行业新闻与博客

为什么是时候改掉使用密码的习惯了

正如人们所说,旧习难改。然而,无数曾经深深扎根于我们生活的行为已被抛弃,并被新的规范所取代。很难想象要等几天才能冲洗照片并看看结果如何。或者亲自去一家商店租一部电影,然后倒带并在完成后将其带回来 - 现在感觉很陌生。


这些飞跃是以数十年的辛勤工作、协作和技术进步的小步骤为基础的,最终导致社会层面的重大变革。我们目前正在经历类似的运动,在不久的将来,记住并输入密码来访问网站和服务将成为添加到列表中的另一个示例。未来的年轻人会扬起眉毛问:“你为什么要这么做?”


答案就像 90 年代的密码和摄影和视频租赁服务一样,我们没有更好的选择。今天我们的许多习惯只是技术的副产品,它们在特定时刻为我们提供最好的帮助。


现在,随着行业开发和采用万能钥匙,我们有了更好的密码替代方案。


什么是万能钥匙?


密钥基于 FIDO 联盟和 W3C WebAuthn 社区的开放标准构建,解决了传统身份验证解决方案(包括 SMS OTP 等 2FA 解决方案)的安全缺陷和可扩展性挑战。最终,这意味着为人们和服务提供商提供更高级别的安全性和更大的便利性,允许用户每天数十次使用用于解锁设备的相同操作(通常是生物识别或 PIN)进行登录。

该 行业也对密码提供了支持,在帮助制定标准方面发挥了重要作用。 谷歌最近宣布,所有用户现在都可以使用密钥 来摆脱密码和两步验证, 苹果也是如此。Windows 10 和 11 长期以来一直支持 Windows Hello 中的设备绑定密钥 - 来自 iOS 或 Android 设备的密钥也可用于登录 Windows 上的 Chrome 或 Edge 中的网站。


PayPal、Shopify、Hyatt、Mercari 和 Yahoo! 等服务提供商也带来了动力。仅举几例,日本继续采用万能钥匙。


欺诈常态化是另一个坏习惯


当互联网到来并消灭了无数似乎在我们生活中根深蒂固的模拟习惯时,它也引入了许多新的数字习惯。基于密码的身份验证为个人和企业提供了一种逻辑初始机制,以至少增加一些针对欺诈的保护。但不幸的是,它的失败已被反复证明,而且其提供安全的能力随着时间的推移而恶化。


通过密码和许多 2FA 方法,用户的凭据是基于知识的,这意味着它们可以共享,因此会在不知不觉中交给欺诈者。这使得绝大多数社会工程攻击成为可能,从网络钓鱼到授权推送支付再到社会工程推送疲劳——攻击者都利用这些攻击来实施欺诈和身份盗窃。


我们现在正处于欺诈盛行的阶段,欺诈被视为一种商业成本,公司准备冲销大量资金,因为他们对此无能为力。英国财政部发现,  2022 年有超过 12 亿英镑通过欺诈被盗,其中 4.852 亿英镑来自授权推送付款,即受害者被欺骗将钱转给欺诈者。


如果加上任何其他标签,这些数字理所当然地会引起恐慌和警报。但他们不这样做,因为我们对他们已经麻木了。自互联网诞生以来,我们看到此类欺诈数据和大规模身份盗窃的报告越来越频繁地发布,并且由于没有明显的解决方案,我们只能接受它。这已经成为我们必须改掉的另一个坏习惯。这样做可以为全球人民和企业节省数十亿美元。  

我们永远无法消除 所有 类型的欺诈行为。但我们可以通过打破这种对密码的依赖,转而采用基于占有的身份验证机制(例如基于标准的万能钥匙)来消除其最大原因之一。


为什么密码如此难以退出?


既然密码和基于知识的身份验证如此不完善,为什么还没有被取代呢?在 FIDO 联盟工作期间,我亲眼目睹了这个问题的解决有多么困难和微妙。许多具有良好意图并取得不同程度成功的新技术都与密码相关。有些(例如 SMS OTP)可能提高了安全性,但最终做得还不够,而且还牺牲了用户的便利性。


其他技术提供了尽可能高的安全级别,但需要物理令牌,这已被证明是消费者广泛采用的障碍。在一些示例和用例中,这种更高级别的安全性至关重要,并且可用性的权衡超出了保证。


简而言之,对于企业、服务提供商或消费者来说,从来没有一个可以大规模提高安全性和便利性的可接受的选择。到目前为止。


人们想要戒掉这个习惯


让人们集体采用任何新技术始终是一个重大挑战。但我们看到有迹象表明人们的胃口已经存在。FIDO 最近对美国消费者进行的一项调查发现, 自 2022 年秋季以来,对密钥的准备程度增加了近 20%,超过 57% 的消费者表示他们有兴趣使用密钥登录其帐户。  


对于那些已经喜欢并使用更强的身份验证的人来说,需求甚至更高

生物识别等方法。我们发现 65% 的人更喜欢使用生物识别技术进行身份验证

他们自己会对使用密钥感兴趣,而近一半喜欢密码的人会感兴趣。  


这对于任何可能正在考虑如何能够并且应该加强其身份验证系统的企业或服务提供商来说,都是非常令人鼓舞的,并且为了解消费者的想法提供了指导性的见解。


处于变革的转折点


万能钥匙与以前改进身份验证过程的方法有根本的不同,因为它们重新定义了万能钥匙对主流用户的含义和外观,而且我们有证据表明人们确实需要它们。首次出现一种身份验证方法,使企业和服务提供商能够同时提高安全性和用户体验。


在主要平台和服务提供商的支持下,我们现在正处于采用万能钥匙的转折点。现在是企业和服务提供商认真审视他们的身份验证系统并询问他们是否可以戒掉互联网生活习惯的时候了。通过这样做,他们可以更好地保护自己、员工和在线客户,同时减少摩擦,从而显着影响他们的利润。

需要帮助吗?联系我们的支持团队 在线客服