網絡安全專家對身分識別供應商防範攻擊能力的信心急劇下降。Cisco 旗下 Duo Security 最新調查揭示,資訊安全界正經歷嚴重的身分識別危機。該公司調查了北美及歐洲 650 名網絡安全領導者,結果發現僅 33% 受訪者對供應商提供的安全防護措施有信心。
安全公司 eSentire 7 月報告顯示,針對用戶登入的網絡攻擊急增 156%,目前超過 59% 調查案件均與登入認證相關。CyberArk 研究亦指出,機器身分數量已按 82:1 比例超越人類身分,令企業面對前所未有的安全挑戰。
身分與存取管理領域面臨多重困境,包括過於複雜的安全解決方案、缺乏對潛在弱點的洞察力,以及企業往往將身分安全視為次要考慮。調查發現 74% IT 領導者承認在基礎設施規劃中,身分安全經常被忽視。
多重因素認證仍存漏洞
雖然多重因素認證 (MFA) 理論上能阻止大部分攻擊,但黑客仍不斷開發新的繞過方法。社交工程和內部威脅始終存在風險,企業若認證機制實施不當更會造成額外漏洞。大部分安全主管擔心企業內並非所有裝置和應用程式都受 MFA 保護,即使 87% 受訪者表示優先採用防釣魚解決方案,但少於三分之一對其效用感到滿意。
CrowdStrike 2025 全球威脅報告指出,濫用有效帳戶已成為雲端環境的主要初始入侵途徑,佔 2024 年上半年所有雲端事件 35%。攻擊者愈來愈頻繁利用合法憑證混入系統並逃避偵測,令傳統防禦措施難以發揮作用。
傳統 MFA 指密碼加上較易被釣魚的第二重認證,例如一次性密碼 (OTP) 和推送通知。防釣魚 MFA 則採用 passkey、證書認證和生物識別技術,在憑證外洩時提供額外保護。當企業缺乏強大的 MFA 保護,便可能遭受商業電郵詐騙 (BEC) 和勒索軟件攻擊,造成重大損失。
無密碼認證技術獲企業採納
無密碼認證多年來被視為解決方案,但許多人仍對 passkey 等技術能否取代傳統密碼存有疑慮。Duo 堅持業界專業人士明確支援無密碼存取,但由於 MFA 的實施已相當複雜,要在現實環境推行認證革命仍然困難重重。
FIDO Alliance 調查顯示 87% 企業已經或正在推出 passkey,目標包括改善用戶體驗、加強安全和符合規範要求。企業優先為能夠存取敏感數據和應用程式的用戶部署 passkey,包括需要存取知識產權的人員 (39%)、擁有管理員帳戶的用戶 (39%) 和行政人員 (34%)。
超過 10 億人已啟用至少一個 passkey,消費者對該技術認知度在兩年內從 39% 躍升至 57%。目前超過 95% iOS 和 Android 裝置已支援 passkey,超過 90% 裝置已啟用該功能。Apple、Google 和 Microsoft 已在各自平台全面整合 passkey 支援。
調查發現只有 19% 受訪者採用 FIDO2 硬件權杖對抗身分攻擊,61% 表示希望轉用無密碼認證但擔心實施障礙。企業主要擔憂新認證技術與舊有系統的整合,以及員工的適應程度。
科技巨頭推動變革
Microsoft 最近宣佈 passkey 將成為消費者帳戶的預設登入方式,Google 和 Apple 亦大力支持該技術。Passkey 將實體裝置連結至數碼帳戶,用戶登入時需證明自己擁有該實體裝置的存取權限。
實施 passkey 後,企業報告密碼使用率從 76% 降至 56%,電郵一次性密碼從 55% 降至 39%。90% 受訪者報告安全性獲得中度至顯著改善,82% 注意到用戶體驗有正面影響,77% 觀察到求助熱線來電減少。
該技術類似使用硬件密鑰,但手機、手提電腦或平板電腦均能作為身分證明。用戶無需購買或攜帶額外裝置,遺失其中一個裝置後可使用另一個註冊的裝置作替代。全球前 100 個網站中已有 48% 實施 passkey,企業和服務供應商正共同迎接更快登入、更高成功率、更少帳戶被盜和更低支援成本的新時代。
企業實施策略與未來展望
企業愈來愈多採用多重身分供應商架構,以提供更大靈活性、透過多元化提升安全性,以及減少對單一供應商的依賴。持續存取評估協議 (CAEP) 標準將在 2025 年更加普及,實現對風險因素變化的即時回應,令安全系統能夠持續適應而非依賴靜態認證。
企業亦更重視強大的故障轉移機制、備用身分供應商基礎設施和持續測試驗證。即使主要系統受到破壞,這些做法對維持不間斷存取和營運韌性也至關重要。
專家強調採用無密碼解決方案、多重因素驗證和機器身分安全計劃等主動措施,將定義下一階段的數碼防禦。金融服務、邊境安全、運輸、區塊鏈和電子投票等高安全要求環境的早期採用者,包括 PayPal、Mastercard、Visa 等支付供應商和 Binance、Coinbase 等加密貨幣交易所都已實施 passkey。
企業要成功部署 passkey,需要結合用戶教育、無縫整合和策略性激勵措施。清晰溝通、簡化設定流程和強大支援,能確保用戶有信心和動力接受新認證方式。90% 受訪者強調教育和培訓在成功部署中的重要性,大多數機構 (73%) 結合 FIDO Alliance 的材料和內部文件進行用戶培訓。
隨着 AI 驅動的釣魚攻擊和身分威脅升級,以及非人類身分數量超越人類,攻擊者愈來愈多針對身分漏洞來入侵系統。企業需要重新思考身分策略,從接受多重身分供應商架構到應對併購帶來的混亂,2025 年將需要靈活性、協調性和主動防禦。成功的機構將採用整合、以安全為先的身分與存取管理策略,在韌性和準備度方面領先同業。
來源:The Register
