作者:FIDO工作人员FIDO 工作人员
2022 年身份验证大会第二天的主题和发言人涉及身份验证领域的多个方面,包括支付安全、生物识别、国家身份和设计系统。
当天,Visa 高级总监 Doug Fisher 首先发表了主题演讲,探讨了全球支付系统的现状和面临的挑战。 费舍尔指出,虽然电子商务欺诈仍然是一个普遍存在的风险,但强大的在线身份验证功能有助于减少这种欺诈行为。
对于电子商务来说,更强的身份验证形式通常面临的一个挑战是,它会给消费者的购买过程带来更多的摩擦,从而导致购物车的放弃。 为了帮助解决这个问题,Fisher 解释说,FIDO 联盟、EMVCo 和 W3C 一直在共同努力,帮助提高互操作性,以减少支付验证的摩擦。 通过共同努力,目前正在制定的安全支付确认 (SPC) 标准得以出台
“SPC 是目前正在开发的网络标准,以 WebAuthn 为基础,支持在支付过程中简化身份验证。
费舍尔说。 “SPC和FIDO就像花生酱和果冻一样相得益彰”。
外交部的危险
并非所有的多因素身份验证(MFA)技术都是一样的,这是 KnowBe4 公司数据驱动防御布道师 Roger Grimes 主持的一场会议的主要信息。
Grimes 概述了一系列有可能使攻击者利用易受攻击用户的 MFA 绕过技术。 不过,他强调说,基于 FIDO 的强身份验证与 MFA 不同,它可以帮助消除许多中间人攻击,使绕过技术成为可能。
“格兰姆斯说:”MFA 攻击已经存在了几十年,但今年肯定会成为主流。
BankID 首席技术官 Heikki Palm Henriksen 最关心的是非 FIDO MFA 的风险。
Henriksen 的组织提供了一种在挪威广泛使用的数字身份证明。 BankID 于 2020 年开始关注 FIDO,并发现了该联盟编写的白皮书,这些富有洞察力的白皮书帮助 Henriksen 及其团队选择了 FIDO 并开始实施。
“Henriksen说:”我们意识到,FIDO2是实现BankID现代化以达到我们目标的最佳解决方案。
FIDO 的生物识别考虑因素
强身份验证可以利用生物识别技术,如指纹识别器或面部识别系统,作为身份验证器。
然而,生物识别系统并非都没有缺陷或偏差,克拉克森大学身份识别技术研究中心(CITeR)主任斯蒂芬妮-舒克尔斯(Stephanie Schuckers)讨论了这一问题。
“她说:”当我们谈论与生物识别技术有关的偏见时,我们真正谈论的是由于人口统计学或人口统计学差异造成的性能差异。
舒克尔强调,偏见与正在使用的具体技术实施有关,而不是与整个生物识别领域有关。 通过测试和认证,可以更好地了解和降低潜在偏差的风险。
亚马逊首席人工智能/ML 标准专家格雷格-坎农(Greg Cannon)与舒克斯一起参加了小组讨论,他强调,亚马逊的目标是帮助消除密码,而生物识别技术是实现这一目标的绝佳技术。
为了说明生物识别欺骗是一个测试可以帮助解决的问题,舒克尔在台上带来了一些道具,包括她自己的脸部面具,但这显然没有骗过她手机上的面部检测系统。
消费者的认证习惯
了解用户如何看待身份验证是了解需要做些什么来帮助提高采用率的一个重要方面。
FIDO 联盟每年都会进行一次调查,研究消费者的习惯,了解身份验证技术的发展趋势和采用情况。 FIDO Alliance 市场营销高级总监梅根-沙马斯(Megan Shamas)说,2022 年的调查显示,用户输入密码的次数在某些方面少于前几年,但这些数据远非定论。
人们对生物识别技术的看法也令人欣慰,认为这是一种有助于消除密码使用的潜在方法。
“沙马斯说:”消费者对生物识别技术的态度令我们非常满意。 “事实上,我们调查的很多消费者都认为这是最安全的登录方式”。
帮助减少远程身份验证欺诈
波士顿联邦储备银行负责安全支付创新和研究的副总裁玛丽安-克劳(Marianne Crowe)在台上呼吁整个身份验证生态系统加强合作,帮助防范欺诈。
Crowe 指出,消费者对密码已经产生疲劳,许多用户会在多个网站上重复使用相同的密码,这是一种不安全的做法。 MFA 很有帮助,但她指出,如今向消费者介绍 MFA 的方式往往不一致。
“Crowe 说:”我们必须努力提高 MFA 的实施率和采用率,即使是那些没有被要求这样做的行业和企业。
设计系统来到 FIDO
实现身份验证,特别是基于 FIDO 的强身份验证的一致性的方法之一是使用设计系统。
各组织现在可以从fidoalliance.org/design-system上的 FIDO 设计系统中获益,该系统提供原则、模式和可重复使用的组件。
“Trusona公司首席体验官Kevin Goldman说:”我们将所有这些整合在一起的目的是让产品设计师、项目经理、产品经理和工程师更简单、更快速地部署FIDO。 “我们的目的是填补他们在自己的设计系统中可能存在的身份验证方面的空白”。
2022 年身份验证大会的最后一天将是又一个充满有用内容、深思熟虑的讨论、更多用户故事和最佳实践的日子,以帮助企业迈向无密码的未来。 虚拟参会仍可注册,所有注册者均可按需访问往届会议。 如需注册,请访问www.authenticatecon.com。
