根据总部位于美国的无密码多因素身份验证 (MFA) 提供商 HYPR 委托进行的一项研究,与身份验证相关的攻击在 2022 年有所增长,利用了过时的基于密码的身份验证系统。
该研究由独立技术市场研究公司 Vanson Bourne 进行,调查了来自全球拥有 50 多名员工的组织的 1000 名 IT 专业人士。
其中包括来自美国 (300)、英国 (250)、法国 (100)、德国 (100)、中国 (100)、澳大利亚 (75) 和日本 (75) 的受访者。
MFA 轰炸的热潮推动了与身份验证相关的违规行为
五分之三的受访者表示,他们的组织在 2022 年成为与身份验证相关的攻击的目标。
此外,在过去 12 个月内遭受一次或多次网络攻击的 88% 的受访者中,43% 的受访者表示网络钓鱼或网络钓鱼是主要形式攻击。
推送通知攻击(MFA 轰炸)占总体攻击的 28%。这些攻击在 2021 年和 2020 年分别仅占 12% 和 9%,其中用户受到设备访问的多个推送警报的轰炸。
咨询公司 EMA 的研究总监说:组织一直在使用双因素身份验证——基于密码的主要因素和基于 OTP 或推送通知的第二因素来保护访问,该公司与该研究无关。
第二因素身份验证更难破解。为了解决这个问题,不良行为者反复向用户的手机发送第二因素身份验证请求,烦扰他们,直到他们接受请求并允许黑客访问。
由于继续依赖密码和易犯错误的用户很容易被骗向坏人提供凭据,双因素身份验证的基本方法几乎没有减缓攻击。
大多数组织仍在使用多种传统身份验证方法,例如用户名和密码 (57%)、TFA/MFA (54%)、密码管理器 (49%) 和单点登录 (43%)。只有 28% 的受访者表示他们使用某种形式的无密码身份验证。
五分之一的受访者表示,他们在去年经历了两次或更多次与身份验证相关的违规行为。据报道,与身份验证相关的违规行为的平均成本为 295 万美元。
遗留身份验证因多种原因而失败
大多数受访者 (87%) 认为他们的组织的身份验证方法是完整的并且大部分是安全的。专家指出,这源于他们对采用行业标准的无知。
大多数组织通过在现有的基于密码的身份验证工具之上分层 OTP 或推送通知解决方案来解决身份验证安全问题,因为这是解决问题的最便宜和最简单的方法。
然后他们勾选了表示他们已经满足合规性和服务协议要求的方框,并将他们的预算和精力重新集中在解决其他 IT 安全问题上。
传统的身份验证方法在管理和控制方面也存在一些痛点。调查受访者强调的问题包括难以对远程工作人员进行安全身份验证 (36%)、不受管理的第三方设备 (35%)、部署技术复杂性 (34%)、员工拒绝采用 (31%) 以及密码/凭证重置(29%)。
此外,81% 的受访者承认在忘记密码的情况下无法访问工作关键信息。该报告指出,每位员工每年在密码问题上的平均支出为 375 美元。
传统的双因素方法并没有减少安全对用户性能的影响,反而增加了用户摩擦,要求他们执行额外的任务才能访问完成工作任务所需的资源。
该研究观察到无密码身份验证的市场准备情况,因为几乎所有 (98%) 受访者都同意他们的组织将从实施无密码方法中受益。
转向无密码方法的主要动机包括改善用户体验和生产力 (45%)、加强网络安全 (43%)、推动员工采用 MFA (42%) 以及放弃不安全的遗留系统 (36%)
公开披露的建议和指令推动了人们对无密码身份验证方法价值的认识不断提高。新的无密码技术(例如密钥)的可用性和 FIDO 标准的日益普及也在加速无密码部署。
由于增强安全性、改善用户体验和业务绩效的好处超过了早期的挑战,因此与无密码系统实施费用相关的耻辱感正在消除。
该调查强调了一些关于什么是无密码身份验证的误解。在报告其组织使用无密码系统的受访者中,58% 通过移动身份验证器应用程序使用 OTP,54% 使用 OTP 硬件令牌,例如 RSA 令牌 (54%),53% 使用推送通知,50% 使用存储密码解锁生物识别并在后端中继。
发现只有 3% 的受访者使用不使用密码的真正无密码系统,这意味着绝大多数采用假定无密码解决方案的组织仍然容易受到网络钓鱼、推送疲劳和其他 MFA 攻击。
这项研究强调了对无密码方法进行教育的必要性,因为 65% 的受访者无法区分传统 MFA 和防网络钓鱼方法,82% 的受访者仍然认为传统 MFA 提供完整或高度安全。