top of page
    • 2023年6月15日

為何我們能在 Okta 實現 100% 無密碼(passwordless)?

已更新:2023年6月20日

文章來源 / Okta Official Blog


十年前,資安專家們將每年五月的第一個星期四定為一個新的節日:「世界密碼日」。


這個節日旨在提醒人們定期更換密碼。同時,也揭櫫了密碼存在的一個基本缺陷:為保持有效性,密碼必須經常更換。


而過去十數年間,裝置或服務登入的介面與環境複雜程度只增不減。資安威脅性卻也是日益成長,釣魚攻擊不斷增加且變得更加棘手。與此同時,密碼規則變得愈發嚴格:特殊字元、大小寫和長度等要求不斷變化。可以理解的是,許多使用者對於複雜的密碼規則感到沮喪,並對於需要管理的使用者名稱和密碼數量感到不知所措。


近年來,在身份驗證方面有了驚人的創新,但直至2023年,我們仍然在與密碼搏鬥。儘管密碼存在著的安全性和可用性的限制,為什麼直到今天他們仍如此普遍地被使用著?如果沒有密碼,未來又會是什麼樣貌?


密碼的頑強韌性

作為Okta的CIO,我親眼見證了密碼的不被淘汰的堅韌性,即使越來越多的Okta WIC用戶已經接受並開始使用高防護和防釣魚攻擊的解決方案,密碼仍然存在並被廣泛使用。針對這點,我們的客戶提出了一些解釋:


  • 密碼的風險是一種相對可被接受的風險:儘管密碼有其缺點,但今天它們已經成為一種眾所周知的存在。IT團隊知道如何實施和管理它們。終端使用者知道如何創建、恢復和重置它們。對於希望與客戶和用戶保持一致的企業來說,對密碼的熟悉度可能超過了其風險。儘管不完美,它們仍具備一定防護力。

  • 尚未有明確可替代密碼的解決方案:組織對於其他身份驗證方法可能也不熟悉。無密碼登入更像是一種未來的烏托邦狀態,而不是現在的可行選項。而且他們可能不知道如何開始採取新的路徑。

  • 轉型有其難度:改變總是伴隨著一些摩擦。要從以密碼為主的身份驗證方式轉變為其他方式需耗費巨大的時間成本、工程努力和使用者行為的演進。對於一些公司決策者,變革的抗性太大了。


Okta走向無密碼的旅程

儘管有上述考量,但Okta於一年多前決定展開我們自己的無密碼之旅。雖然還沒完全達到目標,但在這個過程中我們確實收穫一些經驗教訓。



防範釣魚攻擊具有商業價值

由於密碼容易受到釣魚攻擊的威脅,對於像我們這樣的企業來說,這是一個持續的安全挑戰,並且相當昂貴,我們必須花費大量的時間和金錢來發現和應對這些釣魚威脅。根據IBM的資料,基於釣魚的資料洩漏事件的平均成本在2022年達到490萬美元。


相較之下,無密碼的流程具備了與生俱來的釣魚攻擊防範能力,因為在無密碼驗證的流程定義中,惡意角色將無法截取到任何密碼。企業可以節省之前用於緩解釣魚攻擊所需的時間和金錢。換句話說,採用無密碼方式可以為企業帶來真實的商業價值。



安全性 vs. 易用性?無謂的二選一

傳統觀念認為,提高身分驗證的安全性必然會犧牲使用者體驗。然而,透過無密碼的方式,我們為Okta的員工和客戶提供了更好的體驗。透過從驗證流程中移除密碼,我們可以節省使用者的時間,減少挫折感,降低登入失敗率。


一份我們根據Okta的數據即將發表的報告,支持了這些論述。Okta管理著大量的登入行為,我們觀察到,當人們使用Okta FastPass(我們的抗釣魚無密碼驗證器)進行登入時,不需要密碼,所需時間不到使用密碼的三分之一。相較於使用密碼進行的工作登入,失敗率高達8%,而使用FastPass進行登入的失敗率僅為1.6%,提升了80%。


邁向100%

在 Okta 內部,我們在無密碼驗證的旅程上取得了重大進展,這項旅程包括更新所有我們使用的應用程式與服務以符合防釣魚政策。這些政策要求終端使用者使用至少一種防釣魚因素,例如 WebAuthn 或 Okta FastPass來登入其資源。在我們的密切追蹤之下,現今我們已經完成這一重要目標的百分之八十以上。



我們迄今所採取的步驟包括:

  • 與我們的安全團隊合作,推出新的零信任架構(Zero Trust Architecture,ZTA)功能,如 Okta Devices 和 Okta ThreatInsight,使我們能夠持續監控使用者和設備的安全性。

  • 重新定義我們的驗證政策,使用豐富的信號並優先考慮防釣魚因素。

  • 與我們的產品和工程團隊協調,強調目前平台可能存在的缺陷,這些缺陷可能妨礙我們實現100%無密碼、防釣魚的登入流程。


轉型過程中的支援者

Okta的終極目標是希望讓Okta的員工和客戶都能實現完全無密碼化。我們透過Okta FastPass這樣的新產品和解決方案來達成這目標。而我們在自身無密碼化的過程中不斷進行平台精進,使客戶更容易應對前進的道路。


我們新增了以下平台功能:

  • 簡化抗釣魚認證的啟動過程

  • 在所有主要桌面和移動裝置上解決抗釣魚流程

  • 繼續提供技術中立的平台,擁有多種合作夥伴整合,以滿足每個客戶的無密碼需求

此外,我們正在開發一本《無密碼之路》的指南,計劃與客戶分享,以幫助啟發和引導他們的轉型過程。


推動無密碼技術的進展

在內部,Okta的內部員工對於我們的無密碼方案給予了極為正面的回饋。他們發現使用指紋配合 Okta FastPass 來存取應用程式和帳戶更加便利,尤其在旅行時。


此類生物識別驗證方式,例如使用觸控ID、面容ID或Windows Hello等高保證、抵禦釣魚攻擊的單一登入政策,可以通過基於標準的身份驗證流程,如WebAuthn或Okta FastPass,與平台驗證器相結合。


儘管出現了越來越多的創新解決方案,但如今大多數身份和存取管理解決方案仍至少部分依賴密碼。當平台供應商和設備製造商在恢復、發行和非擴散的標準化流程上達成一致時,接受無密碼將變得更容易。而類似通行證的消費者導向技術將有助於進一步普及無密碼憑證的使用,就像Touch ID和Windows Hello使生物識別驗證普及一樣。


作為資訊科技領導者,我們不能停滯不前,也不能對沒有密碼的世界感到恐懼。相反地,我們必須超越過去,採取新的做法並不斷演進。這樣一來,企業組織就能開始享受無密碼系統的好處:更好的使用者體驗、更高的生產力、更低的支援成本,當然還有更強的安全性。




Comentarii

bottom of page