是对其业务和客户的风险,并指出,三分之二的企业仅使用密码来验证其员工,因为他们认为密码是“足够好”的类型他们正在保护的信息,尽管网络罪犯继续瞄准各种各样的消费和商业信息。
该报告还指出,并非所有强大的身份验证都是平等的。根据标枪,采用基于标准和使用加密安全的强大认证解决方案,如Fido身份验证,可以帮助组织降低保持监管,客户期望和越来越复杂的欺诈计划的成本。
报告称,是时候从OTPS远离OTPS,网络犯罪分子使用社会工程,手机移植和恶意软件来危及OTP验证器。Javelin建议采用加密支持的强大身份验证。
“鉴于数据泄露,网络钓鱼威胁和监管压力已经上升,虽然数据泄露,网络钓鱼威胁和监管压力升值,但与实施强大认证相关的金融和用户体验成本减少了,”高级副总裁兼研究总监“标枪。
“什么是不太令人鼓舞的是,我们发现持有人认为密码是充分的安全性。这些公司需要意识到他们可能认为的甚至数据是低风险可以为欺诈者提供重大价值,并将其暴露在监管审查中。
“因此,他们需要制定计划立即转向强大的认证,或者他们会发现自己对网络罪犯有吸引力的目标。”
Fido联盟执行董事Brett McDowell欢迎组织认识到密码,甚至OTPS,不提供足够的保护。
“我希望这项研究有助于提高对新的加密支持认证能力的认识,符合Fido联盟和W3C的行业标准,现在广泛地提供领先的网络和移动应用程序平台,”他说。
“这些功能使应用程序能够将帐户凭据绑定到用户的物理设备,因此无法通过远程攻击者进行PHOSE。平台将这些安全功能包装为用户的更方便的体验,使他们能够使用他们的手指,脸部或安全键登录所有最喜欢的网站和应用程序。“