无论你是登录银行、健康保险，还是电子邮件，如今大多数服务都不再仅依赖密码。多因素认证（MFA）现在已成为常态，要求用户输入第二或第三种身份验证方式。然而，并非所有形式的 MFA 都是平等的，组织发送到你手机的一次性密码存在着巨大的安全漏洞。
例如，电子邮件安全公司 Abornormal AI 记录了一系列发生在学术机构的事件，攻击者能够诱使受害者不仅输入他们的用户名和密码，还输入他们从学校服务器收到的一次性密码（OTP）。
使用某人的合法账户凭证对于犯罪分子来说，比寻找安全漏洞更有效。微软最新的数字防御报告将身份视为主要攻击向量。
使用任何形式的 MFA 是抵御身份攻击的主要方式，但你真正想要的是一种能够抵御网络钓鱼的方法。
&#34;抵御网络钓鱼的 MFA 是安全的金标准，&#34; 微软的威胁情报团队表示。&#34;无论网络威胁环境如何变化，多因素认证仍然可以阻止超过 99% 的未授权访问尝试，使其成为组织可以实施的最重要的安全措施。&#34;
<h3>密钥的崛起</h3>
MFA 方法通常分为三类：你知道的东西（密码、代码或安全问题）、你拥有的东西（如令牌或智能手机）或你自身的特征（如指纹或面部扫描）。它们包括硬件令牌、身份验证应用程序、通过短信或电子邮件发送的密码、推送通知以批准连接设备上的登录，以及使用生物特征来验证个人身份。
历史上，身份验证使用的是&#34;你知道的东西&#34;模型，其中两个参与方——用户和服务器，或两个设备——通过共同知道一个秘密（如密码或代码）来证明他们的身份。这里的问题是，有人可能会猜到你的秘密，或者你可能把它写在便条纸上，或者放在桌面上的明文文件中。
犯罪分子还可以通过虚假网站钓取这些秘密，诱使用户输入他们的用户名和密码，并通过在消息到达预定接收者之前重定向短信或电子邮件来拦截一次性密码（OTP）。
&#34;所以我们看到的一个趋势是，从密码转向密钥——一种基于证书的身份验证，包裹在可用性保护膜中，&#34; Forrester 副总裁兼分析师 Andras Cser 告诉《注册》杂志。
密钥通常是安全专家所说的&#34;抵御网络钓鱼的 MFA&#34;。它们取代了密码，而是使用加密密钥对，公钥存储在服务器上，私钥（如用户的面部、指纹或 PIN）存储在用户的设备上。
包括亚马逊、谷歌、微软、苹果 iCloud、PayPal 和 WhatsApp 在内的数十个主要网站已经将密钥作为密码的完整替代方案实施。
安全密钥（通常以 Yubikey 品牌名出现），是存储 X.509 证书的物理硬件设备，也属于这种抵御网络钓鱼的 MFA 类别，因为它们要求用户的物理存在才能对账户和服务进行身份验证。
&#34;目前，最安全的身份验证类型被归类为抵御网络钓鱼的 MFA，这将是设备绑定的密钥或不太常见的 X.509 令牌，&#34; Gartner 分析师 James Hoover 告诉《注册》杂志。&#34;对于设备绑定的 FIDO2 密钥，目前没有经过验证的'盗取'方法，因为私钥本身不会离开设备。&#34;
&#34;通过密钥，我们将共享秘密模型完全颠覆，因此没有任何东西可以共享，&#34; FIDO 联盟首席执行官兼执行董事 Andrew Shikiar 告诉《注册》杂志。
&#34;&gt;通过密钥，我们将共享秘密模型完全颠覆，因此没有任何东西可以共享。&#34;
然后是多设备密钥——同步凭证，允许用户在任何设备上登录应用程序，并存储在像 Google 密码管理器、iCloud 钥匙串或开源 Bitwarden 这样的凭证管理器中。但这些容易受到社会工程攻击。
&#34;这解决了需要重新注册每个设备的不便，但它确实可能让你面临一定程度的社会工程风险，因为我可以通过说服你让我设备访问你的账户来获取该密钥，&#34; Hoover 说。
他所说的是 Scattered-Spider 风格的社会工程攻击——而不是网络钓鱼——攻击者通常从社交媒体和其他公共来源收集有关员工的信息，然后在与公司的 IT 部门通话时冒充他们，最终说服帮助台重置凭证或 MFA 设备。
&#34;但它们仍然比更常用的密码加短信或电子邮件 OTP 方法有显著提升，&#34; Hoover 补充道。
<h3>密钥的采用正在迅速增长</h3>
FIDO（快速身份在线）联盟成立于 2012 年，旨在解决强身份验证技术之间缺乏互操作性的问题，并解决用户在网站和服务中记住过多用户名和密码的问题。早期的 FIDO 联盟成员包括苹果、谷歌、微软，开始在 2019 年开发 FIDO2 和 WebAuthn 标准，以实现无密码身份验证，公众在 2022 年 9 月首次看到密钥，当时苹果开始在其 iPhone、iPad 和 Mac 计算机操作系统中支持它们。
三年后，&#34;我们估计目前有超过 20 亿个密钥在使用，&#34; Shikiar 说。
&#34;这很好——这是一个有意义的数字——我们希望看到这个数字增长到 50 亿到 100 亿，这将真正跨越不再回头的门槛，&#34; 他补充道。&#34;但 20 亿，对于这种已经广泛可用大约三年的技术，我们对这一进展感到相当满意。&#34;
Liminal 是一家专注于数字身份的咨询公司，针对 200 名已经部署或承诺部署密码钥匙的 IT 专业人士进行了调查。调查发现，63% 的受访者将密码钥匙列为 2026 年最重要的身份验证投资优先事项。在已经采用密码钥匙的受访者中，85% 表示对他们的决定和迄今为止所见的商业结果感到非常满意。
为了深入了解密码钥匙的商业利益，两家公司对九个成员组织进行了保密调查 [PDF]，这些组织包括亚马逊、谷歌、LY Corporation、Mercari、微软、NTT DOCOMO、PayPal、Target 和 TikTok，它们已经部署密码钥匙一到三年。
这些公司报告称，与其他多因素身份验证方法相比，密码钥匙的登录成功率提高了 30%，并表示密码钥匙将登录时间减少了 73%，每次登录平均耗时 8.5 秒。
其他身份验证方法，包括电子邮件验证、短信验证码和社交登录选项（如使用 Apple、Google 等登录），平均耗时 31.2 秒。
<ul>
<li>AWS 加强云安全，对根用户实施 100% 多因素身份验证</li>
<li>当你的登录信息已经在外泄时，谁还需要网络钓鱼？</li>
<li>微软表示，人工智能使网络钓鱼的有效性提高了 4.5 倍</li>
<li>前 CISA 官员和 CISO 揭穿 “黑客传说”，传播网络安全真相</li>
</ul>
&#34;如果你从事销售商品或内容的业务，更加便捷、快速的访问将会带来收入的增加，&#34; Shikiar 表示，并指出密码钥匙的便利性帮助面向消费者的企业减少因结账时间过长而导致的购物车放弃现象。
&#34;而且，早期采用者发现成本也有所降低，&#34;他说。
根据早期采用者的报告，密码钥匙减少了帮助台的呼叫，相关的帮助台事件减少了多达 81%。虽然他们没有给出具体的金额，但使用密码钥匙的公司表示，他们也预计会节省成本，因为这种身份验证方式减少了与一次性密码、重置和支持互动相关的费用。
此外，Shikiar 表示，密码钥匙消除了与短信和一次性密码欺诈相关的成本。&#34;一旦账户无法被远程攻击接管，你的攻击次数就会减少，欺诈成本也会下降。&#34;
<h3>可用性问题依然存在</h3>
那么，为什么不是每个人都在使用密码钥匙呢？仍然存在一些可用性问题，尤其是与某一操作系统设备（如 iOS、Android 或 Windows）相关的密码钥匙，通常需要第三方工具才能转移到不同的操作系统生态系统。
&#34;而且，总是存在安全性与采用便利性之间的权衡，&#34;普华永道的 Avinash Rajeev 告诉《注册》杂志，他领导着该咨询公司在美国的网络、数据和技术风险业务。
&#34;对于内部使用案例，如员工和承包商，安全性通常是最重要的，对于内部用户群体，你可以不追求最佳用户体验，&#34;他说。&#34;但当你考虑到外部客户时，你就必须优先考虑用户体验，有时这会以牺牲安全性为代价。关键在于找到合适的平衡。&#34;
虽然短信或电子邮件验证码的安全性不如密码钥匙，但许多面向客户的网站仍然使用它们，因为它们更容易实施和理解。客户已经有电子邮件地址，如果他们不介意多等几秒钟来接收安全令牌，这个过程就很简单。此外，这仍然比仅使用密码更安全。
&#34;这总是这两种因素的结合，&#34;Rajeev 说。&#34;你必须始终考虑你想保护的内容，以及你愿意接受的安全级别，同时确保用户体验对你的用户群体仍然足够可接受。&#34; ®

这篇文章强调了在多因素认证中从密码和一次性密码（OTP）过渡到通行密钥（passkeys），并突出了它们抵御网络钓鱼的特性。通行密钥使用加密密钥对，增强了安全性。亚马逊和谷歌等主要公司已经采用了通行密钥。尽管它们具有安全性，但多设备通行密钥可能会受到社会工程攻击的影响。抵御网络钓鱼的多因素认证对于防止未经授权的访问至关重要

一次性文本代码的终结：通行密钥成为多因素认证的新趋势