谷歌2023安全预测-走向无密码

网络犯罪是一个不断增长的行业，这已经不是什么秘密了。就在去年，据美国联邦调查局估计，网络犯罪的成本为69亿美元。谷歌对2023年的网络安全进行了预测，认为这种恶意经济会继续扩张且愈加多样化。

最近，VentureBeat有机会与谷歌的顶级安全领袖和分析师取得联系。他们表示，网络攻击者的技术将在未来12个月有相当大的发展。

预测包括更多的勒索软件和内部风险，尤其是以核心员工为目标的勒索；网络犯罪“供应商”转向新的商业模式；积极的方面是，更广泛地采用PassKey，可以有效减少网络攻击。接下来，我们将介绍这些顶级安全领袖的观点。

“公司将继续与身份识别和身份认证相关的攻击作斗争，在这些攻击中，不顶尖的黑客也能够在黑市购买用户凭证，或通过欺骗进入组织。

因此，平台维护者将付出大量精力，来减少消费者和企业的凭据被盗用的风险。”

-Heather Adkins，谷歌公司安全工程副总裁

“我们将看到内部风险的增加，攻击者试图通过胁迫和勒索其他受信任的内部人员再实施恶意行为。同时，联合身份和身份认证供应商将受到越来越多的攻击，并以此为跳板继续攻击其客户。

我们还将看到人们开始意识到过渡到后量子口令学所涉及的Y2K级别的工作。”

-PhilVanbels，（CISO），谷歌云

“在全球范围内，我们将看到公共和私营部门的勒索软件攻击的持续增长和突出。在更广泛的攻击层面，特定行业的威胁和能力也将不断增长，影响医疗保健、能源、金融等垂直领域。

作为一个行业，我们正在进行的关于供应链安全的研究和工作，特别是在重大攻击之后，将揭示更多需要开展的合作。”

- Royal Hansen，谷歌的隐私、安全和安保副总裁

“除了口令管理和账户安全改进之外，我们还将看到开发者和用户更广泛地采用密钥，并使用常见的安全术语。

我们还可以预见短信/一次性口令（OTP）的钓鱼攻击继续增加，因此网站和应用程序将更有可能面向消费者和内部管理工具采用PassKey认证。

在一个混合云的企业环境中，随着更多的工作在线上进行，浏览器将成为企业安全中更具战略意义的资产。

在劳动力方面，私营和公共部门各级组织对网络安全经验和能力的需求将远远超过现有人才。这强调了未来投资于多学科网络安全技能发展的必要性。”

— Parisa Tabriz，谷歌 Chrome浏览器副总裁

“我们将看到来自科技公司和政府的商业间谍软件供应商和雇佣黑客运营商面临更大的压力。然而，这些威胁行为者不会消失；相反，我们将看到重组、更名和商业模式的一些转变。”

— Shane Huntley，谷歌威胁分析小组（TAG）高级主管

“随着如此多的数据泄露转储在暗网上流传，我们将看到激增的攻击，不仅利用重复使用的口令，还利用所有的秘密问题字段（比如生日、社保信息、街道地址或其他）。

为了保护自己，应用程序和网站将越来越多地采用安全身份认证，比如联合身份和PassKey——而不是用户名、口令、短信代码和其他身份认证方式——此外，这些机制对用户来说也更容易、更方便。”

-Mark Risher，谷歌平台和生态系统高级总监