洞察力:分享网络安全的成败得失有助于改进工作 FIDO Alliance执行董事兼首席营销官安德鲁-希卡尔(Andrew Shikiar)解释了为什么围绕网络安全的保密文化会阻碍进步。
如果您的组织受到网络攻击,您会告诉别人吗?
从历史上看,答案肯定是否定的。 许多人认为,分享自己是目标的信息会暴露公司(或个人)的弱点,使自己更容易受到进一步的攻击或嘲笑。 但是,这种 “隐蔽安全 “的思维方式不仅已经过时,而且还阻碍了整个行业加强集体防御的能力,尤其是通过消除对密码和其他基于知识的凭证的依赖。
虽然今年全球使用密码登录的人数下降了 5-%-7%%,但到目前为止,密码仍是最常用的在线身份验证方法,这是一个大问题。 密码不仅极不安全,还令消费者头疼不已,并使企业蒙受损失;在过去一个月里,59% 的消费者在被要求输入密码时放弃了访问在线服务,43% 的消费者放弃了购物。 超过 82% 的数据泄露事件是由于登录凭证薄弱或被盗造成的。
多因素身份验证(MFA)的好处已被广泛报道,但许多公司却羞于分享其采用数据。
这可能是因为数字并不高。 去年夏天,Twitter 公布了双因素身份验证的采用率,显示只有 2.3% 的账户启用了双因素身份验证。 其中 80% 依靠短信备份,这是最不安全的模式。 传达这些信息并不会降低 Twitter 的安全性。 相反,它为改进工作树立了一个强有力的基准,并为行业提供了一个现实检验,即要让更多客户使用 MFA,仍有大量工作要做。
其他值得称赞的组织还有 Cloudflare 和 Twilio。 这两家云计算巨头最近报告称,它们遭到了近乎精确的网络钓鱼攻击。 假冒的 IT 部门向员工发送短信,引导他们访问一个要求更改密码的虚假网站。 Twilio 和 Cloudflare 的监控系统都没有检测到这次攻击,正如你所料,一些员工措手不及,共享了凭据。
虽然 Twilio 和其他几十家公司都受到了攻击,但 Cloudflare 的员工却受到了保护,因为他们使用的是与用户绑定的 Fast ID Online (FIDO) 安全密钥。 起源绑定还可防止共享任何凭证。 自事件发生以来,Twilio 已效仿 Cloudflare 的做法,并在其更新的事件报告中进行了分享。 这就是一个很好的例子,说明分享成功和失败同样会带来两个整体。
在FIDO联盟,我们正与世界领先的科技公司和消费者服务提供商合作,共同应对这一挑战。 我们共同创造的技术被越来越多的国家政府列为 “黄金标准”,包括美国网络安全机构 CISA 和英国国家网络安全中心。
为了以最佳方式抵御网络攻击,企业应从 Twilio 和 Cloudflare 的故事中汲取灵感,建立防网络钓鱼的安全协议。 这些协议通常通过 USB 密钥或设备上的内置生物识别身份验证功能来实现,可以为企业自身的网络和信息以及访问其服务的客户增加一个重要的安全层。
当然,我们在FIDO联盟所做的工作,即创造和实施新技术,是让世界摆脱密码和其他传统认证薄弱形式的重要一环,但这并不是最关键的一环。 如果我们想在日常生活中取消密码,那么全行业都致力于创建直观、通用的用户旅程,并以最佳架构实践为基础,这将促成文化转变和大规模采用这种技术。
协作和透明是提高所有相关人员–包括黑客–水平的关键因素,黑客需要更难实施远程攻击。