<
>

2019年新闻稿

2019年2月21日

没有密码的互联网:预测或管道梦想?

没有人喜欢使用密码。用户发现它们不方便,难以记住,公司越来越多地发现它们的安全需求不足。尽管如此,数十年来,用户名密码组合仍然是转到身份验证方法。
 
密码在海湾保持网络犯罪分子的能力最不佳。一种 Verizon DataBreac区调查报告 透露,81%的主要数据泄露追溯到单一受损的身份。
 
由此产生的成本是巨大的。一种 弗罗斯特和沙利文研究 去年,表明,由于网络安全事件,亚太地区的经济损失可以达到惊人的1.745万亿美元,超过该地区的百分之七大GDP!
 
问题的根源在于,旧的认证系统基于共享秘密模型,其中用户的凭据在交易的两侧都知道。通常,用户需要为每个帐户具有复杂的,唯一的密码,该帐户具有数字和字母的混合。但是,平均水平 用户今天有超过90个在线帐户,这使得继续使用此模型不切实际。 
 
与此同时,由于在线服务构建其消费者基础,用户凭据(用户名和密码)通常存储在中央数据服务器或位置。单个成功的泄露可以允许网络犯罪分子访问数百万用户名密码对,然后在暗网上转售。这导致凭证填充,这悄然成为全球企业的主要瘟疫 - 以上80%的企图电子商务网站登录正在填充尝试。
 
由于许多消费者重复使用密码,填充成功率约为2%,这是令人生畏的业务(根据2017年) 形状安全)。
 
因此,数据泄露的循环仍在继续。  
 
共享秘密问题并不是新的,而且该行业多年来在多年来解决了几个方法来解决这个问题。最普遍的是使用一次性密码(或OTPS)来提供认证的第二个因素(2FA)。
 
新加坡仔细回到家中,自2016年7月以来,新加坡已授权使用OTPS进行所有敏感电子政务交易,以及大部分必需品 政府电子服务现在需要2FA。此外,这里的银行在登录时法律义务实施2FA。
 
第二层认证,具有与专用OTP设备,移动应用程序或通过SMS一起传递的一次性密码,肯定加强了安全性,但以简单性和用户体验的成本 - 最尴尬,强制使用者Juggle设备和/或在应用之间切换。 OTPS仍然是共享的秘密(尽管具有较短的寿命),其易于通过矛网络钓鱼和其他手段重播攻击 - 这导致账户收购。
 
显然密码是一种失败的方法,而OTPS则显示出显着的可用性挑战,同时不充分减轻安全风险。正如我们不使用Windows 95或拨号调制解调器的那样,我们是时候升级了我们的身份验证进程。
 
但是没有密码的互联网真的可以吗?
 
输入Fido联盟
 
FIDO(快速身份在线)联盟成立于2013年,是一个非营利组织由技术行业合作伙伴组成,共同建立强大认证标准。 Fido是行业对世界密码问题的答案,具有跨越边界和行业的领先公司,集体专注于创建开放标准和支持产品和程序的生态系统,以实现更简单和更强大的用户身份验证。 
 
FIDO方法的核心是引入FIDO认证器的概念,它是一个设备的安全部分,用户身份验证凭证存储为私钥 - 每个服务或登录均为唯一的。这些密钥在帐户注册点确立,此时服务提供商在其服务器上存储相应的公钥。
 
当用户返回网站或应用时,她首先通过简单的手势验证自己,例如刷手指,输入引脚,进入麦克风,插入第二因子设备或按下按钮。挑战/响应对话发生在符合私有和公共钥匙的场景后面,该私人和公共钥匙还包括关于验证者和网站或应用程序的关键元数据,完全是独一无二的 - 从而消除了网络钓鱼或帐户收购的威胁。 
 
保持私钥驻留到设备的驻地带来了额外的隐私福利,因为消费者始终拥有其认证数据。此本地化认证与欧洲的规定很好,如修订后的支付服务指令和一般数据保护规则。它还解决了与滥用其生物识别凭证相关的常见用户担忧 - 这是良好的,因为从集中存储库中的生物识别器被盗可能导致无法挽回的危害,因为不可能撤销一个人的指纹或虹膜扫描。
 
Fido的方法也会消除在集中式存储库中存储凭据的要求 - 这两者都更改了Wipl-Be Hackers的威胁景观,并开始通过限制其下游曝光,使服务提供商的身份验证过程失败数据泄露。
 
通过利用公钥加密技术,智能设备可用于提供更强的身份验证而无需负担用户。
 
今天密码仍然是限制访问和保护数据和信息的访问。这种过时的方法为消费者和企业产生了风险,同时威胁到了所关联经济的诚信。幸运的是,来自世界各地的领先公司都在整个行业机构中共同集中在一起,例如Fido联盟,以创建能够现代化用户认证过程的行业范围的解决方案。 Fido的身份方法允许组织更好地保护数据和信息,同时增强用户体验和减少摩擦。
 
没有密码的世界终于在制作中。