作者:FIDO工作人员FIDO 工作人员
密码无处不在,企业和电子商务组织都比大多数人感受到痛苦,甚至更多。
在 3 月 29 日举行的 Authenticate 虚拟峰会:金融服务和商业中的身份验证上,行业专家和从业者概述了 FIDO 适合企业和客户登录。 在为期半天的活动中,通行密钥的主题是一个主要主题,演讲者概述了通行密钥的工作原理、适用范围以及为什么它们对于帮助世界摆脱传统密码和安全性较低的多因素身份验证至关重要。
FIDO 联盟执行董事兼首席营销官 Andrew Shikiar 在开幕式上就通行密钥可以为企业和商业用户带来的许多积极好处发表了一些见解。 这些好处包括帮助用户更快地上网,并获得更高的满意度。 通行密钥还可以帮助提高电子商务供应商的底线。
“如果你是一个电子商务供应商,想象一下将购物车放弃率降低10%,”Shikiar说。 “我们的数据显示,在过去六个月中不得不放弃购买的消费者中有50%是因为他们忘记了密码,这是一个巨大的机会成本。
虽然FIDO身份验证已经可供任何人使用十多年,但Shikiar指出,采用方面存在一些挑战。 在某种程度上,通行密钥是解决其中一些采用挑战的解决方案。 使用通行密钥,有一组更易于识别的通用术语,并且该技术还为用户提供了熟悉的流程,旨在减少摩擦。
Shikiar表示,在企业中,通行密钥非常适合BYOD [Bring Your Own Device] 身份验证等功能,允许员工使用手机上的应用程序登录。
“这越来越成为常态,而不是例外,而通行密钥非常适合这种环境,”Shikiar 说。
2023 年身份验证状态
不要误会,密码有很多问题。 为了在反对密码的论点中添加一些指标,HYPR 的首席营销官 Jay Roxe 从他的公司的 2023 年无密码安全状况报告中提供了一些见解。
Roxe 指出,真正让他印象深刻的一件事是,在过去一年中,HYPR 为该报告采访了五分之三的组织,其中有三个存在与身份验证相关的违规行为。 他补充说,这些组织中的每一个在12个月内都有近300万美元的成本与这些违规行为有关。 金融服务是受攻击最严重的垂直行业,81% 的金融服务组织记录了与身份验证相关的某种类型的攻击或违规行为。
HYPR 报告还试图发现为什么组织会转向部署强身份验证无密码方法。 Roxe强调,拥有良好的用户界面和流程至关重要,否则该技术将无法被采用。 事实上,该报告发现,组织希望采用无密码的首要原因是为了改善用户体验。
“在我们确定用户体验之前,我们从根本上不会比今天更好,”Roxe说。
密码匙 101
在活动中互动性最强的会议中,有一个是关于通行密钥如何工作的基础知识,这让主持人、FIDO 联盟营销高级总监 Megan Shamas 在会议结束时忙于处理参与的观众提出的问题。
会议实际上是从 Microsoft 的身份标准架构师 Tim Cappalli 开始的,他概述了 FIDO 标准的历史路径。 沿途的重要里程碑包括 2014 年 U2F 规范的首次亮相、2017 年的 FIDO2、2019 年的 WebAuthn 以及去年通行密钥的出现。
“这是一段旅程,”卡帕利说。 “我们认为,在过去的两到三年里,我们确实已经迈向了让人们超越密码的最后一步。
Cappalli 概述了通行密钥的工作原理以及该方法的主要优势。 他解释说,密钥从根本上说是具有一些新属性的 FIDO 凭据。 Cappalli 强调的属性包括:
- 自动填充。 使用自动填充功能,就像用户今天使用密码管理器的体验一样,密钥可以自动注入到现有网站的身份验证流程中。
- 跨设备身份验证。 通行密钥不是将凭证严格绑定到单个设备,而是使凭证在环境中具有持久性,例如,使手机能够引导另一台设备或生态系统。
支持大规模采用 FIDO
很少有专业人士像Marcio Mello那样拥有大规模部署FIDO的经验,他曾在PayPal,Intuit和eBay领导工作。
Mello 非常详细地概述了组织可以而且应该采取的步骤来支持 FIDO 强身份验证。 在他看来,好处是显而易见的。
“我们尽快开始在 eBay 进行 WebAuthn 部署,几乎立即看到了好处,”Mello 说。
对于Mello来说,密钥是向前迈出的又一大步,因为它将减少消费者的摩擦,并有望实现大规模采用。 从根本上说,通行密钥所承诺的易用性才是真正的关键。
“消费者希望看到并使用密码,”他说。 “是的,每个人都厌倦了它们,但这就像吸烟一样,大多数吸烟者都想戒烟,但他们不能,当然他们知道这很糟糕,但你需要有动力和非常低的能力标准才能推动习惯的改变。
FIDO 和零信任
在安全领域,零信任是一个越来越普遍的概念,它提倡一种方法,即需要不断验证用户和实体以限制风险。
对于 Beyond Identity 的首席战略官 Kurt Johnson 来说,FIDO 身份验证和零信任之间存在明显的交叉点。 毕竟,零信任的核心基础是需要不断对用户进行身份验证,如果组织没有使用强身份验证,那就是一个薄弱环节。
约翰逊说,对于零信任,有必要评估和建立对用户身份的高度信任。 这无法通过密码有效地完成,这就是需要FIDO认证身份验证的地方,这是不可钓鱼的。
帮助亚马逊实现以客户为中心的目标
亚马逊运营着世界上最大的电子商务网站之一,也是FIDO联盟的坚定倡导者和支持者。
亚马逊全球消费者技术首席产品经理Yash Patodia表示,他的团队一直在寻求提高可用性。 改进的努力之一是尽可能删除密码。 Patodia表示,亚马逊使用FIDO安全密钥来保护自己的内部安全,这运行良好。
虽然安全密钥已经满足了亚马逊自己的内部需求,但他指出,消费者可能很难采用它们。 这也是他对密钥特别兴奋的众多原因之一。
“我认为这是密码、OTP(一次性密码)和安全密钥世界的一大飞跃,”Patodia说。 “我能看到 passkey 的一些好处是,它确实让客户非常容易使用。”
让消费者更轻松对亚马逊整体来说至关重要,因为它是公司使命的核心。
“我们在亚马逊有这个术语,我们经常使用客户至上,”帕托迪亚说。 “这对我们来说非常合适,因为这实际上是一款客户至上的产品,我们让客户很容易做他们想做的事情。”
PNC BANK 希望通过 FIDO 保护其用户
PNC银行的首席信息安全官Susan Koski非常了解密码的挑战,这就是为什么她是FIDO的坚定拥护者和支持者。
她指出,犯罪分子正在追查用户密码,以接管帐户。 她试图帮助限制的风险之一是可钓鱼凭据的风险,例如密码。
“我们确实希望减少这些可钓鱼的凭据,但我们以客户想要使用该服务的方式进行,”Koski说。 “平衡安全性和客户体验。我认为这只是一段时间以来我们在网络空间信息安全方面的口头禅。
Koski表示,PNC银行已将FIDO作为帮助逐步实现无密码的一种方式。 采取标准化方法的重要性也至关重要,这种方法受益于广泛参与者的支持和参与。
“密码已经存在了 50 多年,现在是时候了,我们是时候超越密码了,”Koski 说。
通行密钥的企业指南即将推出
展望未来,FIDO Alliance 的 Megan Shamas 概述了正在进行的一系列工作,以帮助为密钥提供更多企业指导。
“我们将发表一组五篇论文,以解决我们希望成为企业中大多数用例的问题,”Shamas说。
这五篇论文包括:
- 企业中的通行密钥简介
- 如何将仅密码身份验证替换为通行密钥
- 如何使用通行密钥替换密码 + 短信 OTP 身份验证
- 用于中等保证使用的 FIDO 身份验证
- 高保障企业 FIDO 身份验证
“如果您想参与有关企业需求的对话,请与我们联系,”Shamas说。 “现在是时候就我们如何从企业角度看待通行密钥发表意见了。”
