万能钥匙旨在取代密码并对抗网络钓鱼攻击,但谷歌和微软都警告说,如果较弱的恢复方法持续存在,万能钥匙是不够的。微软表示,“每个帐户的安全性取决于其最弱的凭据”,这表明即使在实施密钥之后,密码和短信恢复选项仍然可能提供新的攻击面。
谷歌承认,与密码和其他传统的多因素身份验证方法相比,密钥可以更轻松、更安全地进行在线访问。然而,该公司警告说,用户还必须通过两步验证(2SV)来保护他们的帐户,以防止可能利用丢失的密钥的假冒尝试。
自动恢复过程中的漏洞可能允许攻击者利用较弱的凭据完全绕过密钥。据微软称,虽然部署密钥可以增强登录安全性,但许多帐户仍然具有与其关联的密码或短信恢复选项,从而保留了潜在的攻击面。微软表示:“部署密钥可以改善登录情况”,并强调了薄弱的恢复方法带来的风险。
最佳恢复解决方案涉及在不同设备上使用帐户密钥。微软还指出,卓越的恢复方法包括提供政府颁发的 ID 和生物识别验证,符合 NIST 关于高保证恢复的建议。
微软的指导主要针对企业用户,而谷歌则专注于家庭用户。尽管存在这种区别,双方都承认 Gmail 等服务仍然是网络犯罪分子的有吸引力的目标。谷歌敦促用户实施两步验证,以增强对未经授权访问的保护,特别是考虑到攻击者滥用帐户恢复过程的风险。
谷歌强调使用两种特定类型的两步验证的必要性:谷歌提示和移动设备上的身份验证器应用程序。谷歌和微软都建议不要依赖短信一次性代码,将其归类为弱形式的多因素身份验证,应完全禁用,以支持更安全的替代方案。
尽管万能钥匙的采用率正在增加,但微软警告称,其有效性取决于用户完全消除网络钓鱼凭据。谷歌强调,虽然密钥是一项重要的发展,但它们并不是一个万无一失的解决方案,特别是当攻击者越来越多地瞄准恢复流程和后备身份验证方法时。
