英國NCSC建議企業默認向客戶提供通行密鑰

英國國家網絡安全中心（NCSC）建議企業將通行密鑰（Passkeys）作為提供給消費者的默認身份驗證方法。該機構指出，隨著行業的發展，通行密鑰現在已經成為比傳統密碼更安全、更易用的替代方案。在本周發布的一篇博客文章中，NCSC表示，通行密鑰現在可以作為首要的身份驗證方法推薦給公眾和企業。該英國網絡安全權威機構強調，通行密鑰應成為消費者登錄的首選，而傳統密碼在當今世界已不再具備足夠的安全彈性。通行密鑰是一種較新的在線賬戶登錄方法，它為用戶承擔了大部分繁重的安全驗證工作，只需要用戶進行授權驗證，而無需手動輸入密碼。這使得通行密鑰使用起來更快捷、更簡單，同時也讓網絡攻擊者更難攻破。

該機構表示，只要系統支持，就應該全面使用通行密鑰，并稱其能夠有效抵御網絡釣魚攻擊，徹底消除與密碼重復使用相關的風險。這一指導意見是基于該機構對各種身份驗證方法在抵御現實世界網絡攻擊中表現的綜合評估。NCSC指出，其分析涵蓋了網絡釣魚、憑據重用和會話劫持等常見攻擊技術，并評估了憑據從創建、存儲到使用的整個生命周期中的暴露風險。在隨附的技術文件中，NCSC明確表示，包括密碼結合一次性驗證碼在內的傳統身份驗證方法，本質上仍然容易受到網絡釣魚的威脅。相比之下，基于FIDO2標準的憑據（如通行密鑰）在抵御常見的憑據攻擊方面，與傳統的多因素身份驗證（MFA）一樣安全，甚至更勝一籌。不過，NCSC在技術文件中也提醒，雖然這些分析大部分也適用于企業內部的身份驗證場景，例如員工的單點登錄，但由于威脅模型和使用場景存在差異，該文件并不旨在直接用于企業的內部風險評估。NCSC補充說，通行密鑰通過消除對共享密鑰的依賴，并將身份驗證牢牢綁定到合法的服務上，從而大幅降低了風險。這種機制可以防止憑據被重用和遭受中繼攻擊，因為攻擊者根本無法攔截并重新使用這些身份驗證信息。通行密鑰使用存儲在用戶設備上的加密密鑰對，其驗證過程與基于設備的生物識別技術或PIN碼緊密綁定。

對于向客戶提供在線服務的組織而言，這一指導意見標志著用戶界面層級身份驗證實施方式的重大轉變。Forrester高級分析師Madelein van der Hout表示，這是一項基礎性的架構變革，而不僅僅是身份驗證的漸進式升級。它推動組織超越密碼加MFA的傳統模式，邁向具備抗釣魚能力的堅實基礎。她強調，如果組織僅僅將其視為一種憑據替換，將會面臨投資不足的問題；而那些將其視為更廣泛的身份現代化機遇的組織，將會脫穎而出。NCSC還建議組織全面考慮如何在整個用戶旅程中實施身份驗證，這其中包括賬戶恢復和后備機制。雖然通行密鑰減少了對密碼的依賴，但如果密碼重置或賬戶恢復流程不夠安全，仍然會引入新的風險。由于通行密鑰尚未在全球范圍內得到普遍支持，NCSC建議在無法使用通行密鑰的場景下，繼續使用密碼管理器和多因素身份驗證。對于特定服務不支持通行密鑰的情況，NCSC給消費者的建議是使用密碼管理器創建更強的密碼，并堅持使用兩步驗證。Van der Hout指出，實施過程可能會遇到挑戰，特別是對于那些跨越多個平臺和用戶環境運營的組織。舊有的遺留系統和碎片化的身份環境構成了重大障礙。此外，組織還必須考慮非人類身份，任何忽視機器身份層的通行密鑰策略都會產生新的安全漏洞。設備要求和賬戶恢復流程也可能影響通行密鑰的具體部署方式。分析師普遍認為，短期內完全淘汰密碼是不太現實的。Van der Hout預計，這種混合模式將持續數年，組織將繼續同時支持通行密鑰和傳統身份驗證方法。在此期間，組織需要妥善管理多種登錄選項，同時確保后備方法不會削弱整體系統的安全性。NCSC的指導意見為消費端身份驗證擺脫密碼依賴的更廣泛努力提供了強有力的支持。分析師認為，這一指導意見至關重要，因為它為安全領導者在與供應商及內部利益相關者的溝通中提供了籌碼。向抗釣魚攻擊的身份驗證方式轉變，有望大幅減少引發網絡安全事件的主要誘因。

Q&AQ1：什么是通行密鑰（Passkeys）？

A：通行密鑰是一種較新的在線賬戶登錄方法。

它使用存儲在用戶設備上的加密密鑰對，用戶只需通過設備自帶的生物識別（如指紋、面部識別）或PIN碼進行驗證，無需輸入和記住傳統密碼，登錄過程更快捷且更難被黑客破解。

Q2：為什么英國國家網絡安全中心建議企業默認提供通行密鑰？

A：因為通行密鑰比傳統密碼更安全。

它能有效抵御網絡釣魚攻擊，徹底消除了用戶在不同網站重復使用相同密碼帶來的風險，并能防止黑客攔截和重用身份驗證信息，從架構層面提升了安全性。

Q3：如果某些網站或服務目前還不支持通行密鑰怎么辦？

A：專家建議，在網站或服務尚不支持通行密鑰的情況下，用戶應該繼續使用密碼管理器來生成和保管高強度、復雜的密碼，并務必堅持開啟兩步驗證（MFA）功能，以保障賬戶的基本安全。