研究公司建议组织在过时的在线安全实践和越来越多的违规行为中采用高保证的强身份验证
MONEY20/20 拉斯维加斯,2017 年 10 月 24 日 — 根据 Javelin Strategy & Research 的数据,企业继续依赖密码,而那些实施额外身份验证因素的企业正在选择过时的选项,例如静态问题和 SMS 一次性密码 (OTP),这些选项使他们容易受到数据泄露的影响 新的“2017 年认证状态报告”今天发布。 Javelin 建议企业采用现成的高保证强身份验证,该身份验证利用公钥加密作为多种因素之一,以增强安全性,以应对针对传统身份验证方法的日益有效的攻击。
该报告由 FIDO Alliance赞助,分析了美国企业中客户和企业(员工)身份验证的状况。 报告探讨了强身份验证的演变过程,并详细分析了影响各行业采用身份验证解决方案的因素。 可从以下网址下载: https://fidoalliance.org/2017-state-authentication-report/。
报告的主要发现显示:
- 在大多数情况下,公司 IP 和黑客之间唯一的就是密码: 密码的大规模泄露增加了消费者帐户欺诈和撞库僵尸网络攻击造成的网络级攻击的风险,但超过一半的企业仍然只使用密码来保护公司 IP 和财务数据。
- 与企业内的员工相比,公司更有可能为其客户提供强身份验证,但这两个细分市场在采用高确定性强身份验证方面都落后: 50% 的企业在验证客户身份时至少提供两个因素,但只有 35% 的企业使用两个或更多因素来验证其员工对数据和系统的身份。 在这两者中,高可靠性的强身份验证很少见——只有 5% 的企业向客户提供该功能或在企业内利用它。
- 公司仍然依赖知识而不是财产: 最弱的身份验证因素仍然是最流行和最常见的,它们基于知识,而不是拥有。 企业正在使用密码加静态问题(31%)或短信OTP(25%)作为在线客户身份验证的额外因素。 在企业中,密码的下一个最常见的身份验证方法是静态问题(26%)。 基于拥有安全密钥或设备上生物识别技术等因素仍然是例外,而不是常态。
- 集成和用户体验是重中之重: 报告称,公司实施身份验证解决方案主要是由解决方案的易集成性驱动的。 此外,如果解决方案对用户体验产生负面影响,公司将求助于更简单的第二个因素,例如静态安全问题。
“并非所有的多因素身份验证组合都是一样的,现在是时候设定一个新的标准来衡量强大的身份验证方法,最强的被认为是’高保证’,”Javelin Strategy&Research高级副总裁兼研究总监Al Pascual说。 “许多消费类设备都配备了内置功能,可实现高保证的强身份验证,从而降低所有利益相关者的成本和复杂性。我们相信,在未来的几个月和几年里,采用高可靠性的强身份验证只会增加,而由于凭据盗窃导致的数据泄露事件将减少。
高保证的强身份验证不易受到网络钓鱼、中间人和/或其他针对凭据的攻击,这些攻击是密码、静态问题和 OTP 的已知漏洞。 Javelin 建议公司强烈考虑高保证的强身份验证:
- 在违规后加强身份验证。 补充和可能的知识因素解决方案。 如果发生违规行为,企业最好在补救计划的同时分层额外的、高可靠性的身份验证解决方案。
- 作为向潜在客户强调价值主张的差异化因素。 使用高保证的强身份验证既是一种有效的预防措施,也向潜在客户和客户传达了他们与供应商开展业务是安全的信息。
- 它在企业中的重要位置。 任何面向互联网的系统和内部系统,如果这些系统是内部威胁的有吸引力的目标,都应该具有高确定性的强身份验证。
“我们今天的许多商业交易都是通过互联网进行的,我们一次又一次地看到,密码,甚至是一次性密码,都不能提供足够的保护来抵御当今的威胁,” FIDO Alliance执行董事 Brett McDowell 说。 “更强大的’高保证’身份验证选项将凭据绑定到设备,使其不会被盗,现在已经广泛使用,本报告为企业提供了明确的指南,使客户和员工都可以使用这些选项。”
Javelin的Al Pascual和 FIDO Alliance的Brett McDowell将在10月25日的Money20/20研讨会上讨论“2017年认证状态报告”。 欲了解更多详情,请访问: https://us.money2020.com/sessions/identity-is-fundamental-what-you-need-to-know-about-identity-the-future-of-money
任何有兴趣深入了解 2017 年认证状态报告的人都应参加美国东部时间 11 月 16 日星期四中午 12:00 的免费网络研讨会。 在此处注册参加 Javelin Research 2017 年认证状态报告网络研讨会 。
报告方法:
“2017 年认证状态报告”由 Javelin Strategy & Research 开发,并由 FIDO Alliance赞助。 该报告的调查结果基于对 200 家拥有经过身份验证的客户在线或移动门户的企业和 200 家拥有经过身份验证的员工门户的企业进行的两项在线调查收集的数据和见解。 此外,还通过对影响企业身份验证策略的行业高管进行深入访谈,进一步丰富了调查结果。 高确定性强身份验证的定义基于美国国家标准与技术研究院 (NIST SP800-63-3) 的最新指南。
关于 FIDO Alliance
FIDO(在线快速身份识别)联盟 ( www.fidoalliance.org) 成立于 2012 年 7 月,旨在解决强身份验证技术之间缺乏互操作性的问题,并解决用户在创建和记住多个用户名和密码时面临的问题。 FIDO Alliance正在通过更简单、更强大的身份验证标准来改变身份验证的性质,这些标准定义了一组开放、可扩展、可互操作的机制,以减少对密码的依赖。 在对联机服务进行身份验证时,FIDO 身份验证更强大、更私密且更易于使用。
