מפתחות סיסמה יוצרים מומנטום ומאפשרים גישה ל-15 מיליארד חשבונות מקוונים

מפתחות גישה הם טרנד אבטחה ביומטרי שכדאי לצפות בו בשנת 2025. הסידרה את הסמינר השנתי ה-11 של FIDO Tokyo על האופן שבו אימוץ מפתחות סיסמה מואץ, עם מצגות של גוגל, Sony Interactive Entertainment, Mastercard וארגונים אחרים שהצטרפו למסע לחיים ללא סיסמאות. מיקרוסופט אישרה את העצה שלה כיצד לגרום לאנשים לאהוב מפתחות סיסמה - מכיוון שהיא גורפת הצידה פגיעות גדולה שחשפה 400 מיליון משתמשי Outlook 365.

מותגים טכנולוגיים גדולים מעודדים שילוב של כניסות לחשבון סיסמה

הודעה לעיתונות מ-FIDO מתארת ​​את סיפורי ההצלחה של מפתח סיסמה מהשנה האחרונה.

בשנת 2024,הפכה מפתחות לזמינים ל-100 אחוז מהמשתמשים שלה וראתה 175 מיליון מפתחות שנוצרו לכניסה ל-amazon.com ברחבי העולם. גוגל טוענת ש-800 מיליון חשבונות גוגל משתמשים כעת במפתחות, עם יותר מ-2.5 מיליארד כניסות למפתחות בשנתיים האחרונות ושיעורי הצלחת הכניסה השתפרו ב-30 אחוזים. סוניעבור קהילת המשחקים העולמית של Playstation וראה ירידה של 24 אחוז בזמן הכניסה ביישומי האינטרנט שלה.

Hyatt, IBM, Target ו-TikTok הן בין החברות שהוסיפולאפשרויות האימות של כוח העבודה שלהם. יותר מוצרי ניהול אישורים המציעים אפשרויות מפתח פירושם גמישות רבה יותר עבור הצרכנים.

יפן מצטרפת למסיבת מפתח במגזר הפרטי, באקדמיה

השוק היפני הראה תפנית בולטת לעבר מפתחות כניסה, עם Nikkei, Nulab ו-Tokyu Corporation בין החברות שחובקוטֶכנוֹלוֹגִיָה. Nikkei תפרוס מפתחות עבור Nikkei ID כבר בפברואר 2025. Tokyu Corporation אומר של-45% ממשתמשי TOKYU ID יש מפתחות. ונולאב הכריזה על "שיפור דרמטי באימוץ מפתח סיסמה".

האקדמיה עוזרת להניע חדשנות, כאשר צוותים מאוניברסיטת Keio ואוניברסיטת Waseda זוכים להכרה על המחקר והאב-טיפוס שלהם בשורה של האקתונים וסדנאות.

ו-FIDO, כמובן, שם כדי להציע תמיכה, ומציעה כעת את משאב אתר האינטרנט Passkey Central שלהיישום מפתח סיסמהביפנית, כדי שחברות יפניות יוכלו לנצל טוב יותר את חומרי ההיכרות, אסטרטגיות ההטמעה, הנחיות ה-UX והעיצוב ומדריכי ההטמעה המפורטים שלה.

קבוצת העבודה של FIDO Japan, הכוללת 66 מהחברות החברות ב-FIDO Alliance, נמצאת כעת בשנתה ה-9 של פעילותה להעלאת המודעות למפתחי סיסמה במדינה.

תוכניות סיסמה מבוססות מציגות תוצאות חיוביות

המודעות הכללית ל-Passwords משתפרת, כאשר מחקר FIDO שנערך לאחרונה הראה כי בשנתיים שחלפו מאז הופקו סיסמה, המודעות של הצרכנים עלתה ב-50%. ניתן לתלות זאת בחלקה במאמצים של מאמצים מוקדמים של מפתחות קוד להציג כיצדשיפר את העסק שלהם.

אימוץ מפתחות FIDO גרם לכך שמפעילת הטלקום היפנית KDDI ראתה ירידה של כמעט 35 אחוז במספר השיחות למרכז תמיכת הלקוחות שלה. לחברת המסחר האלקטרוני Mercari יש 7 מיליון משתמשים רשומים במפתחות. Yahoo! ל-JAPAN ID, נכס של תאגיד LY, יש כעת 27 מיליון משתמשי מפתחות פעילים, ולדבריו 50 אחוזים מאימות המשתמשים בסמארטפונים הם כעת מפתחות.

השתמש בשפה עדינה כדי להפעיל כוח בטוח בפריסת מפתח סיסמה

בשידור חוזר שלוב-Authenticate 2024, Microsoft פרסמה אבלוגשכותרתו "שכנוע מיליארד משתמשים לאהוב מפתחות סיסמה: תובנות עיצוב UX ממיקרוסופט כדי להגביר את האימוץ והאבטחה."

זה מתחיל באחת ההצהרות המוכרות כעת על מוותן הקרוב של סיסמאות. "אין ספק בעניין", אומר: "עידן הסיסמאות מסתיים."

מיקרוסופט ממסגרת את התובנות שלה סביב רגשות חזקים שרבים עלולים לא להתחבר אליהם באופן מיידי. איך לגרום ללקוחות שלהם לאהוב מפתחות גישה כמוהם? "איכשהו, היינו צריכים לשכנע אוכלוסייה גדולה ומגוונת להפליא לשנות לצמיתות התנהגות מוכרת - ולהתרגש מזה", נכתב בבלוג.

בין אם מישהו באמת התלהב ממפתחות ובין אם לא, התוצאות מדברות בעד עצמן: מיקרוסופט אומרת שהתוצאות שלה מראות שהכניסה עם מפתח סיסמה מהירה פי שלושה משימוש בסיסמה מסורתית ופי שמונה מהירה מסיסמה ואימות רב-גורמי מסורתי. משתמשים מצליחים פי שלושהמאשר עם סיסמאות (98 אחוז לעומת 32 אחוז עגום). ו-99 מהמשתמשים שמתחילים את זרימת רישום המפתח משלימים אותו.

האסטרטגיה של מיקרוסופט מסתכמת בשלושה שלבים: להתחיל בקטן, להתנסות ו"קנה מידה כמו מטורף". הוסף אפשרויות כניסה למפתחות בנקודות מפתח, וודא שאנשים מבינים– כלומר מה בדיוק הם מוצגים. מיקרוסופט אומרת "בעוד שהמונח 'מפתח' לא היה מוכר לפעמים, הביטוי 'פנים, טביעת אצבע או PIN' הובן היטב, ולכן היה חשוב לחבר את שני המושגים הללו בחוויית המשתמש שלנו (UX).

אף אחד מהם לא יכול לחיות בזמן שהשני שורד: יש להרוג ולקבור סיסמאות

בסופו של דבר, שני השלבים האחרונים מסתכמים בעצה להפוך את המפתחות לבלתי נמנעים. בעוד שאפשרויות פסיביות הניבו תוצאות מאכזבות, מספרים טובים בהרבה הגיעו מהגדרת כניסה עם מפתח סיסמה כברירת מחדל ועיצוב "דחיפות" אסטרטגיות עבור אלה שעדיין לא רשומים. (עדיין יש להם את האפשרות להשתמש באישור אחר; זה פשוט לא מועדף.) שוב, הכל קשור לרגשות חמים: "אנחנו רוצים שהמשתמשים יתחילו להרגיש בנוח עם הרעיון שמפתחות סיסמה יהיו הרגיל החדש."

עם זאת, יש קצת כפייה ידידותית מאחורי הוויברס הטוב. "אל תתביישו להזמין משתמשים לרשום מפתחות סיסמה", אומרת מיקרוסופט. "הקל ככל האפשר על ההרשמה והשימוש במפתחות." ו"התחילו לתכנן מראש עכשיו לשימוש בלבד."

כי גם אם מיליוני משתמשים חדשים יוצרים חשבונות סיסמה בחודשים הקרובים כפי שמיקרוסופט צופה, עדיין יש את העניין של הגופה הנרקב בפינת החדר. כל עוד חשבון עדיין מחובר לסיסמה, אומרת מיקרוסופט, הוא עדיין ניתן לדיוג. "המטרה הסופית שלנו היאלחלוטין ויש להם חשבונות שתומכים רק באישורים עמידים להתחזות."

AuthQuake מנצל את היעדר הגבלת תעריפים כדי לחשוף 400 מיליון לקוחות מיקרוסופט

חלק מהדחיפות של מיקרוסופט סביב סיסמאות עשויה לנבוע מהתחושה המציקה ששיטות האימות הרב-גורמי הנוכחיות (MFA) קורסות. הערה בבלוג Redmond Microsoft אומרת שחברת אבטחת הסייבר Oasis Security חשפהפְּגִיעוּתבאימות דו-גורמי (2FA) של מיקרוסופט שאפשר לחשבונות לעקוף אמצעי אבטחה מבלי להפעיל התראות.

בהדוח מלא, אואזיס אומר שהמעקף, שנקרא AuthQuake, "לקח כשעה לביצוע, לא דרש אינטראקציה של משתמש ולא יצר שום התראה", וכי הפגיעות עלולה להשפיע על יותר מ-400 מיליון לקוחות המשתמשים ב-Microsoft Office 365 כולל Outlook, OneDrive, Teams ותכלת. היעדר הגבלת תעריף ותוקף קוד מורחב לפוג(OTPs) היו האשמים העיקריים, שניהם אפשרו לתוקפים להגדיל את מספר ההתקפות שהם יכולים לפרוס בזמן נתון.

אואזיס דיווחה על הפגם למיקרוסופט ביוני, והחברה החלה תיקון קבוע ב-9 באוקטובר.

נושאי מאמר

||||||