在这篇文章中,我们将讨论基于FIDO2标准与WebAuthn(W3C)相结合的passkeys(通行密钥,以下同)将如何实现无密码认证、 它们可以提供什么样的优势,以及当前的局限性在哪里。
通行密钥是建立在FIDO标准上的,作为密码的替换产品,它可以跨越用户的不同设备,针对应用和网站提供更快、更便捷、更安全的登录方式。与密码不同的是,通行密钥总是强化且抗钓鱼的。通行密钥简化了应用于网站上的注册流程,容易使用,可以在大多数用户的设备上,甚至非同一物理空间的设备上跨设备工作。
通行密钥是基于现有的FIDO和W3C标准发展而来,它允许创建受加密保护的凭证。与以前相比,通行密钥可以在多设备间同步,从而可以实现跨设备和平台的无密码登录。
除了通行密钥以外,还有其他方式可以减少身份识别系统对密码的依赖,比如采用Magic Links(魔法链接)、依赖(短暂的)一次性密码、证书和基于服务器端的生物识别技术。它们各有利弊。而将通行密钥与其他方法区分开来的是,它可以整合到现代浏览器和操作系统中,并且能提供嵌入式的防钓鱼保护。
通行密钥的优势
支持以通行密钥作为密码的替代方式进行认证,可以增加网上账户的安全性,并可以减少登录时的不便。
安全
长期以来,一些不法分子已经找到了很多方法可以大规模入侵只受密码保护的账户。他们使用的一些手段包括钓鱼网站、凭据猜测,或者复用来自被入侵平台的被泄露的密码存档中的密码。这意味着单纯依靠密码无法提供足够的安全保护,从而导致对于广泛的攻击者来说盗用账户的经济收益仍然很可观。
传统密码政策仅仅依靠要求密码满足一定复杂度标准或者定期更换密码等,这已被证明是不足的,甚至是适得其反,而且也无法提高账户被盗用的成本。
而基于通行密钥的认证机制可以更有效的确保登录尝试的请求是来自合法用户的,因为通行密钥本身具有抵御钓鱼攻击的能力,且不会被恶意攻击者拦截。
还有其他的无密码验证方法,一样不依赖静态、可复用的凭证。像依靠Magic Links(魔法链接)、一次性密码或者证书的登录方式,可以具备与通行密钥类似的优势。
访问与可用性
对大多数人来说,密码在访问数据、账户以及进行在线交易时,明显给他们带来了不便。服务提供商在用户注册流程中检测到当用户需要创建新密码时就已经有大量用户中断了申请。仅仅帮助用户重置遗忘的密码就会给支持的部门和组织带来巨大的成本和负担, 这种情况同样发生在消费类应用和工作类应用中。
用户难以记住各种服务所需要的独特密码,这可能导致他们停止继续使用之前注册过的服务。这对于依赖用户能够登录才能提供服务的业务影响很大,会导致用户流失率的增加和收入的降低。
弃用旧设备并切换到新设备是用户最有可能放弃使用服务的一个特别时间点。在设置新设备时,大多数服务都需要用户重新登录。那些忘记了登录凭证的部分用户甚至都不会尝试恢复或者压根无法成功恢复。
对于在新设备上登录而带来的麻烦,不同类型的服务受到的影响程度有所不同。企业提供的工具相对来说留存率更高一些,因为员工需要这些工具来完成工作。具有付费订阅或社交元素的服务也会有较低的用户流失率,因为用户会受到金钱或社会因素的直接激励而重新登录账号。
即使考虑 5%的用户流失率,这对大多数企业来说这已经是较低的水平,但其所造成的业务成本也非常可观。这降低了这些用户对平台的参与度和给平台带来的生命周期价值。
其他认证方法比如Magic Links(魔法链接)、手机号验证、社交账号登录等也不依赖用户记忆的知识因素。就用户流失率而言,这些方法也提供了类似的优势。
生物识别与本地PIN码
通行密钥是通过设备的某些功能来进行实现认证的,这取决于操作系统。在大多数情况下,是指某种生物识别技术,比如指纹或面部识别。生物识别数据仅存储在设备上,不会与任何云服务同步。在这种情况下,生物识别技术纯粹就是被用来认证该设备上已注册的所有者。
即使没有生物识别功能的设备也可以使用本地生成的PIN码来解锁密钥凭证。
用户密钥使用之旅
一般来说,与通行密钥有关的交互通常在IAM生命周期中可以分为两个步骤:注册(一次性创建凭据)和身份验证(登录时使用凭据)。
注册
为账户注册一个新的通行密钥,第一步是创建一组新的FIDO凭据。这个步骤可以在创建并注册无密码账户时实施,或者在后续阶段替换现有身份验证方法。
当系统服务提示用户注册一组新通行密钥时,他们必须执行本地身份验证检查,如FaceID(苹果),Windows Hello(Windows)或类似的方法,具体取决于用户所使用的设备。
身份验证
当用户登录网站或应用程序时,系统会执行检测,用户需要提交一组通行密钥才能登录,系统将引导用户进行本地身份验证过程,这与用户的注册过程相同。
通行密钥替代密码
通行密钥是用来在登录时替代密码的。它提供了更强的安全性。
用通行密钥替换密码的方案解决了基于密码的身份验证所带来的许多安全和访问问题。
通行密钥可以绑定底层平台帐户(例如,iCloud、谷歌、微软),以便在同一生态系统中跨设备使用。这意味着有访问权限的人都可以访问这些账户,并可以在新设备上注册这些账户。相对于使用密码进行身份验证,这个方案所提供的保护更加难以被绕过。在某些情况下,仍然推荐使用双因素身份认证方法,如身份验证应用程序、短信或FIDO认证的安全密钥。
通行密钥和零信任
为了了解密钥如何融入零信任(Zero Trust, ZT)环境,我们需要区分规范和它的实现方式。在零信任环境中,身份验证的指导原则是,需要使用强身份验证持续验证对关键资产的访问。FIDO和PKI提供的措施非常适合零信任原则,这是一种对抗网络钓鱼的高质量方案。
苹果是第一批支持通行密钥验证的公司,在2022年下半年就发布了iOS、MacOS和Safari的主要更新。他们选择不提供设备ID,同时不向依赖方说明密钥是在相同或不同的设备上创建的。从零信任的角度来看,获得这些信息可以让你在基于密码的登录流程中因为使用一组同步凭据集而做出不同的决定。
零信任环境的最大好处是与传统方法相比,使用通行密钥进行身份验证可能产生的分歧更小。它不仅为依赖方提供了更为频繁的执行用户验证检查的能力,而且还带有一个强烈的信号,表明发出请求和身份验证和是在同一设备上进行的。
密钥的局限性
虽然密钥显著提升了安全基线并降低了访问成本,但它们并不是解决所有帐户安全问题的灵丹妙药。恶意分子将继续尝试破解在线账户来经营他们的骗局,但将被迫使用成本更高的方式。
生物特征识别(例如,面部、指纹)无法在多个设备之间同步。使用本地身份验证仅能作为设备所有权的证明。事实上,纯粹用生物识别特征作为本地用户验证,对于想要利用通行密钥作为客户身份识别(KYC)的目的来说并不合适。
有限的支持
为了使通行密钥发挥作用,操作系统和浏览器都需要提供相应的支持。
在过去的8个月里,苹果、谷歌和微软都推出了对通行密钥的支持,尽管如此,这些细节对消费者和IT管理员而言,可能仍会有些难以理解。
对通行密钥的支持仅限于较新版本的操作系统,这意味着仍然需要在老版设备或浏览器上登录的用户不能依赖这种新方法,需要提供替代的解决方案。
像Passkey.io和webauthn.io这类网页测试应用,是帮助用户理解网页验证和通行密钥在各平台上的表现的理想选择。
实施路径
与所有新技术一样,从密码到通行密钥的转型也会经历一个长期的过渡阶段。目前通行密钥的支持还比较有限,其被采纳的速度也将取决于依赖方能够多快地实现对网页验证/通行密钥的支持,并激励其用户群体采用这种新的认证方式。
为了迈出这一步,依赖方不得不考虑对其身份验证基础设施进行投资的价值。尽管它在消费者平台中普及率很低,他们可能会犹豫。依赖方在早期支持通行密钥可以获得的直接好处之一是减少那些容易忘记密码的人的流失。即使密码还不能被逐步淘汰,有一个备案的通行密钥将使相同生态系统中的设备之间的身份认证迁移更容易、更成功。
基础平台账户
随着密钥被广泛的采用和使用,攻击者很可能会以基础平台帐户为目标来获取这些凭据的访问权限。务必要记住,这些账户已经携带了敏感信息,包括同步密码等,应该利用谷歌、苹果、微软等公司提供的保护方法来保护。
对基础账户的依赖引发了安全从业者的担忧。企业担心通行密钥会使他们的安全性更依赖于平台帐户,而这些账户通常由员工控制,这可能会降低企业的安全基线。虽然这些是需要被考虑的、合理的风险,但基于通行密钥的的身份验证确实提高了抵御大多数类型在线攻击门槛。
通行密钥与既有框架
通行密钥在许多方面代表了一种范式转变,它改变了人们对其在线帐户进行身份验证的方式。虽然FIDO联盟将其定位为密码的替代品(用户所知道的),但它具有来自更传统的双因素身份验证方法的特征(用户拥有和用户所是)。
美国国家标准与技术研究所(NIST)在SP 800-63B中为认证器定义了三个保证级别。密钥的防网络钓鱼能力意味着它提供了比AAL1(验证器保证级别1)要求更高的保证。
为了符合这些标准,组织必须从整体解决方案的角度来看待通行密钥。
FAQ:常见问题及解答
问:使用生物特征生成的密钥会保存到云端吗?
答:不会保存在云端。密钥不包括用户的生物特征信息。在设备上使用的生物特征被存储和使用在本地。密钥本身无法确保在设备A和设备B上使用它的人是同一个人。
问:密钥是基于硬件还是基于软件的2FA的替代品?
答:不一定。根据客户所面临的风险情况,部署双因素验证策略仍然是明智的。虽然密钥提高了安全基线,对许多账户来说可能已经足够了,但它并不是防止账户被接管的灵丹妙药。
问:如果我的平台帐户(如iCloud、谷歌)被攻破,会发生什么情况?
答:如果有人能够访问受害者包含密钥的平台帐户,他们将面临失去拥有访问这些凭据的权限风险。与简单的用户名/密码登录相比,这种攻击向量的成本要昂贵得多。
问:如果我丢失了我的密钥,会发生什么情况?
答:依赖方必须提供密钥恢复机制,以防用户丢失主要凭证。
参考资料
以下是一些有用的参考链接,可帮助您了解最新的密钥生态系统。
相关课程推荐
云安全联盟大中华区推出了零信任认证专家 ( Certified Zero Trust Professional,简称“CZTP”) ,(点击跳转详情) CZTP是零信任领域首个面向从业人员的安全认证,涵盖最新的国际零信任架构技术与系统的实践知识,旨在为网络信息安全从业人员在数字化时代下提供零信任全面的安全知识,培养零信任安全思维与实战能力,为企业守护核心数字资产。
文章来源:CSA官网https://cloudsecurityalliance.org/blog/2023/06/22/passkeys-zero-trust/
翻译与审校:
白玉强,云安全联盟大中华区专家、奇安信咨询顾问
王阳,云安全联盟大中华区专家、沃尔玛信息安全总监
王彪,云安全联盟大中华区专家、天融信数据安全治理专家