新的且更進階的驗證方式
通行金鑰是一種多重要素驗證形式,使用公開金鑰加密搭配生物特徵辨識 (例如指紋和臉部辨識) 或裝置 PIN 來驗證帳戶擁有者的身分識別。通行金鑰可取代傳統密碼。
什麼是通行金鑰?
了解什麼是通行金鑰、為什麼它們比傳統密碼好,以及它們如何轉型網路安全性。
通行金鑰是一種多重要素驗證形式,使用公開金鑰加密搭配生物特徵辨識 (例如指紋和臉部辨識) 或裝置 PIN 來驗證帳戶擁有者的身分識別。通行金鑰可取代傳統密碼。
主要重點
- 每個人員與裝置都有獨一無二的通行金鑰,為個人和組織提供安全登入線上帳戶的方式。
- 除了其他安全性優勢外,通行金鑰可提升對網路釣魚攻擊的防護、降低帳戶盜用的風險,並改善法規合規性。
- 通行金鑰與多個系統和裝置相容,並且可以整合至現有的安全性基礎結構中。
- 通行金鑰的實作包含五個階段,從評定和規劃到訓練和感知。
- 隨著通行金鑰使用度的增加,組織正在尋找方法來克服員工對變更、互通性問題及其他相關採用挑戰的對抗。
使用通行金鑰加強網路安全性
通行金鑰的安全性優勢
即使採取了強大的密碼保護措施,通行金鑰比傳統密碼提供了數種安全性優勢。以下是使用通行金鑰的一些主要安全性優勢。
實體持有需求
由於每個使用者和裝置都有獨一無二的通行金鑰,因此駭客幾乎無法猜測或竊取通行金鑰。即使他們還是以某些方式存取您的通行金鑰,他們仍需要實體存取您的裝置才能使用它。
降低帳戶盜用的風險
由於通行金鑰的實體持有需求與強大的安全性功能,相較於傳統密碼型驗證方法,通行金鑰具有降低帳戶盜用的風險。即使通行金鑰遭到入侵,攻擊者仍需要實體存取該裝置,才能完成驗證程序。
遵守安全性標準
通行金鑰通常符合或超過受監管產業 (例如財務、醫療保健及政府) 的安全性標準和合規性需求。其強大的安全性功能使其非常適合用於保護敏感性資料,並符合產業特定法規的規範。通行金鑰也可與 OAuth 搭配使用,來授權應用程式和服務之間的存取權,而不洩露敏感性資訊。
復原安全性
當您忘記傳統的登入認證時,重新取得帳戶存取權通常需要重設密碼和/或某些形式之雙重要素驗證的使用。通行金鑰則是可以跨您的裝置進行安全地同步處理。如果您失去了與您的通行金鑰同步的裝置,可以使用其他裝置復原帳戶的存取權。
通行金鑰相容性和整合
通行金鑰與廣泛且日益成長的系統和裝置相容。Microsoft、Google 和 Apple 已開始將通行金鑰整合至其產品和服務中。這表示您可以使用通行金鑰保護各種裝置上的帳戶,包括:
- Windows 裝置。
- iOS 16+ iPhone 和 iPad。
- macOS 13+ 電腦。
- Android 裝置。
實作通行金鑰: 從理論到實務
許多組織正從傳統密碼轉換為通行金鑰,以實現提高的安全性與便利性。通行金鑰的實作程序可分成五個階段來實現:
1. 評定與規劃。 在這個階段中,您應該評估組織目前的密碼管理做法、安全性需求和合規性要求,以判斷實作通行金鑰的需求和目標。
2. 通行金鑰解決方案選取項目。 一旦決定了貴組織的通行金鑰需求,您應該尋找符合它們的解決方案。要考慮的因素可能包括安全性功能、可擴縮性,以及與現有安全性系統的相容性。
3. 與通行金鑰相關的原則開發。 定義概述貴組織中通行金鑰建立、使用方式、保護和儲存之需求的通行金鑰原則和指南。
4. 實作和整合。 在您清楚概述了通行金鑰原則之後,即可以跨貴組織部署您選擇的通行金鑰解決方案。您接下來應設定符合貴組織需求的安全性設定,並進行測試以確保與現有系統的適切整合。
5. 訓練和意識。 一旦將通行金鑰整合至組織的安全性系統後,您應該提供全面性的訓練,協助員工安全地建立、使用及儲存其通行金鑰。
1. 評定與規劃。 在這個階段中,您應該評估組織目前的密碼管理做法、安全性需求和合規性要求,以判斷實作通行金鑰的需求和目標。
2. 通行金鑰解決方案選取項目。 一旦決定了貴組織的通行金鑰需求,您應該尋找符合它們的解決方案。要考慮的因素可能包括安全性功能、可擴縮性,以及與現有安全性系統的相容性。
3. 與通行金鑰相關的原則開發。 定義概述貴組織中通行金鑰建立、使用方式、保護和儲存之需求的通行金鑰原則和指南。
4. 實作和整合。 在您清楚概述了通行金鑰原則之後,即可以跨貴組織部署您選擇的通行金鑰解決方案。您接下來應設定符合貴組織需求的安全性設定,並進行測試以確保與現有系統的適切整合。
5. 訓練和意識。 一旦將通行金鑰整合至組織的安全性系統後,您應該提供全面性的訓練,協助員工安全地建立、使用及儲存其通行金鑰。
有效的通行金鑰管理
建議建立有關通行金鑰使用的最佳做法清單。以下是一些幫助您開始使用的最佳做法:
- 輔助通行金鑰建立,以便員工可以輕鬆產生通行金鑰並加以使用。
- 確保所有通行金鑰都可探索,以便員工可輕鬆地尋找其來源。清楚指出每個通行金鑰的原始來源。
- 鼓勵跨多裝置使用通行金鑰,來建立備援並避免手動重設。
- 如果員工使用密碼等備援方法登入,請考慮提示他們建立新的通行金鑰。
通行金鑰如何運作?
通行金鑰依賴一種稱為公開金鑰加密的技術,此技術已長時間用來驗證網站。公開金鑰加密透過一對金鑰運作:用於加密的公開金鑰和用於解密的私密金鑰。這允許系統之間進行安全通訊和驗證,無需事先交換金鑰。 通行金鑰會使用與驗證網站相同的公開金鑰加密來驗證個人帳戶。他們確認使用者的裝置具有登入帳戶所需的通行金鑰,而生物特徵辨識或裝置 PIN 則確認裝置由該使用者所持有。
FIDO 聯盟在推動通行金鑰上所扮演的角色
The Fast Identity Online (FIDO) 聯盟是一個開放產業協會,旨在幫助推動無密碼驗證的採用。自 2013 以來,FIDO 聯盟一直致力於透過開發與新形式驗證相關的標準和規範,以減少世界對密碼的依賴。FIDO 聯盟開發的標準和互通性通訊協定,可讓使用者使用通行金鑰以跨各種裝置和服務上安全地進行驗證。
克服通行金鑰採用所面對的障礙
雖然許多組織正從傳統密碼轉換到通行金鑰以改善其安全性,但實作通行金鑰仍有一些障礙和疑慮。
以下是採用通行金鑰的一些常見障礙和可能的解決方案:
障礙: 員工可能會拒絕變化,尤其是如果他們已習慣了傳統的密碼型驗證方法。他們可能不完全理解通行金鑰的優勢或該如何有效使用它們,因而導致了低採用率。
解決方案: 提供全面性的教育與訓練計劃,以協助員工理解通行金鑰的優勢以及安全地加以使用的方式。
障礙: 通行金鑰系統可能無法與所有裝置、平台或應用程式相容,進而導致互通性問題。
解決方案: 與裝置製造商和軟體開發人員合作,確保通行金鑰系統與大範圍的裝置、平台和應用程式相容。
障礙: 員工可能會擔心通行金鑰系統的安全性,尤其是關於其生物特徵辨識資料的保護或其通行金鑰儲存的完整性。
解決方案: 實作強大的安全性措施 (例如加密、多重要素驗證和安全儲存做法) 來因應員工的安全性考量並保護其資料。
雖然實作任何新技術都會面臨挑戰,但通行金鑰所提供的增強安全性態勢、便利性和易於使用的驗證,都使克服這些和其他實作障礙所付出的投入顯得非常值得。
以下是採用通行金鑰的一些常見障礙和可能的解決方案:
障礙: 員工可能會拒絕變化,尤其是如果他們已習慣了傳統的密碼型驗證方法。他們可能不完全理解通行金鑰的優勢或該如何有效使用它們,因而導致了低採用率。
解決方案: 提供全面性的教育與訓練計劃,以協助員工理解通行金鑰的優勢以及安全地加以使用的方式。
障礙: 通行金鑰系統可能無法與所有裝置、平台或應用程式相容,進而導致互通性問題。
解決方案: 與裝置製造商和軟體開發人員合作,確保通行金鑰系統與大範圍的裝置、平台和應用程式相容。
障礙: 員工可能會擔心通行金鑰系統的安全性,尤其是關於其生物特徵辨識資料的保護或其通行金鑰儲存的完整性。
解決方案: 實作強大的安全性措施 (例如加密、多重要素驗證和安全儲存做法) 來因應員工的安全性考量並保護其資料。
雖然實作任何新技術都會面臨挑戰,但通行金鑰所提供的增強安全性態勢、便利性和易於使用的驗證,都使克服這些和其他實作障礙所付出的投入顯得非常值得。
影片
在四分鐘內說明通行金鑰
深入了解通行金鑰如何運作,包括它們如何增強您對資料外洩和網路釣魚詐騙的防護。
推動網路安全性的創新
領先的科技公司已經將通行金鑰整合到其產品和服務中。隨著越來越多組織了解使用通行金鑰的安全性優勢,這種趨勢可能會持續進行。透過使個人和組織更容易使用通行金鑰保護其帳戶和資料,這種廣泛採用已經並且將繼續推動網路安全性的創新。
隨著通行金鑰使用度的增加,無密碼的未來將更接近現實。希望加強安全性態勢、改善使用者體驗並為未來做好準備的組織,可能會想要考慮從傳統密碼切換到如通行金鑰的無密碼驗證形式。Microsoft 安全性提供數種服務和解決方案,可協助組織開始向無密碼驗證進行轉換。
常見問題集
- 密碼使用字元字串進行驗證,而通行金鑰則使用公開金鑰加密進行安全驗證,不需要共用密碼。
- 通行金鑰透過一對不明的金鑰運作:用於加密的公開金鑰和用於解密的私密金鑰。通行金鑰會儲存在使用者的裝置上,以透過生物特徵辨識或裝置 PIN 來驗證其身分識別。
- 建立通行金鑰通常會需要建立一組加密金鑰。這可以使用驗證平台所提供的加密軟體程式庫或工具來完成。
- 金鑰比傳統密碼提供更安全且易於使用的驗證。如果您想要降低安全性入侵的風險並增強整體安全性態勢,建議您使用通行金鑰。
- Yubikey 是一種安全性金鑰類型。安全性金鑰會儲存通行金鑰。儲存在安全性金鑰上的通行金鑰是裝置繫結,這表示它們永遠不會離開其所儲存的裝置。
關注 Microsoft 安全性