沒有密碼就不會被盜!是時候考慮無密碼驗證了
October 21, 2022
什麼是無密碼驗證?
傳統的密碼驗證是一種運用「對特定資訊的理解」(例如密碼、個人資料等)來進行驗證,也是任何現行的 IT 系統中最常見的身分驗證方式。相對而言,無密碼驗證(Passwordless authentication)就是運用與人或裝置相關的某些形式的密鑰來執行驗證,通常是透過公開金鑰加密技術,由伺服器端保存公鑰,而裝置上則是經記號化(tokenized)處理的私鑰。 由於當今大多數的智慧型裝置都搭載了指紋與臉部辨識等功能,生物辨識認證也成為一種越來越普及的無密碼驗證方式。
密碼由於網釣攻擊變得脆弱
在 2022 年初,新的駭客集團 Lapsus$ 對多家知名公司發動攻擊,包括了 Nvidia、Microsoft、Samsung、Ubisoft、Okta 和 T-Mobile 等。他們透過社交工程向內部人員取得登入憑證,並設法潛入公司系統。在許多案例中,他們賄賂了那些擁有有效憑證的人。
此外,最近幾個月,利用釣魚郵件竊取來的憑證所造成的資料外洩事件正在增多。Twilio、Best Buy 與 Doordash 都是帳號遭到侵害的公司。近期的一起網釣攻擊包含了導向釣魚網站的連結,而且該網頁還模仿了知名 IT 服務的登入頁面,如果使用者沒有察覺,他便會受騙而在該釣魚網站中輸入有效的登入憑證,無意間將這些資訊提供給了駭客。
上述這兩種趨勢都清楚顯示了,駭客們現在攻擊的是人的弱點,而非針對系統。再者,一旦駭客取得了有效的憑證,就沒有系統能夠預防得了攻擊。這些將人作為目標的攻擊不斷增加,也表示了這些攻擊確實是有效的。
密碼的主要問題
基本上,密碼應該要是難以猜測的。而且,只有安全強度夠的密碼才能從暴力破解法之類的攻擊中保護帳戶。為了協助管理這些複雜的密碼,市面上也有不少密碼管理的解決方案。只要使用者能妥善保密,這些安全性強的密碼確實是很有效的。
但是,如果這些密碼被提供給了駭客,就沒什麼方法能阻擋他們進行未經授權的存取了。這點可以看出密碼的一個主要問題,就是其「可移轉性」。由於密碼本身與人無關,所以任何取得有效密碼的人,都能在任何地方、以任何裝置進行登入。
降低人性弱點的風險
鑑於人類可能受到欺騙,且密碼具有可移轉性,一旦任何駭客得知了某組密碼,他就能使用這組密碼進入該使用者的帳號。因此,為了減少人性弱點的風險,最好還是避免使用密碼,採取其他的驗證方式,而這也是為什麼無密碼驗證逐漸受到重視。
無密碼驗證的其中一個方式,就是以裝置本身作為驗證因子。不過,我們當然也不能排除裝置遭竊的可能性,因此它最好和多重因素驗證(MFA)搭配使用。由於攻擊的手法不斷演進,自然也不可能會有能夠對付每個攻擊的完美解方。但是,即便密碼遭到駭客竊取,裝置與多重因素驗證的結合仍然是個強大的保護。
HENNGE One:無密碼驗證的最佳解方
HENNGE One 有一項功能叫做裝置憑證(Device Certificate),讓使用者能夠透過安裝了憑證的裝置來進行登入。由於 HENNGE One 也有無密碼登入的功能,使用者可以選擇用裝置憑證來取代密碼進行登入。除此之外,HENNGE One 也提供多重因素驗證(MFA)功能,利用經註冊的行動裝置生成 OTP 來進行第二層驗證,這個步驟也能夠透過點擊在行動裝置上推播的通知來完成。
隨著網釣攻擊成功的次數越來越多,釣魚郵件在未來也只會持續增加,員工因此受騙而交出有效登入憑證的機率也只會越來越高。在這樣的趨勢下,是時候該考慮無密碼驗證了!
進一步瞭解 HENNGE One,讓 HENNGE 協助您達成無密碼驗證!
喜歡這篇文章嗎?歡迎分享出去!