查看所有博客

使用 FIDO2 安全密钥保护特权帐户

网络安全

出版日期： 07 3 月, 2025

写的 Jaryeong Kim

编辑的 Kaylee Palak

审查了 Darren Guccione

使用 FIDO2 安全密钥保护特权帐户是保护它们免受内部和外部威胁的最佳方法，因为与传统的身份验证方法相比，它们提供了增强的安全性和便利性。

继续阅读，详细了解为什么传统方法不足以保护特权帐户、FIDO2 如何增强安全性以及使用 FIDO2 处理特权帐户的好处。

为什么传统的身份验证方法无法满足特权帐户的要求

对特权帐户使用传统的身份验证方法（如基于密码的身份验证和多因素身份验证 (MFA)）可能使它们容易受到各种网络攻击。

基于密码的身份验证

由于人为错误、不良的密码使用习惯及其容易通过网络钓鱼、社会工程和暴力攻击等方法利用，基于密码的身份验证本质上容易受到攻击。例如，许多用户创建弱密码并在多个网站上重复使用它们，使网络犯罪分子更容易猜到这些密码并访问敏感信息。

多因素身份验证 (MFA)

虽然 MFA 比单独的密码更安全，但它仍然存在漏洞。许多 MFA 方法容易受到网络攻击，如 SIM 交换、中间人 (MITM) 攻击和网络钓鱼一次性密码 (OTP) 代码，这可以绕过这些保护。例如，在网络钓鱼攻击中，网络犯罪分子可以诱骗用户泄漏其代码，从而破坏 MFA 的有效性并危及帐户安全。

什么是 FIDO2，它是否增强安全性？

FIDO2 是一组身份验证标准，支持无密码、安全的用户身份验证。它依赖于非对称加密，使用一对公钥和私钥进行身份验证。公钥存储在服务提供商的服务器上，而私钥保持安全地存储在用户的设备上，确保只有有权访问其设备的授权用户才能进行身份验证。这也意味着，即使身份验证服务器被破坏，用户凭证也无法被盗。 FIDO2 由两个关键组件组成：网络身份验证 (WebAuthn) 和客户端到身份验证器协议 (CTAP)。 WebAuthn 是一个 API，允许浏览器在没有密码的情况下对用户进行身份验证，而 CTAP 支持身份验证器和用户设备之间的通信。这些协议构成 FIDO2 无密码身份验证模型的基础。

以下是 FIDO2 利用公钥加密的方式。

注册：当用户注册 FIDO2 支持的在线服务时，其设备会生成唯一的公钥-私钥对。该密钥对与特定的网络应用程序绑定，仅用于该服务。

身份验证：每次用户登录服务时，服务器都会向用户的设备发送挑战。设备使用私钥签署挑战，然后将其发回服务器。服务器使用公钥验证签名，确保用户拥有私钥。

通过使用私钥和公钥对，FIDO2 身份验证过程验证用户的身份，而不需要密码。相反，它依赖于生物识别特征和安全密钥的组合来识别用户，提供了更强大但方便的替代身份验证方法。 FIDO2 也比 MFA 更安全、更容易使用，因为它不需要传输 OTP 等敏感信息，降低了 SIM 交换和网络钓鱼攻击的风险。

FIDO2 安全密钥是存储私钥的物理设备。当用户需要登录帐户时，他们会在提示时插入 FIDO2 安全密钥并点击它，使用私钥签署挑战。

使用 FIDO2 安全密钥处理特权帐户的好处

使用 FIDO2 安全密钥提供了许多好处，包括对网络钓鱼攻击的强大抵抗力、消除密码、简单和用户友好的身份验证以及在整个企业环境中的扩展性。

可抵抗网络钓鱼

使用 FIDO2 安全密钥的最大优势之一是它们可以免受网络钓鱼攻击，因为它们是物理硬件。这可以防止网络犯罪分子通过社会工程或欺骗网站等方法窃取身份验证凭证。

简单和用户友好

FIDO2 通过消除为每个在线帐户记住多个密码或依赖复杂 MFA 方法的需要来增强用户体验。相反，用户可以通过插入或点击硬件密钥或使用生物识别技术（如指纹或面部识别扫描）来轻松进行身份验证。这使得身份验证既安全又无忧，同时仍然保护特权帐户。

可在整个企业环境中扩展

可以部署 FIDO2 安全密钥来保护整个组织的大量特权帐户，使其成为企业环境的理想安全解决方案。它们提供了强大的保护，确保只有授权用户才能访问敏感系统，而不会增加现有基础设施的复杂性。无论组织使用哪种浏览器或平台，FIDO2 都能简化用户登录体验，使其成为适应组织需求的可扩展解决方案。

支持合规性和行业标准

FIDO2 通过提供安全、无密码的身份验证方法来支持遵守通用数据保护法规 (GDPR)、SOC 2、NIST 和 HIPAA 等关键法规，从而加强数据保护和隐私。通过实施 FIDO2 ，组织可以确保敏感信息或数据永远不会以易受攻击的方式传输或存储。这还降低了数据泄漏的风险、加强组织的安全态势并有助于它满足关键合规性要求。

在组织中实施 FIDO2 安全密钥

保护组织内的特权帐户对于维护系统和敏感数据的完整性至关重要，FIDO2 安全密钥是一个很好的方法，可以提供帮助。 Keeper 支持使用 FIDO2 安全密钥作为 2FA 方法来访问所有设备上的保险库。管理员可以强制使用 FIDO2 安全密钥，并要求安全密钥用作唯一的 2FA 方法。这一增加的安全层有助于防止未经授权的访问，确保组织的关键资源保持安全。

KEEP READING

Keeper® 现在支持硬件安全密钥作为单一 2FA 方式

Jaryeong Kim

作者： Jaryeong Kim

Jaryeong Kim is content writer at Keeper Security. Jaryeong is a Senior pursuing a Bachelor of Science in Marketing with a concentration in Digital Marketing at DePaul University. Jaryeong aims to teach readers about cybersecurity concepts and the importance of staying safe online through her blog writing.

使用 FIDO2 安全密钥保护特权帐户

为什么传统的身份验证方法无法满足特权帐户的要求

基于密码的身份验证

多因素身份验证 (MFA)

什么是 FIDO2，它是否增强安全性？

使用 FIDO2 安全密钥处理特权帐户的好处

可抵抗网络钓鱼

简单和用户友好

可在整个企业环境中扩展

支持合规性和行业标准

在组织中实施 FIDO2 安全密钥

Keeper® 现在支持硬件安全密钥作为单一 2FA 方式

Jaryeong Kim

作者： Jaryeong Kim

让最新的网络安全新闻和更新直接发送至您的收件箱

您可能也会喜欢

制造业面临的主要网络威胁以及缓解方式