万能钥匙旨在取代密码并对抗网络钓鱼攻击,但 Google 和 Microsoft 警告如果继续使用较弱的恢复方法,万能钥匙是不够的。微软表示:“每个帐户的安全性取决于其最弱的凭据。”并指出,即使在部署密钥后,密码和短信恢复也可能会产生新的漏洞。
Google承认“与密码甚至传统的多因素方法相比,密码是一种更简单、更安全的访问在线帐户的方式”,但强调它们本身并不完全安全。该公司警告用户,“即使您通常使用密钥,通过两步验证(2SV)来保护您的帐户也很重要。”这一附加的安全层至关重要,特别是当有人试图冒充用户并声称丢失了密码时。
利用较弱凭据的自动恢复过程可以绕过密钥,因此进一步保护帐户变得至关重要。随着密钥采用率的增加和传统攻击方法的减少,微软将帐户恢复标记为新的攻击面。微软指出:“部署万能钥匙可以改善登录功能,但大多数帐户仍然附加了密码或短信方法,‘以防万一’——只要这些凭据存在,它们就会成为攻击面。”
建议的恢复方法包括在不同设备上使用帐户的密钥来完成任何恢复步骤。微软还建议了需要政府颁发的 ID 和生物特征验证的高保证恢复方法,例如面部扫描,并表示:“正如 NIST 所建议的,高保证恢复需要政府颁发的 ID 和生物特征验证。”
本指南主要针对 Microsoft 的企业用户和 Google 的家庭用户。尽管受众不同,两家公司都认识到持续存在的威胁。谷歌强调,Gmail 等高价值帐户不断受到攻击,敦促用户实施 2SV 以增强安全性。用户还应该选择有效的两步验证形式,例如谷歌提示和身份验证器应用程序,同时放弃短信一次性代码,这些方法被认为是较弱的方法。
随着密钥采用的加速,微软重申,只有用户消除所有网络钓鱼凭据,保护措施才会发挥作用。随着攻击者开始关注恢复流程和后备身份验证方法,谷歌关于密钥限制的警告尤其重要。威胁的不断发展需要全面的安全策略,其中包括强大的恢复方法,而不仅仅是实施密钥。
<小时/>
