消除口令的五个步骤

口令和凭据仍然是攻击尝试和成功攻击的最大来源，使其成为所有行业组织面临的最大网络安全威胁。根据Verizon的2022年数据泄露调查报告，62%成功的泄露与被盗的凭证或网络钓鱼有关。

口令攻击有多种形式和规模，并已演变为可以规避2FA和传统MFA等反措施。最常见的口令攻击包括网络钓鱼、暴力破解、凭据填充、恶意软件、中间人五种类型。

网络钓鱼  Phishing

向用户发送电子邮件，并要求他们登录攻击者控制的镜像网站，提交相关的口令和用户信息。黑客还可以使用网络钓鱼提取发送给用户的一次性口令（OTP），作为多因素身份认证（MFA）的一部分。

暴力破解 Brute Force

攻击者使用用户的电子邮件地址或账户名，尝试多个口令。有些人甚至尝试了一整本词典。

凭据填充  Credential Stuffing

一旦黑客获取了某一用户的口令，他们就会运行一个脚本，尝试登录其他系统的当前用户。这种攻击的前提，是用户通常在不同系统中使用同一个用户名口令。

恶意软件  Malware

这需要在用户设备上安装键盘记录器，记录用户输入的所有内容并将其直接发送给攻击者。

中间人  Man-in-the-Middle

攻击者将自己置于用户和服务器之间，并拦截发送的流量。即使是被盗的加密口令也可能离线破解。

面向口令和基于口令的传统MFA的攻击，使得威胁变得更加严重，以至于美国网络安全基础设施和安全局（CISA）发布了指导意见，敦促所有组织完全消除口令，并根据FIDO标准部署防钓鱼MFA。在这里，我们将介绍企业应采取的基本步骤，以从其身份和访问管理（IAM）流程中消除口令。

1.从无口令桌面开始

许多组织将安全工作重点放在系统应用程序和单点登录（SSO）的身份认证流程上，而忽略了当天的首次登录，即桌面。这造成了严重的安全漏洞，使攻击者更容易获得工作站访问权并将其用作攻击路径。消除口令的第一步是为桌面部署无口令MFA解决方案。这减少了您的风险敞口——事实上，许多网络保险公司都需要桌面MFA——也有助于减少员工24小时不停输入口令。

2.集成单点登录

下一步是将无口令MFA从桌面加入到IAM中。IAM供应商可以访问您的许多系统应用程序、VPN和数据，因此对这个入口需要额外注意，防止出现一处攻破、处处洞开的局面。请记住，您的无口令IAM不应在认证过程中使用集中存储的凭据或共享密钥，即使是暂时的情况。

有一种方式，将身份认证与您的IAM身份供应商脱钩，并将用户从桌面登录直接带到基于云的SSO中，从而创建无缝轻松的登录体验。不仅如此，它还减少了IT支持团队的口令替换票据数量，这意味着桌面到SSO不仅消除了口令，而且还会提高生产力。

3.移除OTP

MFA最早的尝试之一是用户通过提供发送到注册电子邮件或手机号码的数字或代码来证明自己的身份。现在，攻击者可以通过SIM卡更换、恶意软件或专用网络钓鱼套件轻松对其进行攻击。消除口令的一个重要步骤是减少对OTP的依赖。一些尚未过渡到SSO的应用程序此时可能仍然需要旧版OTP，但这些应用程序通常占组织登录足迹的不足10%。

OTP不仅不安全，而且需要占用大量员工的时间来启动和完成登录。除此之外，OTP许可证可能相当昂贵。

4.解决潜在异常值

在将SSO和系统应用程序与无口令MFA融合后，消除口令的下一步可能是将重点放在仍然需要口令的旧应用程序上。随着无口令身份认证进入其他资产，对变革的渴望将变得明显，员工会质疑为什么这些应用程序的访问速度要慢得多。

有几个选项可用于改善这种情况，例如将应用程序添加到SSO中，或使用无口令解决方案的SDK将无口令身份认证直接集成到应用程序中。

5.保持积极的流程

消除口令的斗争变得更加困难，因为尽管给组织带来了巨大的安全风险，但许多供应商、开发人员甚至内部声音都认为口令是一种可行的身份认证解决方案。这可能会导致预付款倒退，或对某些情况或用户进行例外处理。一旦你走上了消除口令的道路，就不会再回头了。

口令可能是企业安全的最大威胁；将其从身份认证流程中删除至关重要。

无口令之旅从正确的无口令MFA解决方案开始。它应该为桌面、SSO和web应用程序提供无口令身份认证，以便为用户提供从桌面到云的无缝身份认证。

国民认证的无密认证解决方案提供了消除口令所需的一切。利用用户设备上的生物识别标识符来解锁唯一的私钥意味着在前端或后端不使用口令或共享机密。作为一个完全FIDO认证的解决方案，要了解国民认证如何帮助您的组织彻底消除口令，欢迎随时跟我们联系。