釣魚騙局仍然是社會工程攻擊的主要方式,新的無密碼認證方式就是其中一個防範的方式。最近 Microsoft 就為手機 Azure AD 推出無密碼認證功能,希望可以進一步避免釣魚攻擊。
無密碼認證方式現在是 FIDO 聯盟致力推動的反網絡釣魚方式,Microsoft、Google 和 Apple 等科技企業都已經承諾開發相關方案,逐漸減少純粹使用密碼就可登入的情況。Microsoft 今次就為 iOS 和 Android 的 Azure AD 用戶推出使用 YubiKey 實體安全密鑰進行無密碼登入的功能,這個功能受 FIPS 認證,可以提供更高的安全性。
對於需要在混合工作模式底下工作的員工而言,這樣的登入方式遠遠較密碼登入安全,就算不慎點擊釣魚連結,也不會因為密碼被盜令整個系統陷入風險之中。除了今次推出的功能外,Microsoft 已經為 Azure、Office 365 和遠端桌面平台推出憑證型驗證 (CBA) 和防釣魚解決方案,相信未來會在更多產品上加入類似功能。
來源:VentureBeat
