作者:FIDO工作人员FIDO 工作人员
Authenticate 2022大会于 10 月 17 日开幕,演讲者阵容强大,包括企业、服务提供商和政府机构,大家齐聚一堂,共同探讨强身份验证的现状和未来。
开幕式由FIDO联盟执行董事兼首席营销官安德鲁-希卡尔(Andrew Shikiar)主持,他详细介绍了过去一年所取得的进展。 Shikiar 提到的亮点之一是推出了通行钥匙。
FIDO认证专业人员计划也于2022年启动,为专业人员提供了验证技能的途径。 此外,还开展了一些旨在帮助加快 FIDO 强身份验证广泛部署的活动,以帮助提高可用性和采用率。
“我们的使命是减少业界对密码和传统多因素身份验证的依赖,”Shikiar 说。 “从第一天起,我们就有一个大胆的目标,那就是从集中存储的共享秘密转变为一种在本质上更加基于占有的、依赖于普通终端用户设备的模式,这一直是我们的指导原则。”
贝宝(PayPal)身份识别平台产品主管马尔西奥-梅洛(Marcio Mello)谈到了在线支付计划如何利用通行密钥来实现无密码的承诺。 Mello 演示了使用密码匙的工作流程,展示了用户认证的便捷性。
“关于密码键盘,梅洛说:”我想说,这是我们这个行业十年来致力于实现无密码世界的一个拐点。
从2015年任命董事会开始,NTT DOCOMO一直是FIDO联盟内外的领导者。 DOCOMO 协助制定了 FIDO 规范,是首家大规模部署 FIDO 身份验证的移动运营商。 Shikiar 欢迎 NTT DOCOMO 首席安全架构师 Koichi Moriyama 登上主题演讲台,并宣布 DOCOMO 打算为其数百万 d ACCOUNT 用户提供密码支持。 森山说,将于 2023 年初开始提供支持。
美国政府视 FIDO 为 MFA 的黄金标准
美国政府的网络安全和基础设施安全局(CISA)对强身份验证非常感兴趣。
“几十年来,我们一直知道密码是网络安全的薄弱环节,而多因素身份验证提供的额外保护可以防止网络攻击,”CISA 主任 Jen Easterly 说。 “然而,只有一小部分人在使用它”。
Easterly 强调说,CISA 正在积极推行多项举措,以帮助推动多因素身份验证 (MFA) 的采用,更具体地说是基于 FIDO 标准的强身份验证。
“我们借此机会将 FIDO 作为 MFA 的黄金标准和唯一广泛使用的防网络钓鱼身份验证方法进行重点宣传。
CISA 网络安全部门高级技术顾问鲍勃-洛德(Bob Lord)在 “2022 年认证 “会议上说,技术行业已经将这样一种观念常态化,即保持安全的重任落在了那些最不了解威胁状况的组织身上,这真是一件怪事。
“Lord 谈到强身份验证和 FIDO 的采用时说:”我们看到太多的组织失败了,部分原因是他们不知道需要这样做。 “那是因为他们没有正确的方向”。
Lord 和 Easterly 都主张技术供应商让用户更容易获得强大的身份验证,并在默认情况下提供安全性。
“Lord 说:”安全功能是我们客户的权利,它们不是奢侈品。
FIDO 身份验证具有社会影响
谷歌身份识别和反滥用技术高级总监乔纳森-贝拉克(Jonathan Bellack)概述了谷歌在用户采用 MFA 和无密码安全时遇到的一些挑战。
“贝拉克说:”我们的用户研究表明,至少从消费者的角度来看,用户不会区分我们在行业中使用的任何词语,如安全、隐私、滥用等,因为所有这些词语都与安全这个无定形的大圆球相吻合。
他指出,消费者的时间非常少,他们只想知道自己是否能在网上完成他们想要或需要完成的任何任务。 为此,贝拉克详细介绍了谷歌为在不增加摩擦的情况下嵌入安全性所做的多项努力。
Yubico公司首席技术官Christopher Harrell在发言中介绍了世界各地的组织如何使用FIDO身份验证来帮助保护自由和隐私。 Yubico 正在与新闻自由基金会和 “安全逃离行动 “等组织合作。 该公司已捐赠了 20,000 多把钥匙,用于支持乌克兰许多不同的政府机构。
“哈雷尔说:”我们确实希望战争尽快结束,但在此期间,我们希望能帮助保护基础设施免受网络攻击。
FIDO 用户详述采用挑战和机遇
用户故事是 2022 年 Authenticate 项目的重要组成部分,在会议的第一天就有很多用户故事。
Salesforce 产品管理高级副总裁 Ian Glazer 讲述了公司在采用 MFA 方面的高低起伏。 Salesforce 在 2019 年秋季决定,要在其所有服务中实现 100% 的 MFA 采用率,从那时起,公司就开始了这一征程。
Salesforce 在实现 100% MFA 采用率的过程中,既考虑了技术因素,也付出了巨大努力与用户互动,最终取得了显著成果。 Glazer 指出,在 Salesforce 财年结束时,约有 80% 的月活跃用户使用了 MFA 或 SSO。 虽然 80% 是一个明显的成就,但这并不是 Salesforce 设定的 100% 目标。 格莱泽强调,追求 100%的采用率迫使他的团队不断创新,想方设法推动采用率。
到目前为止,Salesforce 已经注意到采用 MFA 带来的多种好处,包括降低成本和提高安全性。
“Glazer 说:”由于我们采用了 MFA,账户被接管的情况大幅减少。
微软也在大力推动无密码体验的广泛应用。 微软身份管理高级项目经理斯科特-宾汉姆(Scott Bingham)和高级产品经理艾米丽-胡利汉(Emily Houlihan)在他们的会议上介绍了他们在无密码之旅中的经验教训。
宾汉姆说,微软多年来一直在推出支持临时一次性密码、安全密钥、验证器应用程序和 Windows Hello 的不同密码替代产品。 微软正在逐步取消密码。
“宾汉姆说:”人们需要无密码。 “安全固然重要,但用户体验也至关重要,有助于推动需求”。
为美国军人和退伍军人提供金融服务的 USAA 也在采用 FIDO 和 MFA 来帮助确保用户的安全。 USAA 的技术安全架构师 Dereck Henson 在发言中提供了一系列重要经验。
他学到的第一个经验是,最好从一开始就默认使用强身份验证。
“亨森说:”我们发现,让一个人开始学习一个有高度保障的艺术硕士课程,比说服他们以后改变主意要容易得多。
USAA 获得的另一个重要经验是,在采用无密码方法时,完全被动和不向用户展示已实施的身份验证并不是一种制胜方案。 Henson 说,USAA 会员纷纷打来电话,说他们已经是几十年的会员了,不敢相信他们可以只用指纹就登录。 为此,USAA 不得不在其身份验证工作流程中添加一些插屏,告诉用户他们的访问是安全的。
“他说:”因此,你不仅要有安全感,还要有安全的外表。
金融服务巨头花旗银行也采用了 FIDO 强认证方法。 花旗银行安全认证架构与技术工程总监马修-纳恩(Matthew Nunn)在发言中毫不讳言地谈到了为什么需要摒弃密码。
纳恩说,确实没有一种有意义的方法能让密码更安全。
“Nunn 说:”我们之所以要使用密码,而且使用了这么长时间,是因为我们受制于键盘是与系统交互的界面。
他补充说,有了无密码技术,用户不再受制于人,而且可以利用设备的功能进行身份验证,而不是让用户重复输入密码。
Authenticate 2022 的第二天将是充满深刻内容和讨论的一天,会议将讨论生物识别技术、消费者身份验证习惯、FIDO 计划和更多用户会议。 虚拟参会仍可注册,所有注册者均可按需访问往届会议。 如需注册,请访问www.authenticatecon.com。