作者:FIDO工作人员FIDO 工作人员
Authenticate 2022大会的最后一天内容丰富,包括用户故事、思想领袖和小组讨论,探讨了FIDO强身份验证在当前和未来几年所面临的挑战和机遇。
今天的第一个用户故事来自全球科技公司EMD集团/默克集团,该公司目前正在使用FIDO来帮助改进自己的身份验证系统。 该公司身份和访问管理领域架构师丹尼斯-克尼普(Dennis Kniep)解释说,他的团队的任务是帮助确保公司的安全,他认为FIDO在其中发挥了重要作用。
EMD Group / Merck KGaA在实施FIDO过程中面临的一个挑战是,有许多传统应用程序和服务不支持现代网络标准。
“克尼普解释说:”我们开发了分离认证机制。 “有了这种机制,即使用户需要访问带有传统后端的应用程序,也能以防网络钓鱼的方式通过 FIDO 进行身份验证,这意味着我们可以强制执行 FIDO。”
公平和包容至关重要
在 “真实 2022 “会议上,一个反复出现的主题就是公平和包容的必要性。
其中一个专题讨论小组专门探讨了认证和身份识别系统的包容性问题。 Venable LLP 网络安全服务高级总监 Jamie Danker 评论说,在解决问题时,试图解决特定问题的人员构成会对解决方案产生影响。
Danker 指出,美国政府总务管理局(GSA)最近完成的一项公平与包容性研究提供了一些真实的经验数据,说明远程身份验证解决方案将如何实际运作。
Danker 还提到了 NIST 数字身份指南,该指南目前正在更新到第 4 版。 她指出,NIST 已经非常明确地表示,公平考虑将是其中的一部分。
安全不仅仅是网络界面
FIDO 强身份验证有助于为许多不同类型的系统提供身份验证,但它并不是一种适用于所有访问类型的通用选项。
“CVS Health 的 EIS 首席总监 John Poirier 说:”每个人都在谈论网络和移动,却没有人谈论联络中心。
Poirier 解释说,当密码失效或用户无法访问时,他们会打电话到联络中心寻求帮助。 他强调,有必要确保联络中心的安全政策、程序和技术到位,既能保证访问安全,又不会带来太多摩擦。
Allthenticate 首席执行官 Chad Spensky 及其联合创始人兼首席运营官 Rita Mounir 也讨论了将强身份验证扩展到所有类型设备的想法。
“斯宾斯基说:”FIDO协议目前只能与网站和电脑对话。
Spensky 希望帮助将强大的身份验证功能应用到各种类型的设备和访问中,从汽车到办公室大门,无所不包。
驾驭身份验证环境
在主题演讲中,微软公司身份标准总监帕梅拉-丁格尔(Pamela Dingle)像海盗一样发言,警告乘客不要掉下船。
船的比喻是帮助乘客安全抵达目的地,而这并不总是一件容易的事。 丁格尔说,微软每秒钟要阻止 1000 多次密码攻击,并概述了密码成为薄弱环节的多种原因。 她强调,用户应该穿上救生衣,这在现实世界中就是用户多因素身份验证(MFA)。
虽然 MFA 存在风险,但 Dingle 说这是许多人迈出的正确的第一步,直到他们能够转而使用 FIDO 进行防网络钓鱼的强身份验证。
“她说:”在 10,000 个受到攻击的账户中,只有一个是 MFA 凭据攻击。 “了解易受密码攻击和易受 MFA 旁路攻击之间的风险差异真的很重要”。
尽管如此,她指出,抗网络钓鱼凭证之所以如此强大,是因为它们不易受到与 MFA 易受攻击的可预测行为完全相同的行为的影响。 丁格尔还指出,她对 passkeys 的潜力非常乐观。
“她说:”如果我们做得好,通行证就会成为座垫,成为乘客的漂浮装置。
在大规模身份识别中赢得信任
亚马逊是目前最大的电子商务和云计算平台之一,它确实需要强大的身份验证功能,而且越来越依赖FIDO来满足这些需求。
亚马逊 Cognito 产品主管 Sarah Cecchetti 解释说,身份识别由亚马逊网络服务的平台团队负责。 她指出,身份识别需要为 AWS 的每项服务制定一致的安全性和可用性标准。 为此,AWS 建立了一个使用 FIDO 的模块化集中式方法。
AWS 用户身份验证产品高级经理 Arynn Crow 说,公司在 FIDO2 上投入了大量资金。
“Crow说:”我们继续投资,因为从根本上说,我们相信FIDO支持更大的灵活性。 “我们在用户体验和安全之间的取舍更少”。
可用性是采用强认证的关键
在关于可用性的小组讨论环节中,出现的一个关键主题是,FIDO的应用要想不断扩大,就必须具备良好的可用性。
摩根大通副总裁、数字身份验证产品经理朱迪-克莱尔(Judy Clare)评论说,用正确的语气传递强大的身份验证信息和工作流程至关重要。
“克莱尔说:”正确的措辞以及让普通用户清晰、简单、易懂是非常重要的,这样你就不会因为使用所有技术术语而排斥任何人。
Duo Security 公司高级产品设计师 Sierre Wolfkostin 也认为语言要清晰。 沃尔夫科斯坦说,很难采用你无法理解的东西。
“沃尔夫科斯坦说:”掌握简单的人类语言非常重要。
可用性还在于确保有一个充满活力的供应商和技术生态系统,能够帮助大小企业首先真正实施FIDO强身份验证。
谷歌产品经理克里斯蒂安-布兰德(Christiaan Brand)在会议闭幕式上表示,虽然人员配备齐全的组织可能能够自行实施强大的身份验证和密钥选项,但许多其他组织需要帮助。 这种情况与其他企业技术很相似,企业利用顾问和服务提供商来实施复杂的技术。
CISA高级技术顾问鲍勃-洛德认为,最好的办法就是从FIDO开始。 他强调,组织应关注他们能做什么,而不是他们不能做什么。
“洛德说:”我认为,在开始的时候有很多犹豫。 “我认为,如果他们开始这段旅程,很多误解就会消失,他们会发现自己的误解是错误的”。
明年在圣地亚哥
在闭幕式上,FIDO联盟执行董事安德鲁-希卡尔(Andrew Shikiar)强调了本次活动的关键主题。
这些主题是:部署是真实的,组织可以而且应该从今天开始。 可用性是另一个经常出现的强烈主题,是帮助确保采用的关键。 社区安全的概念也在会议上引起了共鸣,用户们相互学习经验教训。
归根结底,2022 年 “真实身份验证 “会议取得了巨大成功,共举办了 90 场会议,涉及三个方面和三天的内容。
明年,Authenticate 2023 将移师圣地亚哥举办。
