現(xiàn)代身份識別平臺Auth0今天發(fā)布了首份安全報告:《安全身份狀況》(The State of Secure Identity)。這份詳盡的報告著重介紹了負責管理數(shù)字身份的安全專業(yè)人士的重大關切領域,包括呈指數(shù)級增長的撞庫攻擊(利用竊取來的憑證自動嘗試破解大量的用戶帳戶)、欺詐性注冊以及廣泛使用被破解的憑證。
近期的頭條新聞和備受矚目的網(wǎng)絡攻擊事件足以使現(xiàn)今的安全專業(yè)人士對各種嚴重威脅感到擔憂。網(wǎng)絡犯罪活動的首要目標是訪問關鍵資源、系統(tǒng)和個人數(shù)據(jù),然而,能夠?qū)⒐麸L險降至最低的系統(tǒng)(如身份管理系統(tǒng))通常卻沒有得到應有的優(yōu)先考慮。在管理數(shù)字身份方面,缺乏預算、資源或關注,為威脅者提供了利用這些缺口秘密實施攻擊的絕佳機會。
在過去一年里,通過對Auth0的全球客戶進行研究,我們發(fā)現(xiàn)了以下關鍵事實和數(shù)據(jù):
2021年的前90天,在其平臺上試圖登錄的流量中,撞庫占16.5%,接近3月底時達到峰值,超過了40%,所有撞庫行為都被Auth0檢測到并阻止。
旅游休閑和零售業(yè)是受撞庫攻擊影響最大的兩個行業(yè)。
欺詐性注冊的數(shù)量因垂直行業(yè)而有所不同,但在所有嘗試注冊新帳戶的行為中,有大約15%是由機器人程序?qū)嵤┑摹?/div>
2021年的前90天,Auth0平臺每天平均檢測到26,600多個被破解的密碼,最少時也有7,300個不到,2021年2月9日的數(shù)量最多,超過了182,000個。
Auth0安全工程副總裁Duncan Godfrey表示:“由于整個行業(yè)在保護數(shù)據(jù)方面行動不力,保護客戶身份變得更加困難。密碼被破解的普遍性和自動攻擊工具的可用性使得簡單的密碼手段成為一種過時的保護措施!栋踩矸轄顩r報告》旨在與業(yè)界分享我們獨特的身份安全見解和建議,以便任何組織的應用程序構(gòu)建者和開發(fā)人員能夠采取必要步驟,改善其整體安全態(tài)勢,并為最終用戶提供更安全的服務。”
報告中詳細介紹的最普遍的威脅包括撞庫(Auth0觀察到的最常見威脅)、欺詐性注冊、多因素身份驗證規(guī)避、使用已泄露的密碼,以及其他常見身份攻擊。完整版Auth0《安全身份狀況報告》(包括其他關鍵性發(fā)現(xiàn)和關于組織如何改善其身份安全狀況的建議)可以在此下載。Auth0還將于太平洋夏令時間6月24日(星期四)上午8: 00舉行在線見面會,以具體研討上述見解。
Auth0(最近被Okta收購)提供了一個現(xiàn)代化的身份平臺,可幫助組織滿足用戶的安全、隱私和便利性需求。請訪問Auth0身份操作系統(tǒng)以了解更多信息。
關于Auth0
Auth0的現(xiàn)代身份識別方法讓組織能夠為任何用戶提供針對任何應用的安全訪問。Auth0平臺是一個高度可定制的身份識別操作系統(tǒng),集開發(fā)團隊想要的簡易性和所需的靈活性于一體。Auth0每個月為數(shù)十億次的登錄交易保駕護航,提供安全性、隱私性和便利性,從而讓客戶能夠?qū)W⒂趧?chuàng)新。
【免責聲明】本文僅代表作者本人觀點,與CTI論壇無關。CTI論壇對文中陳述、觀點判斷保持中立,不對所包含內(nèi)容的準確性、可靠性或完整性提供任何明示或暗示的保證。請讀者僅作參考,并請自行承擔全部責任。
相關閱讀:
- ·Auth0 WebAuthn Passwordless將現(xiàn)代身份驗證的便捷性和安全性推向新高度2021-06-16 10:15:00