現(xiàn)代身份識別平臺Auth0今天發(fā)布了首份安全報告:《安全身份狀況》(The State of Secure Identity)。這份詳盡的報告著重介紹了負(fù)責(zé)管理數(shù)字身份的安全專業(yè)人士的重大關(guān)切領(lǐng)域,包括呈指數(shù)級增長的撞庫攻擊(利用竊取來的憑證自動嘗試破解大量的用戶帳戶)、欺詐性注冊以及廣泛使用被破解的憑證。
近期的頭條新聞和備受矚目的網(wǎng)絡(luò)攻擊事件足以使現(xiàn)今的安全專業(yè)人士對各種嚴(yán)重威脅感到擔(dān)憂。網(wǎng)絡(luò)犯罪活動的首要目標(biāo)是訪問關(guān)鍵資源、系統(tǒng)和個人數(shù)據(jù),然而,能夠?qū)⒐麸L(fēng)險降至最低的系統(tǒng)(如身份管理系統(tǒng))通常卻沒有得到應(yīng)有的優(yōu)先考慮。在管理數(shù)字身份方面,缺乏預(yù)算、資源或關(guān)注,為威脅者提供了利用這些缺口秘密實施攻擊的絕佳機會。
在過去一年里,通過對Auth0的全球客戶進(jìn)行研究,我們發(fā)現(xiàn)了以下關(guān)鍵事實和數(shù)據(jù):
2021年的前90天,在其平臺上試圖登錄的流量中,撞庫占16.5%,接近3月底時達(dá)到峰值,超過了40%,所有撞庫行為都被Auth0檢測到并阻止。
旅游休閑和零售業(yè)是受撞庫攻擊影響最大的兩個行業(yè)。
欺詐性注冊的數(shù)量因垂直行業(yè)而有所不同,但在所有嘗試注冊新帳戶的行為中,有大約15%是由機器人程序?qū)嵤┑摹?/div>
2021年的前90天,Auth0平臺每天平均檢測到26,600多個被破解的密碼,最少時也有7,300個不到,2021年2月9日的數(shù)量最多,超過了182,000個。
Auth0安全工程副總裁Duncan Godfrey表示:“由于整個行業(yè)在保護(hù)數(shù)據(jù)方面行動不力,保護(hù)客戶身份變得更加困難。密碼被破解的普遍性和自動攻擊工具的可用性使得簡單的密碼手段成為一種過時的保護(hù)措施!栋踩矸轄顩r報告》旨在與業(yè)界分享我們獨特的身份安全見解和建議,以便任何組織的應(yīng)用程序構(gòu)建者和開發(fā)人員能夠采取必要步驟,改善其整體安全態(tài)勢,并為最終用戶提供更安全的服務(wù)。”
報告中詳細(xì)介紹的最普遍的威脅包括撞庫(Auth0觀察到的最常見威脅)、欺詐性注冊、多因素身份驗證規(guī)避、使用已泄露的密碼,以及其他常見身份攻擊。完整版Auth0《安全身份狀況報告》(包括其他關(guān)鍵性發(fā)現(xiàn)和關(guān)于組織如何改善其身份安全狀況的建議)可以在此下載。Auth0還將于太平洋夏令時間6月24日(星期四)上午8: 00舉行在線見面會,以具體研討上述見解。
Auth0(最近被Okta收購)提供了一個現(xiàn)代化的身份平臺,可幫助組織滿足用戶的安全、隱私和便利性需求。請訪問Auth0身份操作系統(tǒng)以了解更多信息。
關(guān)于Auth0
Auth0的現(xiàn)代身份識別方法讓組織能夠為任何用戶提供針對任何應(yīng)用的安全訪問。Auth0平臺是一個高度可定制的身份識別操作系統(tǒng),集開發(fā)團(tuán)隊想要的簡易性和所需的靈活性于一體。Auth0每個月為數(shù)十億次的登錄交易保駕護(hù)航,提供安全性、隱私性和便利性,從而讓客戶能夠?qū)W⒂趧?chuàng)新。
【免責(zé)聲明】本文僅代表作者本人觀點,與CTI論壇無關(guān)。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內(nèi)容的準(zhǔn)確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔(dān)全部責(zé)任。
相關(guān)閱讀:
- ·Auth0 WebAuthn Passwordless將現(xiàn)代身份驗證的便捷性和安全性推向新高度2021-06-16 10:15:00
