無論你是登錄銀行、健康保險，還是電子郵件，如今大多數服務都不再僅依賴密碼。多因素認證（MFA）現在已成為常態，要求用户輸入第二或第三種身份驗證方式。然而，並非所有形式的 MFA 都是平等的，組織發送到你手機的一次性密碼存在着巨大的安全漏洞。
例如，電子郵件安全公司 Abornormal AI 記錄了一系列發生在學術機構的事件，攻擊者能夠誘使受害者不僅輸入他們的用户名和密碼，還輸入他們從學校服務器收到的一次性密碼（OTP）。
使用某人的合法賬户憑證對於犯罪分子來説，比尋找安全漏洞更有效。微軟最新的數字防禦報告將身份作為主要攻擊向量。
使用任何形式的 MFA 是抵禦身份攻擊的主要方式，但你真正想要的是一種能夠抵禦網絡釣魚的方法。
根據微軟的威脅情報團隊的説法，&#34;抗釣魚的 MFA 是安全的黃金標準。&#34; &#34;無論網絡威脅環境如何變化，多因素認證仍然可以阻止超過 99% 的未授權訪問嘗試，使其成為組織可以實施的最重要的安全措施。&#34;
<h3>密鑰的崛起</h3>
MFA 方法通常分為三類：你知道的東西（密碼、代碼或安全問題）、你擁有的東西（如令牌或智能手機）或你自身的特徵（如指紋或面部掃描）。它們包括硬件令牌、身份驗證應用程序、通過短信或電子郵件發送的密碼、推送通知以批准在連接設備上的登錄，以及使用生物特徵來驗證個人身份。
歷史上，身份驗證使用的是&#34;你知道的東西&#34;模型，其中兩個參與方——用户和服務器，或兩個設備——通過共同知道一個秘密（如密碼或代碼）來證明他們的身份。這裏的問題是，有人可以猜測你的秘密，或者你可能把它寫在便籤上，或者放在桌面上的明文文件中。
犯罪分子還可以通過虛假網站釣取這些秘密，誘使用户輸入他們的用户名和密碼，並通過重定向消息來攔截通過短信或電子郵件發送的一次性密碼（OTP），使其在到達預定接收者之前被截獲。
&#34;所以我們看到的一個趨勢是，從密碼轉向密鑰——一種基於證書的身份驗證，包裹在可用性包裝中，&#34; Forrester 副總裁兼分析師 Andras Cser 告訴《註冊》雜誌。
密鑰通常是安全專家所説的&#34;抗釣魚的 MFA&#34;。它們取代了密碼，而是使用加密密鑰對，公鑰存儲在服務器上，私鑰（如用户的面部、指紋或 PIN）存儲在用户的設備上。
包括亞馬遜、谷歌、微軟、蘋果 iCloud、PayPal 和 WhatsApp 在內的數十個主要網站已經將密鑰作為密碼的完整替代方案實施。
安全密鑰（通常以 Yubikey 品牌名出現），是存儲 X.509 證書的物理硬件設備，也屬於這種抗釣魚的 MFA 類別，因為它們要求用户的物理存在才能對賬户和服務進行身份驗證。
&#34;目前，最安全的身份驗證類型被歸類為抗釣魚的 MFA，這將是設備綁定的密鑰或不太常見的 X.509 令牌，&#34; Gartner 分析師 James Hoover 告訴《註冊》雜誌。&#34;對於設備綁定的 FIDO2 密鑰，目前沒有經過驗證的&#34;盜取&#34;方法，因為私鑰本身不會離開設備。&#34;
&#34;通過密鑰，我們將共享秘密模型完全顛覆，因此沒有任何東西可以共享，&#34; FIDO 聯盟首席執行官兼執行董事 Andrew Shikiar 告訴《註冊》雜誌。
&#34;&gt; 通過密鑰，我們將共享秘密模型完全顛覆，因此沒有任何東西可以共享。
然後是多設備密鑰——同步憑證，允許用户在任何設備上登錄應用程序，並存儲在像 Google 密碼管理器、iCloud 鑰匙串或開源 Bitwarden 這樣的憑證管理器中。但這些容易受到社會工程攻擊。
&#34;這解決了每個設備都需要重新註冊的麻煩，但這確實可能讓你面臨一定程度的社會工程風險，因為我可以通過説服你讓我設備訪問你的賬户來獲取該密鑰，&#34; Hoover 説。
他所説的是 Scattered-Spider 風格的社會工程攻擊——而不是網絡釣魚——攻擊者通常從社交媒體和其他公共來源收集有關員工的信息，然後在與公司的 IT 服務枱通話時冒充他們，最終説服幫助台重置憑證或 MFA 設備。
&#34;但它們仍然比更常用的密碼加短信或電子郵件 OTP 方法有顯著提升，&#34; Hoover 補充道。
<h3>密鑰的採用正在迅速增長</h3>
FIDO（快速身份在線）聯盟成立於 2012 年，旨在解決強身份驗證技術之間缺乏互操作性的問題，並解決用户在網站和服務中記住過多用户名和密碼的問題。早期的 FIDO 聯盟成員包括蘋果、谷歌、微軟，開始在 2019 年開發 FIDO2 和 WebAuthn 標準，以實現無密碼身份驗證，公眾在 2022 年 9 月首次看到密鑰，當時蘋果開始在其 iPhone、iPad 和 Mac 計算機操作系統中支持它們。
三年後，&#34;我們估計目前有超過 20 億個密鑰在使用，&#34; Shikiar 説。
&#34;這很好——這是一個有意義的數字——我們希望看到這個數字增長到 50 億到 100 億，這將真正跨越不再回頭的門檻，&#34;他補充道。&#34;但 20 億，對於這種已經廣泛可用三年的技術，我們對這一進展感到相當滿意。&#34;
Liminal 是一家專注於數字身份的諮詢公司，針對 200 名已經部署或承諾部署密碼鑰匙的 IT 專業人士進行了調查。調查發現，63% 的受訪者將密碼鑰匙列為 2026 年最重要的身份驗證投資優先事項。在已經採用密碼鑰匙的受訪者中，85% 表示對他們的決定和迄今為止看到的商業結果感到非常滿意。
為了深入瞭解密碼鑰匙的商業利益，兩家公司對九個成員組織進行了保密調查 [PDF]，這些組織包括亞馬遜、谷歌、LY Corporation、Mercari、微軟、NTT DOCOMO、PayPal、Target 和 TikTok，它們已經部署密碼鑰匙一到三年。
這些公司報告稱，與其他多因素身份驗證方法相比，密碼鑰匙的登錄成功率提高了 30%，並表示密碼鑰匙將登錄時間減少了 73%，平均每次登錄耗時 8.5 秒。
其他身份驗證方法，包括電子郵件驗證、短信驗證碼和社交登錄選項（如使用 Apple、Google 等登錄），平均耗時 31.2 秒。
<ul>
<li>AWS 加強雲安全，對根用户實施 100% 多因素身份驗證</li>
<li>當你的登錄信息已經在外泄時，誰還需要網絡釣魚？</li>
<li>微軟表示，人工智能使網絡釣魚的有效性提高了 4.5 倍</li>
<li>前 CISA 官員和 CISO 揭穿 “黑客傳説”，傳播網絡安全真相</li>
</ul>
&#34;如果你從事銷售商品或內容的業務，更加便捷、快速的訪問將會帶來收入的增加，&#34; Shikiar 表示，並指出密碼鑰匙的便利性幫助面向消費者的企業消除因結賬時間過長而導致的購物車放棄現象。
&#34;而且，早期採用者發現成本也有所降低，&#34;他説。
根據早期採用者的報告，密碼鑰匙減少了高達 81% 的與登錄相關的幫助台事件。雖然他們沒有給出具體的金額，但使用密碼鑰匙的公司表示，他們也預計會節省成本，因為這種身份驗證形式減少了與一次性密碼、重置和支持互動相關的費用。
此外，Shikiar 表示，密碼鑰匙消除了與短信和一次性密碼欺詐相關的成本。&#34;一旦賬户無法被遠程攻擊接管，你的攻擊次數就會減少，欺詐成本也會降低。&#34;
<h3>可用性問題依然存在</h3>
那麼，為什麼不是每個人都在使用密碼鑰匙呢？仍然存在一些可用性問題，特別是與某一操作系統設備（如 iOS、Android 或 Windows）相關的密碼鑰匙，通常需要第三方工具才能轉移到不同的操作系統生態系統。
&#34;而且，總是存在安全性與採用便利性之間的權衡，&#34; PwC 的 Avinash Rajeev 告訴《註冊》雜誌，他負責該諮詢公司在美國的網絡、數據和技術風險業務。
&#34;對於內部使用案例，如員工和承包商，安全性通常是最重要的，對於內部用户羣體，你可以不追求最佳用户體驗，&#34;他説。&#34;但當你考慮到外部客户時，就必須優先考慮用户體驗，有時這會以安全性為代價。最終總是要找到合適的平衡。&#34;
雖然短信或電子郵件驗證碼的安全性不如密碼鑰匙，但許多面向客户的網站仍然使用它們，因為它們更容易實施和理解。客户已經有電子郵件地址，如果他們不介意多等幾秒鐘來接收安全令牌，這個過程就很簡單。此外，這仍然比僅使用密碼更安全。
&#34;這總是這兩種因素的結合，&#34; Rajeev 説。&#34;你必須始終考慮你想保護的內容，以及你願意接受的安全級別，同時確保用户體驗對你的用户羣體仍然足夠可接受。&#34; ®

Passkeys 正在成為一種優越的多因素認證（MFA）形式，通過使用加密密鑰對而不是密碼，提供抗釣魚攻擊的安全性。亞馬遜、谷歌和微軟等主要公司正在採用 passkeys，這消除了共享秘密並增強了安全性。雖然多設備 passkeys 提高了便利性，但它們可能會受到社會工程攻擊的威脅。總體而言，passkeys 代表了數字安全的重大進步，解決了傳統 MFA 方法中的漏洞

Death to one-time text codes: Passkeys are the new hotness in MFA

The Register

一次性文本驗證碼的終結：通行密鑰成為多因素認證的新趨勢