英国NCSC建议企业默认向客户提供通行密钥

英国国家网络安全中心（NCSC）建议企业将通行密钥（Passkeys）作为提供给消费者的默认身份验证方法。该机构指出，随着行业的发展，通行密钥现在已经成为比传统密码更安全、更易用的替代方案。在本周发布的一篇博客文章中，NCSC表示，通行密钥现在可以作为首要的身份验证方法推荐给公众和企业。该英国网络安全权威机构强调，通行密钥应成为消费者登录的首选，而传统密码在当今世界已不再具备足够的安全弹性。通行密钥是一种较新的在线账户登录方法，它为用户承担了大部分繁重的安全验证工作，只需要用户进行授权验证，而无需手动输入密码。这使得通行密钥使用起来更快捷、更简单，同时也让网络攻击者更难攻破。

该机构表示，只要系统支持，就应该全面使用通行密钥，并称其能够有效抵御网络钓鱼攻击，彻底消除与密码重复使用相关的风险。这一指导意见是基于该机构对各种身份验证方法在抵御现实世界网络攻击中表现的综合评估。NCSC指出，其分析涵盖了网络钓鱼、凭据重用和会话劫持等常见攻击技术，并评估了凭据从创建、存储到使用的整个生命周期中的暴露风险。在随附的技术文件中，NCSC明确表示，包括密码结合一次性验证码在内的传统身份验证方法，本质上仍然容易受到网络钓鱼的威胁。相比之下，基于FIDO2标准的凭据（如通行密钥）在抵御常见的凭据攻击方面，与传统的多因素身份验证（MFA）一样安全，甚至更胜一筹。不过，NCSC在技术文件中也提醒，虽然这些分析大部分也适用于企业内部的身份验证场景，例如员工的单点登录，但由于威胁模型和使用场景存在差异，该文件并不旨在直接用于企业的内部风险评估。NCSC补充说，通行密钥通过消除对共享密钥的依赖，并将身份验证牢牢绑定到合法的服务上，从而大幅降低了风险。这种机制可以防止凭据被重用和遭受中继攻击，因为攻击者根本无法拦截并重新使用这些身份验证信息。通行密钥使用存储在用户设备上的加密密钥对，其验证过程与基于设备的生物识别技术或PIN码紧密绑定。

对于向客户提供在线服务的组织而言，这一指导意见标志着用户界面层级身份验证实施方式的重大转变。Forrester高级分析师Madelein van der Hout表示，这是一项基础性的架构变革，而不仅仅是身份验证的渐进式升级。它推动组织超越密码加MFA的传统模式，迈向具备抗钓鱼能力的坚实基础。她强调，如果组织仅仅将其视为一种凭据替换，将会面临投资不足的问题；而那些将其视为更广泛的身份现代化机遇的组织，将会脱颖而出。NCSC还建议组织全面考虑如何在整个用户旅程中实施身份验证，这其中包括账户恢复和后备机制。虽然通行密钥减少了对密码的依赖，但如果密码重置或账户恢复流程不够安全，仍然会引入新的风险。由于通行密钥尚未在全球范围内得到普遍支持，NCSC建议在无法使用通行密钥的场景下，继续使用密码管理器和多因素身份验证。对于特定服务不支持通行密钥的情况，NCSC给消费者的建议是使用密码管理器创建更强的密码，并坚持使用两步验证。Van der Hout指出，实施过程可能会遇到挑战，特别是对于那些跨越多个平台和用户环境运营的组织。旧有的遗留系统和碎片化的身份环境构成了重大障碍。此外，组织还必须考虑非人类身份，任何忽视机器身份层的通行密钥策略都会产生新的安全漏洞。设备要求和账户恢复流程也可能影响通行密钥的具体部署方式。分析师普遍认为，短期内完全淘汰密码是不太现实的。Van der Hout预计，这种混合模式将持续数年，组织将继续同时支持通行密钥和传统身份验证方法。在此期间，组织需要妥善管理多种登录选项，同时确保后备方法不会削弱整体系统的安全性。NCSC的指导意见为消费端身份验证摆脱密码依赖的更广泛努力提供了强有力的支持。分析师认为，这一指导意见至关重要，因为它为安全领导者在与供应商及内部利益相关者的沟通中提供了筹码。向抗钓鱼攻击的身份验证方式转变，有望大幅减少引发网络安全事件的主要诱因。

Q&AQ1：什么是通行密钥（Passkeys）？

A：通行密钥是一种较新的在线账户登录方法。

它使用存储在用户设备上的加密密钥对，用户只需通过设备自带的生物识别（如指纹、面部识别）或PIN码进行验证，无需输入和记住传统密码，登录过程更快捷且更难被黑客破解。

Q2：为什么英国国家网络安全中心建议企业默认提供通行密钥？

A：因为通行密钥比传统密码更安全。

它能有效抵御网络钓鱼攻击，彻底消除了用户在不同网站重复使用相同密码带来的风险，并能防止黑客拦截和重用身份验证信息，从架构层面提升了安全性。

Q3：如果某些网站或服务目前还不支持通行密钥怎么办？

A：专家建议，在网站或服务尚不支持通行密钥的情况下，用户应该继续使用密码管理器来生成和保管高强度、复杂的密码，并务必坚持开启两步验证（MFA）功能，以保障账户的基本安全。