2022 身份认证高端论坛:第一天回顾
发布时间:2022-11-11 06:30:12|浏览次数:372
2022 身份认证高端论坛于10月17日举行,包括企业、服务提供商和政府机构在内的众多演讲者齐聚一堂,讨论强身份认证的现状和未来。
开幕式由FIDO联盟执行董事兼CMO Andrew Shikiar主持,他详细介绍了过去一年取得的进展。Shikiar提到的亮点之一是推出了PassKey。
FIDO专业人员认证计划也于2022年启动,为专业人员提供了认证技能的途径。还开展了一些工作,以帮助提高可用性,并采用旨在帮助加快FIDO强身份认证的广泛部署的举措。
Shikiar说:“我们的使命是减少业界对口令和传统多因素身份认证的依赖。”“从第一天起,我们就有了一个大胆的目标,即从集中存储的共享秘密变为更基于‘所有’并依赖通用用户终端设备的模式,这是我们的指导原则。”
PayPal身份平台产品主管Marcio Mello谈到了其在线支付时,如何利用PassKey来实现无口令认证。Mello演示了使用PassKey的工作流程,展示了用户身份认证的简单。
Mello在谈到口令时表示:“我想说,这是我们作为一个行业,对无口令长达几十年依赖的转折点。”
自2015年董事会任命以来,NTT DOCOMO一直是FIDO联盟内外的领导者。DOCOMO帮助制定了FIDO规范,是第一家大规模部署FIDO身份认证的移动运营商。Shikiar欢迎NTT DOCOMO的首席安全架构师Koichi Moriyama来到主题演讲台,他宣布DOCOMO打算为其数百万d ACCOUNT用户提供PassKey支持。Moriyama表示,支持将于2023年初开始。
美国政府将FIDO视为MFA的黄金标准
美国政府的网络安全和基础设施安全局(CISA)非常积极地关注强身份认证。
CISA主管Jen Easterly说:“几十年来,我们都知道口令是网络安全的薄弱环节,多因素身份认证提供的额外保护层可以防止网络攻击。”“但只有一小部分人在使用它。”
Easterly强调,CISA正在积极推行多项举措,以促进采用多因素身份认证(MFA),更具体地说就是FIDO标准的强身份认证。
“我们正在利用这个机会聚焦FIDO,将其作为MFA的黄金标准,这也是唯一广泛使用的防钓鱼身份认证方法。”
CISA网络安全部门高级技术顾问Bob Lord告诉Authentiate 2022观众,科技行业将安全防护的重担放在那些最不了解威胁形势等情况的组织身上,这是一件奇怪的事。
Lord在谈到强身份认证和FIDO采用时表示:“我们看到太多的组织失败了,部分原因是他们不知道自己需要这样做。”“这是因为他们没有什么东西能把他们推向正确的方向。”
Lord和Easterly都主张技术供应商让用户更容易进行强身份认证,并在默认情况下提供安全性。
Lord说:“安全是我们客户的权利,它们不是奢侈品。”
FIDO认证具有社会影响
谷歌身份和反滥用技术高级总监Jonathan Bellack概述了谷歌对采用MFA和无口令安全的用户所面临的一些挑战。
Bellack说:“我们的用户研究表明,至少从消费者的角度来看,用户并没有区分我们在行业中使用的任何词语,如安全、隐私、滥用,因为这一切都符合这个巨大的无定形安全漏洞。”
他指出,消费者的时间很少,他们只想知道他们是否可以在线完成他们想要或需要完成的任何任务。为此,Bellack详细介绍了谷歌正在进行的多项努力,通过易操作的方式嵌入安全。
Yubico首席技术官Christopher Harrell在会议期间解释了世界各地的组织如何使用FIDO身份认证来帮助保护自由和隐私。Yubico正在与新闻自由基金会、安全逃生行动等组织合作。
FIDO用户详细介绍了采用的挑战和机遇
Authenticate 2022计划的一个关键部分是用户故事,在会议的第一天有很多内容要讲。
Salesforce产品管理高级副总裁Ian Glazer描述了公司采用MFA的努力的高潮和低谷。Salesforce在2019年秋季决定,希望在其服务中实现100%采用MFA,这是该公司从那以后走过的旅程。
Salesforce实现100%采用MFA的道路既涉及技术方面的考虑,也涉及与用户互动的大规模努力,从而取得了坚实的成果。Glazer指出,在Salesforce今年财年结束时,大约80%的月活跃用户正在使用MFA或SSO。虽然80%是一项显著的成就,但这并不是Salesforce设定的100%目标。Glazer强调,追求100%的采用率迫使他的团队继续创新,并找到推进采用率的方法。
到目前为止,Salesforce已经注意到采用MFA的多种好处,包括降低成本和安全改进。
Glazer表示:“由于我们采用了MFA,我们看到账户被盗用大大减少。”
微软也在努力推动广泛采用,因为它旨在为用户提供无口令体验。身份项目高级经理Scott Bingham和微软高级产品经理Emily Houlihan在他们的会议上解释了到目前为止他们在无口令旅程中吸取的教训。
Bingham说,微软多年来一直在推出对临时一次性口令、安全密钥、身份认证应用程序和Windows Hello的支持,作为不同的口令替换产品。微软越来越倾向于完全取消口令。
Bingham说:“人们希望无口令。”“安全性很重要,但用户体验至关重要,有助于推动需求。”
为美国军人和退伍军人提供金融服务的美国陆军部(USAA)也正在采用FIDO和MFA来帮助保护其用户的安全。USAA的技术安全架构师Dereck Henson在他的演讲中提供了一系列关键经验教训。
他学到的第一个教训是,从一开始就应默认使用强身份认证。
Henson说:“我们发现,在一个已经启用MFA、高度安全的程序中启动FIDO,比从新说服他们以后改变主意容易得多。”
USAA学到的另一个关键教训是,当采用无口令方法时,但又不向用户表明细节、就直接无口令认证,这不是一个成功的方案。Henson说,USAA成员打电话进来,说他们已经成为会员几十年了,简直不敢相信他们能用指纹登录。为此,USAA不得不在其身份认证工作流程中添加一些间隙告示,告诉用户他们的访问是安全受保护的。
他说:“所以,你不仅要有安全感,还必须看起来很安全。”
金融服务巨头花旗也采用了FIDO强身份认证方法。花旗安全认证架构和技术工程总监Matthew Nunn在他的演讲中毫不避讳地谈到了为什么需要远离口令。
Nunn说,真的没有一种有意义的方法可以让口令更安全。
Nunn说:“之所以使用口令,而且使用了这么久,是因为我们被作为与系统交互的接口的键盘所束缚。”
他补充说,使用无口令,用户不再被束缚,可以利用设备的功能进行身份认证,而不需要用户重新输入口令。
Authenticate 2022的第2天将是又一个充满洞察力的内容和讨论的日子,包括生物识别、消费者认证习惯、FIDO倡议和更多用户会话。我们将持续分享。