2022 身份认证高端论坛:第三天回顾
发布时间:2022-11-26 06:39:21|浏览次数:769
2022身份认证高端论坛的最后一天充满了用户案例、思想领导力和小组讨论,讨论了FIDO强身份认证在现在和未来几年面临的挑战和机遇。
当天的第一个用户案例来自全球科技公司EMD集团/默克公司,该公司目前正在使用FIDO来帮助改进自己的认证系统。该公司身份和访问管理领域架构的负责人Dennis Kniep解释说,他的团队的任务是确保公司业务的安全,他认为FIDO扮演着重要角色。
EMD集团/默克公司在实施FIDO时面临的一个挑战是,存在许多遗留应用和服务,它们不支持最近几年的web标准。
“我们开发了分离身份认证”,Kniep解释道,“通过这种机制,用户能够以防钓鱼的方式向FIDO进行身份认证,即使用户需要访问老应用系统,这意味着我们可以强制执行FIDO。”
不仅仅是web应用需要安全
FIDO强身份认证有助于为许多不同类型的系统提供身份认证,但它并非所有类型访问的普遍选择。
CVS Health的EIS首席总监John Poirier说:“每个人都在谈论web和移动应用,而没有人谈论联系中心。”
Poirier解释说,当口令不起作用,或用户无法访问时,他们会致电联系中心寻求帮助。他强调,有必要确保联系中心的安全政策、程序和技术到位,而不会带来太多使用中不便利。
Allthenticate首席执行官Chad Spensky和他的联合创始人兼首席运营官Rita Mounir也讨论了将强身份认证扩展到所有类型设备的想法。
Spensky说:“FIDO协议目前只适用于PC和移动端。”
Spensky希望为所有类型的设备提供强身份认证,从汽车到办公室门以及所遇到的一切。
审视身份认证环境
在一次主题演讲中,微软身份标准总监Pamela Dingle像海盗一样发言,并警告乘客从船上掉下来。
这艘船的是帮助乘客安全到达目的地,但这并不总是一件容易的事情。Dingle表示,微软每秒阻止1000多次面向口令的攻击,并概述了口令是薄弱环节的多重原因。她强调,用户在乘船时应该穿救生衣,这在现实世界中转化为用户多因素身份认证(MFA)。
虽然MFA仍然存在风险,但Dingle表示,这对许多人来说是正确的第一步,最总他们需要使用FIDO进行抗钓鱼的强身份认证。
“在10,000个被盗帐户中,只有一个是对MFA凭据的攻击。”她说,“了解口令安全风险和MFA易受旁路攻击的安全风险非常重要。”
尽管如此,她指出,像FIDO这样防钓鱼认证之所以如此出色,是因为它彻底解决了普通MFA易受攻击的原因,用户的认证凭据不可预测、不可复制。Dingle还指出,她对PassKey的前景非常乐观。
她说:“如果我们做对了,PassKey将成为我们乘客的漂浮装置的座垫。”
大规模赢得身份信任
作为现有最大的电子商务和云平台之一,亚马逊需要强身份认证,并且越来越依赖FIDO来满足这些需求。
Amazon Cognito产品负责人Sarah Cecchetti解释说,身份由亚马逊网络服务中的平台团队处理。她指出,身份需要为AWS的每项服务提供一致的安全性和可用性。为此,AWS构建了一种使用FIDO的模块化但集中管理的架构。
AWS用户认证产品高级经理Arynn Crow表示,AWS在FIDO2上投入了大量资金。
“我们将继续投资,因为从根本上说,我们相信FIDO可以支持更大的灵活性。”Crow说,“我们在用户体验和安全性之间的权衡更少。”
可用性是采用强身份认证的关键
在关于可用性的小组会议上,出现的一个关键主题是提高FIDO部署率。
摩根大通副总裁、数字认证产品经理Judy Clare评论说,应将强认证的用户提示和流程设计置于合适的位置。
Clare说:“正确的措辞,让普通用户清晰、简单和易懂是非常重要的,这样你就不会因为使用所有技术术语而排斥任何人。”
Duo Security的高级产品设计师Sierre Wolfkostin也表达了对清晰提示的需求。Wolfkostin说,很难接受你无法理解的东西。
Wolfkostin说:“转换为简单的人类语言非常重要。”
可用性还包括确保有一个充满活力的供应商和技术生态系统,可以帮助大大小小的企业首先实现FIDO强身份认证。
在活动的闭幕式上,谷歌产品经理Christiaan Brand评论说,虽然人员配备充足的公司或许能够自行实施强身份认证、部署PassKey,但许多其他公司仍需要帮助。这是企业中常见状况,他们可以利用顾问和服务商来实施复杂的技术。
CISA高级技术顾问Bob Lord认为,最好的办法就是从FIDO开始。他强调,组织应该关注他们能做什么,而不是不能做什么。
“我认为一开始会有很多纠结,”Lord说。“我认为,他们只要开始旅程,许多误解就会消失,他们会发现他们的理解是错误的。”
公平和包容事项
2022身份认证高端论坛,一个反复出现的主题是需要公平和包容。
一个关于该主题的小组专门研究身份认证和身份系统的包容性问题。Venable LLP网络安全服务高级总监Jamie Danker评论说,在解决问题时,试图解决某一问题的人员的构成将对解决方案产生影响。
Danker指出,美国政府总务管理局(GSA)最近完成的一项股权和包容性研究提供了一些关于远程身份认证解决方案实际运作的真实经验数据。
Danker还提到了NIST数字身份指南,该指南目前正在更新到第4版。她指出,NIST已经非常明确,公平考虑将成为其中的一部分。
2023年将在圣地亚哥举行
在闭幕式上,FIDO联盟执行懂事Andrew Shikiar强调了这些活动的目标。
我们的目标,是告诉大家真实的FIDO部署,组织可以而且应从今天开始。可用性是另一个常见的问题,是确保能成功部署的关键。社区里对安全的讨论,也在会议上也引起了共鸣,大家相互学习经验教训。
归根结底,2022身份认证高端论坛取得了巨大的成功,共有90场会话,横跨三个赛道和三天的内容。
明年的活动,2023身份认证高端论坛将在圣地亚哥举行。