021-54410609
我们似乎都对密码有着爱恨交加的关系。随着时间的推移,我们学会了与他们共存——即使他们一次又一次地表明他们在保护我们最敏感的数据方面有多么糟糕。数据泄露的数量几乎每天都在增加——最近几周,一家领先的密码管理器供应商、一家互联网托管服务提供商和一家手机供应商遭遇了有针对性的网络钓鱼攻击,这些攻击涉及滥用用户凭据。
Verizon最新的数据泄露调查报告指出,80% 的成功账户接管和泄露始于钓鱼账户,其中包括密码在内的账户凭证被盗并用于进入企业内部。用户凭据是王国的钥匙。一旦攻击者获得了某人的凭据,他们就进入了公司的网络,并且能够找到其他可以利用的弱点。
攻击者正变得越来越精明,更善于寻找获取某人凭证的途径,并利用公司最敏感数据所在的环境。几十年来,虽然该行业一直在努力打击网络犯罪,但情况只会变得更糟、更复杂。
什么仍然是这个问题的根源?密码。继续使用和依赖密码是问题的根源。这就是为什么我们看到其他旨在取代密码的技术获得关注,例如密钥、生物识别和双因素身份验证,仅举几例。
密码是主要行业参与者支持的最新发展。考虑到最近对万能钥匙的所有炒作,让我们深入了解一下它们是什么(以及它们不是什么)。
密码:互操作性权衡
首先,在多供应商世界中共享密钥并不容易,这意味着要接受一些安全性和可用性权衡。万能钥匙的部分效用是使这些凭据能够跨多个设备进行互操作。在我们生活的世界中,您的 Windows 笔记本电脑上的 Apple iPhone 和 Google Chrome 浏览器连接到 Microsoft 365 云帐户很常见(例如,用户使用 Apple、Google 和 Microsoft 设备和/或软件)。谷歌已经能够在其生态系统中启用密钥,因为它们拥有所有各种必需的元素(浏览器、基于云的帐户和硬件)。
但现实世界要求用户能够使用具有可互操作安全性的多个供应商。如今,要获得与所有这些关键软件、服务和硬件元素的互操作性以及与密钥的连接,需要一个强大的身份验证解决方案来消除这种复杂性并简化部署。
企业弊端
其次,对密钥技术的访问还不如提供给员工的安全密钥那样容易获得和安全,因此组织可以“证明”用户是他们所说的人并满足安全合规性和法规要求。目前,“没有任何机制可以让企业说,'嘿,我想用我控制的加密机制来保护我组织的私钥,'” Winsmarts 的 Sahil Malik说。
最后,确保密钥的备份和恢复能够安全进行并且用户摩擦最小还取决于安全密钥的存储和处理方式。我们意识到这种粒度很重要,可能对企业采用密钥构成挑战。
跨设备碎片
挑战在于,当今的笔记本电脑、台式机和移动设备环境,加上网络和不同的应用程序,是一个复杂的环境,在我们的大多数情况下,密码尚未完全解决。
密钥是朝着完全消除密码迈出的重要一步。也就是说,作为一个行业,我们仍然有很多工作要做。让密码无处不在,无论平台或设备如何,都不会在一夜之间发生。
密码的未来
那么企业安全经理今天应该做什么呢?
目前,开始实施密钥的一个好地方是您的移动优先最终用户。Apple 和 Google 所做的工作主要集中在智能手机对密码的支持,利用手机中的触摸和面部识别传感器。
FIDO 硬件密钥是您最敏感的人员的不错选择。例如,揽阁信息出售的Thales SafeNet FIDO2 Devices(PKI-FIDO身份认证硬件)
最后,研究各种第三方身份验证解决方案,这些解决方案可以简化不同平台提供商之间的部署复杂性,并且可以支持范围广泛的应用程序和身份验证器。
密钥本身并不是一种放之四海而皆准的解决方案。密码可以跨行业提供很多,特别是对个人最终用户,但它们还有很长的路要走,因为每个行业都有自己需要满足的独特需求和需要克服的挑战。但是,相信我,我们快到了!
揽阁信息可提供的部分安全产品和解决方案信息
联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:
-
数据库访问控制:揽阁LGPAC系统
-
通用HSM:Luna HSM、ProtectServer HSM
-
支付HSM:payShield 10K
您还可以得到揽阁信息所提供的优质服务。
揽阁信息 · 值得您信赖的信息安全顾问!
联系我们
免费试用留言
客服电话