【無密碼化】三大巨頭大推 驗證密鑰登入成主流
雖然近期 Google、Microsoft和Apple都各自在其平台推出了無密碼的驗證密鑰(passkey)功能,但大多數人仍然選擇使用自己的密碼。Google 最近開始透過FIDO 聯盟(Fast Identity Online Alliance)測試 Chrome 和 Android 中的驗證密鑰支援功能,而 FIDO 的密鑰是以智能手機傳感器進行生物識別身份驗證,以完成無密碼登入。Apple 於 6 月宣布 iOS 和 macOS 支援使用 Face ID 和 Touch ID 作為登入應用程式和網站的模式,可見驗證密鑰技術又向前邁進。
Google 表示,驗證密鑰比密碼更安全,因為它們不能重複使用,也不會在伺服器中洩漏。Android 用戶可以創建和使用與 Google 密碼管理器同步的密碼,而開發人員則可以使用 WebAuthn API,但該方法目前尚處於測試階段。
根據 FIDO 聯盟對英國、法國、德國、美國、澳大利亞、新加坡、日本、韓國、印度和中國的 10,000 名用家的調查,即使 WebAuthn 標準於 2019 年最終敲定,但密碼仍然是最常用的身份驗證方法。在過去 60 天,約 51% 的用戶在登入其網上銀行賬戶時使用密碼登入,有 28% 的用戶使用發送到流動裝置的一次性密碼(OTP),14% 的用戶使用密碼管理器登入。其他身份驗證方法包括 Google 及 Microsoft Authenticator 等應用程式、YubiKey 和 Google Titan 等安全密鑰、二維碼、瀏覽器的自動填寫功能,或者是保持登入帳戶的狀態。
研究亦發現,在使用金融服務時利用輸入密碼登入的情況下降了 5%,使用工作帳戶時輸入密碼情況下降了 7%,使用社交媒體和串流媒體帳戶時輸入密碼下降了 8%,而使用智能家居設備時輸入密碼下降了 9%。
即使使用密碼的情況減少了,但使用密碼仍然是線上身份驗證的主要形式,而這個習慣將為個人用戶和企業帶來嚴重問題。FIDO 表示,例如 70% 的人需要在一個月內至少恢復一次密碼,而服務提供商和零售商也受影響,其中 59% 的人在一個月內放棄存取線上服務;有 43% 的人因為忘記密碼而放棄購買服務。
SMS OTP 雖一直被視為不安全的登入方式,但金融服務卻經常用到;而在德國的主要銀行早於 2019 年開始放棄使用。Microsoft 在 2020 年時曾表示,人們應使用以應用程式開啟的多因素身份驗證(MFA)方式,而不是使用SMS ,因為員工可能會被騙進行 SIM swapping,而 SMS OTP 有可能會被釣魚方式偷取。
與此同時,以密碼噴灑攻擊的情況在過去十年持續增加,洩露涉及數百萬個密碼,令 MFA 成為最有效緩解密碼外洩的措施之一。然而,FIDO 聯盟發現更多的服務供應商使用 SMS OTP。用戶報告指出,金融服務、工作帳戶、社交媒體、串流媒體帳戶和智能家居設備的 SMS OTP 使用率也呈上升趨勢。
儘管驗證密鑰是一個相對較新的概念,但調查也發現了人們對這些密鑰有高度認知。在整個市場中,平均有 39% 的受訪者非常或有點熟悉驗證密鑰的概念。
資料來源:https://www.zdnet.com/article/passwords-still-dominate-and-are-causing-headaches-for-everyone/