新闻中心

NEWS CENTER

2022 身份认证高端论坛:第二天回顾

发布时间:2022-11-23 06:34:44|浏览次数:542

 2022身份认证高端论坛的第二天,主题讨论和演讲混合,涵盖了认证世界的多个方面,包括支付安全、生物识别、实人核验和用户体验设计。


以Visa高级总监Doug Fisher的主旨演讲开始,他讨论了全球支付系统的现状及其面临的挑战。Fisher指出,当前电子商务欺诈仍然是一种普遍存在的风险,强的在线身份认证有助于减少这种欺诈。

对于电子商务而言,强身份认证形式的挑战通常是用户体验差,它给消费者的购买过程带来了诸多困难,这可能导致购物车被放弃。为了解决这个问题,Fisher解释说,FIDO联盟、EMVCo和W3C一直在共同努力,以帮助提高互操作性,减少支付认证不良体验。这项共同努力造就了目前正在开发的安全支付确认(SPC:Secure Payment Confirmation)标准。


Fisher说:“SPC是目前正在开发的一个基于WebAuthn的web标准,用于在支付交易期间增强、简化身份认证。”“SPC和FIDO像花生酱和果冻一样相得益彰。”



MFA的风险

并非所有多因素认证(MFA)技术都是平等的,这是KnowBe4数据驱动的防御传教士Roger Grimes领导的一次会议上的主要信息。

Grimes概述了一系列MFA绕过技术,这些技术可能使攻击者能够利用易受攻击的用户。然而,他强调,基于FIDO的强身份认证与这些易受攻击MFA不同,因为它可以帮助消除许多中间人攻击,从而防范绕过技术。


Grimes说:“MFA攻击已经存在了几十年,但今年肯定会成为主流。”


BankID首席技术官Heikki Palm Henriksen最关心非FIDO MFA的风险。

Henriksen的公司提供了一种在挪威广泛使用的数字身份证。BankID于2020年开始研究FIDO,通过研究联盟发布的白皮书,确定选择FIDO并开始实施。


Henriksen说:“我们意识到FIDO2是实现BankID目标的最佳解决方案,优于其它MFA方式”。


FIDO生物识别注意事项

强身份认证可以利用指纹读取器或面部识别系统等生物特征作为身份认证。


然而,生物识别系统并非普遍没有缺陷或偏差,克拉克森大学识别技术研究中心(CITeR)主任Stephanie Schuckers讨论了这个问题。


她说:“当我们谈论与生物识别学相关的偏差时,我们真正谈论的是人口统计学或人口差异导致的变化。”


Shuckers强调,偏差与所使用的特定技术实现有关,而不是整个生物识别领域。通过测试和认证,可以更好地理解并降低潜在偏差的风险。


亚马逊的主要AI/ML标准设计者Greg Cannon与Schuckers一起参加了小组讨论,强调其目标是帮助消除口令,而生物识别实现这一目标的一项很棒的技术。


为了帮助说明生物识别欺骗是通过前期测试可以解决的问题,Shuckers在舞台上带来了一些道具,包括她自己脸上的口罩,这显然没有欺骗她手机上的面部检测系统。


消费者身份认证习惯

调研用户如何看待身份认证,是重要的途径,来获知需要怎么做才能帮助提高使用率。


FIDO联盟每年进行一次调查,研究消费者的习惯、趋势和认证技术的采用情况。FIDO联盟高级营销总监Megan Shamas表示,2022年的调查显示,用户在某些方面输入口令的次数低于往年,尽管数据远未确定。

对生物识别的认可提升,也说明其是消除口令的一种潜在、令人放心的方式。


Shamas说:“实际上,我们对消费者对生物识别的信心非常满意,”“事实上,我们调查的许多消费者都认为这是最安全的登录方式。”


帮助减少远程身份认证欺诈

波士顿联邦储备银行负责安全支付创新和研究的副总裁Marianne Crowe利用她在舞台上的时间,要求在认证生态系统中进行更多合作,以帮助防止欺诈。

Crowe指出,消费者对口令感到疲劳,许多用户只会在多个网站上重复使用相同的口令,这是一种不安全的做法。MFA是有帮助的,但她指出,如今向消费者展示MFA的方式往往是多变的。


Crowe说:“我们必须努力增加MFA的实施和采用,即使在不需要这样做的行业和企业中。”


设计系统来到FIDO

平滑的用于身份认证,特别是基于FIDO的强身份认证的方法之一是使用设计系统。


组织现在可以受益于fidoalliance.org/design-system上的FIDO设计系统,该系统提供原则、模式和可复用组件。


Trusona首席经验官Kevin Goldman说:“我们整合所有这些的目的是让产品设计师、项目经理、产品经理和工程师的FIDO部署更简单、更快。”“我们的目的是填补他们在自己的设计系统中可能存在的认证方面的空白。”

2022身份认证高端论坛的最后一天是另一个充满有用内容、深思熟虑的讨论、更多用户故事和最佳做法的日子,以帮助组织迈向无口令的未来。