IT業界社群及資訊平台

【專家分析】資安 Trending Keyword - Passwordless

由 12345678 到 N 個數字加 N 個字母(大細階)加 N 個符號,密碼設定複雜過讀個學位 ,但複雜化趨勢,正正反映自設密碼,越來越不合時宜。Microsoft Identity Division 的 Corporate Vice President Joy Chik 指出,80%的黑客攻擊都係為咗用戶資料,亦即係 Login + Password;那邊廂,其實有邊個用家鍾意密碼?更莫說要按風險專家建議,為每個網上帳戶生成毫無關連的密碼,再用個低風險方式保管。

「依家密碼設定嘅準則,就係陌生同無邏輯,其實好反人性,叫人點記呢。在一個人擁有幾十個帳戶的世代,密碼概念已經過時,大眾需要更直接、簡便的登入 Login 方式。」Microsoft 雲平台 Azure 由 2014 年起提供 MFA(多重身份認證)登入選項,但使用率不高,團隊反思後,指出同始終需要密碼有關。「去密碼化的 MFA 有很多好處,包括 User Friendly、易於管理、減低成本、更安全。這亦是 Microsoft 未來發展方向。」

登入認證 APP 與 Windows Hello Cameras 在手提電腦的普及趨勢,Apple 公佈支援 FIDO2 等,都係業界對去密碼化的支持。2019 年 10 月 Microsoft 有 100 萬用戶使用去密碼化登入方式,半年後,用戶人數已經跳升至 150 萬。Microsoft 沒有強制 15 萬員工的登入方式,但超過 90%選擇去密碼化。「管理層的確有誘因推行去密碼化,因為密碼重設嘅成本亦唔係平,但超過 9 成的使用率亦說明,員工們對密碼的厭倦。」去密碼化普及後,Microsoft 的密碼管理成本下降了 80%。

新冠疫苗仍在開發階段,打工仔在未來 12 個月無可避免要遠程工作,專家預計疫情過後,職場亦不會全面取消遠程工作政策。這個前題下,各大企業的 CISO(Chief Information Security Office)都將 MFA 或身份認證視為重要發展範疇之一,Microsoft 為鼓勵 Azure AD 雲端企業用戶使用 MFA,亦開放免費 MFA 選項,且進一步收集用戶反饋,改良 MFA 操作與管理。以上措施實行後,25%的企業客戶採用 MFA。「為咗鼓勵客戶,我地甚至在 Microsoft 365 與 Office 365 推出 Secure Score,等企業睇到自己同業界的差距。呢個評分給予 IT 管理層一個客觀 References 去問老闆攞資源。」一般情況下,選用 MFA 已經會令評分提高至平均以上,而新 Azure AD 用戶亦預設使用 MFA。

大眾經常低估自己的被 Hack 風險,Microsoft 的 My Sign-ins 功能讓大家了解真相,希望能警剔用戶作出改變。一如網上銀行提醒用戶古怪 IP 登入記錄,My Sign-ins 功能向用戶公開所有登入記錄後,有倫敦用戶發現自己 Office 365 帳戶在 5 日內被人在厄瓜多爾、俄羅斯、蘇黎世、阿姆斯特丹登入不果。這個結果,非轉用 MFA 可以杜絕,但相對 Login + Password 組合,生物辨識為首的認證方式,安全層次高好多。

 

資料來源:https://tek.io/34nn70k

Privacy Preference Center