迈向无密码未来的三步媒体

关键要点

密码本质上是不安全的，继续将其作为主要认证方法导致了一些不幸的后果。根据最近的 Okta 事件，像证书填充攻击这样的策略在网络犯罪分子中依然流行，并且是几乎所有行业中泄露事件的主要原因。

这些攻击相对简单：威胁攻击者获取一份被泄露的凭据清单，尝试用这些凭据登录其他互联网账户。这项攻击的逻辑很简单：记住密码很困难，因此人们往往会简化密码，甚至更糟，重复使用相同的密码。

让用户记住几十个独特且复杂的密码并不现实，尽管密码管理器可以有所帮助，但使用它们的人相对较少。如今的组织可以通过采取主动措施，减少对密码的依赖，走向更加安全的无密码认证未来，从而降低面临证书填充攻击的脆弱性。

证书填充攻击的演变

攻击者曾经采取“喷洒式”策略进行证书填充，指望在足够多个地方尝试被盗凭据，最后能找到有效的几个。不幸的是，现在这些攻击越来越具针对性。威胁攻击者甚至可以注册服务，以便在潜在目标组织的凭据在暗网上出售时获得通知。获取、出售和利用这些凭据实际上已成为一个小型的暗网产业。

那么，消除密码似乎是显而易见的解决方案对吧？那可不简单。有许多障碍使得许多组织难以完全接受无密码的认证方式。例如，现有的无密码选项往往与他们的集成不兼容，或可能因为流程带来的麻烦而遭到反对。幸运的是，解决使密码本质上不安全的挑战并不要求采取“非此即彼”的方式。组织可以采取一些步骤，增加额外的安全层面，减少对密码的依赖，朝着无密码或“简化密码”的认证策略迈进，这可以显著降低遭受证书填充和其他攻击的风险。

迈向无密码未来的三步走

部署多因素认证 (MFA)：安全专业人士多年来一直在倡导多因素认证，虽然它并非完美，但确实为认证过程增加了一层重要的防御。MFA确保攻击者无法仅凭被盗的用户名和密码登录他们还需要伪造SIM卡或采取其他步骤才能完成登录。这些技术是可行的，但并不容易，而攻击者通常寻求简单的目标，这意味着他们更可能转向防护较弱的目标。不幸的是，MFA的采纳率依然滞后，目前只有28的企业部署MFA。这是个大问题，尽管实施MFA不会阻止所有攻击，但它肯定能够提供帮助。

海外加速器npv

强制使用密码管理器：对于仍在使用密码的组织来说，强制使用密码管理器可以显著提高安全性。然而，最好实施某种程度的无密码认证。面部识别和生物识别技术是可靠且安全的，但隐私问题可能会让一些人对这种认证方式感到不安。没关系今天的企业有多种无密码选项可供选择，包括不需要生物识别的硬令牌认证器。安全密钥就是其中之一，而徽章已经在医疗和关键基础设施等行业中广泛采用，以限制对安全区域的物理访问。尽管当密钥丢失时会出现问题，但它们