在工作中部署通行密钥

♪ ♪

Alex：大家好 我是 Alex Sokolov Enterprise Services 团队的 一名工程经理 今天我会为你介绍 如何在工作中部署通行密钥 我会介绍什么是通行密钥 以及为什么它们在工作中尤为重要 然后会介绍一下 现在可供你使用的新工具 来满足你在 受管理环境下的独特需求

通行密钥是密码的替代品 它们能够更快、更轻松地进行登录 只需使用触控 ID 或面容 ID 进行验证即可 通行密钥更加安全 因为对每个 App 或网站来说 它们都是强大且唯一的 并且对网络钓鱼攻击 有极高的抵御力 当你使用 iOS、iPadOS 和 macOS 中的内置密码管理器 来存储通行密钥时 其会通过 iCloud 钥匙串 在 Apple 设备之间安全同步 因此通行密钥在你的各个设备上是即时可用的 “passkey”是小写体 因为它是一个通用名词 就像“password”一样 并且它是一个由 FIDO 联盟、 Google、Microsoft 和其他公司 使用的行业标准术语 如果你需要快速了解 通行密钥的工作原理 请先查看 WWDC22 中的讲座 “认识通行密钥” 然后再回到本视频 当引入通行密钥时 你详细了解了 密钥相对于密码的所有优势 所以今天我们来聊聊 通行密钥如何通过防御黑客的常见攻击 为你的员工帐户提供独特保护 目前 企业最需要关心的三种问题是 网络钓鱼攻击、凭证盗窃攻击 和双因素验证迂回攻击 我们来逐一了解一下 针对员工的网络钓鱼攻击 是企业每天需要 不断防御的主要攻击之一 往往也是攻击者全面侵入的开始 Verizon 2022 年 数据泄露调查报告 对超过十亿次 网络钓鱼尝试进行了研究 结果显示 有 2.9% 的员工会点击钓鱼链接 此数据在一段时间内相对稳定 此比例足以让犯罪分子趋之若鹜 企业规模扩大时 钓鱼问题会更加严重 在一个 100 人的公司中 只有 3 个人会点击钓鱼链接 但在一个 500 人的公司中 这个数字是 15 而在一个 1,000 人的公司中 此数字达到了 29 你可能认为这些数字并不算糟糕 但要记住 对一两个账户的成功网络钓鱼攻击 往往是完全侵入的开始 每当用户输入内容时 他们就可能会 被骗到错误的位置进行输入 而使用通行密钥 就不需要输入任何内容 而且每个通行密钥 都与使用的网站或 App 有内在联系 用户不可能被骗到 错误的网站上使用通行密钥 通过使用通行密钥 凭证钓鱼的问题就解决了 似乎每周都有新闻报道 服务器遭入侵 攻击者能够从服务器中 窃取用户密码 一份分析了近 4,000 起 数据泄露案例的相同报告显示 2022 年的数据泄露中 有 40% 涉及使用窃取凭据 使用密码时 服务器上会存有一个哈希值 这些哈希值可能会被窃取和破解 从而攻击者便可以窃取明文密码 他们可以利用来自泄露 A 的密码 尝试登录服务 B 和 C 等 这使得服务器侵犯和凭据攻击 成为对攻击者的有利循环 由于服务器上只存储了公钥 所以通行密钥可以打破这个循环 使用通行密钥时 服务器中没有值得窃取的内容 你可能认为采用更多的 身份验证因素可以解决问题 但是双因素验证 并不像大多人预期的那样 来保护你 攻击者越来越倾向 欺骗用户绕过三种最常用的 双因素验证形式 也叫做 2FA 短讯服务验证码跟密码一样 容易被网络钓鱼攻击 基于时间的一次性密码 也会以相同的方式被网络钓鱼攻击 虽然推送通知不会被网络钓鱼攻击 但容易受到推送疲劳攻击的影响 最近报道的一次攻击 就是利用了这种 2FA 的漏洞 黑客连续不断地 向员工发送推送通知 最终骗取他们接受一条通知 由于密码在许多方面存在基本缺陷 因此我们在密码的基础上 增加了额外的验证因素 而通行密钥不仅仅是一种权宜之计 而是用一种新设计的安全的主要因素 取代有漏洞的主要因素 使用通行密钥 主要因素便不会再有漏洞 在使用通行密钥保护的帐户上 添加易受攻击的第二种验证因素 如短讯服务、时间基准一次性密码或推送通知 不会对帐户的安全性增加任何额外的保护 你可能十分期待 通行密钥的安全优势 但同时又担心获取这种强大的安全性能 需要付出代价 很多人都这样想 你习惯性地在 安全性和可用性之间进行权衡 我们来对比一下 创建新密码 和创建新通行密钥的体验 你可以看出创建通行密钥比创建密码 更快且更容易 只需使用面容 ID 就完成了 我们已经看过了创建过程 再来比较一下两者重新登录的体验 若是使用密码 用户必须记住并键入密码 而使用通行密钥 用户仅需 进行面容 ID 识别 便可以完成登录 密码管理器可以改善体验 但即使是最好的密码管理器也无法 与通行密钥的用户体验相媲美 你习惯性地在更强大的安全性 和更好的用户体验之间进行权衡 通行密钥实现了罕见的双赢： 让你拥有强大的安全性 和出色的用户体验 可能信息太多 你需要时间消化 那我来总结一下 通行密钥对企业的独特益处 抵御网络钓鱼攻击 如今 你用于保护员工的密码 和常用的 2FA 方式 往往容易受到网络钓鱼的攻击 通行密钥可抵御网络钓鱼攻击 使用通行密钥 不会发生服务器凭证盗窃事件 密码哈希可以从 遭受侵扰的服务器中被盗取 而使用通行密钥 服务器上没有值得盗窃的内容 因为其仅存储公钥 使用通行密钥可以 让你拥有出色的用户体验 使用密码时 员工需要应对繁琐的密码 和密码更替要求 而使用通行密钥 员工只需 使用面容 ID 或触控 ID 就可以了 通行密钥是一个双赢的解决方案 可以提供更安全的凭证 以保护工作账户 同时又为员工提供良好的用户体验 虽然组织中的 IT 管理员希望在工作中 提供同样出色的密钥使用体验 但在受管理的环境中 你可能有着独特的需求 我们来聊聊这些需求 以及你可以如何满足它们 首先 你希望管理 使用 iCloud 钥匙串 和通行密钥的 Apple ID 账户 然后 你还希望 仅将通行密钥同步到你管理的设备 而非员工的个人设备 当然 你希望确保 为工作创建的密钥存储在 与由 IT 管理的管理式 Apple ID 相关联的 iCloud 钥匙串中 而不是存储在与个人的 Apple ID 相关联的 iCloud 钥匙串中 这还可确保通行密钥 存储在 iCloud 钥匙串中 而非其他地方 接下来 你希望向依赖方证明 通行密钥是在 受管理的设备上创建的 最后 你希望关闭通行密钥共享 因为你不希望员工共享工作凭证 我很开心可以为你介绍 满足这些需求的新工具 我会介绍以下三个主题： 使用管理式 Apple ID 控制通行密钥同步的位置 以及要求在受管理的设备上 创建工作通行密钥 管理式 Apple ID 由你的组织拥有并管理 它们是在 Apple 商务管理 或 Apple 校园教务管理中创建的 在 macOS Sonoma、 iOS 17 和 iPadOS 17 中 管理式 Apple ID 支持 iCloud 钥匙串 这一点很令人兴奋 通过管理式 Apple ID 用户可以在所有设备上 使用 iCloud 钥匙串和通行密钥并从中获益 同时你可以管理他们的账户 存储在管理式 Apple ID 的 iCloud 钥匙串中的通行密钥不能共享 想要进一步了解关于 管理式 Apple ID 的强大改进信息 请查看讲座 “发挥管理式 Apple ID 的更多功能” 除了管理 Apple ID 之外 IT 管理员还希望控制 通行密钥同步到哪些设备 并只允许同步到他们管理的设备 Apple 商务管理 和 Apple 校园教务管理 有新的访问权限管理功能 管理员可以使用 以下两种不同的控制方法 第一 IT 管理员可以控制员工 使用管理式 Apple ID 登录的设备： 任何设备 这是默认选项 仅限受管理的设备 具有更高的安全性 并适用于员工自带设备的情况 或仅限受管理监控的设备 对于向员工提供设备的组织来说 此选项具有最高级别的安全性 IT 管理员还可以进一步控制 允许 iCloud 内容同步的设备 包括 iCloud 钥匙串中的 通行密钥 使用相同的三个方便选项进行同步： 任何设备、仅限受管理的设备 或仅限受管理监控的设备 通过这些控制 IT 管理员可以确保 工作通行密钥仅能 同步到受管理的设备上 设备管理服务器 需要实现对此功能的支持 当然了 它在 Apple Business Essentials 中 可以开箱即用 我们来说说 IT 管理员 如何管理工作设备上的通行密钥 以确保特定的密钥 仅在工作设备上使用 你想要在受管理的设备上 要求创建工作通行密钥 具体来说 你希望确保这些密钥存储在 管理式 Apple ID 的 iCloud 钥匙串中 从而在所有设备上同步通行密钥 并向依赖方证明通行密钥 是在受管理的设备上创建的 你可以通过声明式设备管理来实现 你可以在 “探索声明式设备管理的进展”讲座中 了解有关声明式管理的所有改进 但现在 我们先来重点关注 管理通行密钥的特定新配置 声明式设备管理 有一个新的企业通行密钥认证配置 可在用户访问配置中指定的站点时 在设备上为用户安全生成通行密钥 该认证配置引用一个身份资源 关联的身份随后用于执行 所生成通行密钥的 标准 Web 验证认证 Web 验证依赖方 随后可以验证此认证 并允许访问相关网站 通过后面的几页幻灯片 我会带你完成此过程 这里的意思是 你可以限制某些通行密钥 让其只能在受管理的设备上创建 再结合我之前提到的同步控制 你还可以控制 这些密钥同步到哪些设备 此功能适用于 iOS、 iPadOS 和 macOS 这是一个通行密钥认证配置的示例 此认证配置引用了 一个身份资源 该资源由服务器 发送到设备的声明集中提供 激活配置时 会进行资源解析 并将生成的身份存储在钥匙串中 “RelyingParties”属性 指示此身份用于 Web 验证通行密钥认证的位置 我们看一下组织如何配置设备 首先 移动设备管理服务器 向设备发送通行密钥认证配置 和身份资源 确保设备激活 设备激活后 企业证书颁发机构服务器 会配置身份证书 在稍后的某个时间点 用户会访问一个网站 该网站请求通行密钥 以获取访问权限 依赖方可以表明 只接受通过企业认证创建的 新通行密钥 并拒绝其他密钥 设备生成一个新的通行密钥 并使用已配置的身份证书 对其进行验证 然后将其返回给网站 然后网站可以通过检查 Web 验证企业认证有效负载中的 设备证书是否链回到 组织证书颁发机构来验证认证 这向依赖方证明该通行密钥 是在该组织管理的设备上创建的 为了实现这一点 依赖方必须知道 该组织可以信任哪个 CA 证书 这可以通过多种方式实现 包括组织管理员 向依赖方上传 CA 证书的副本 依赖方只在通行密钥创建时 验证认证 在此之后 通行密钥便可以 在该依赖方上使用 无需进行进一步的认证 通过此方式创建的通行密钥会存储在 管理式 Apple ID 的 iCloud 钥匙串中 这不是硬件认证 如果你在寻找 硬件认证方案 你可以在 “管理 Apple 设备的新功能”讲座中 了解管理设备认证 依赖方需要查看 Web 验证通行密钥创建响应中的 认证说明 首先 检查 AAGUID 是否与屏幕上的值匹配 从而确定其 是否来自 Apple 设备 接下来 看一下打包认证说明 它由三个部分组成 首先是一个识别加密算法的数字 在 Apple 平台上 你应该始终将此数字 设置为 -7 表示使用 ES256 算法 然后这里是是一个字节字符串 包含认证签名 最后是一个数组 包含认证证书 及其证书链 如果有的话 其便采用 X.509 格式编码 你可以通过搜索 “Web 验证打包认证声明” 在官方 Web 验证说明文档中 进一步了解关于认证声明的信息 通过这种新的声明式 设备管理通行密钥认证 IT 管理员可以为工作 创建特定的认证通行密钥 以便依赖方识别和信任 也可以确保这些通行密钥存储在 与管理式 Apple ID 相关联的 iCloud 钥匙串中 而非与用户个人的 Apple ID 相关联的 iCloud 钥匙串中 通过管理式 Apple ID 支持的 iCloud 钥匙串 Apple 商务管理和 Apple 校园教务管理中的 访问权限管理功能 以及使用声明式设备管理配置 管理通行密钥 可以满足你在工作上 对通行密钥的所有需求 现在 我们来看看 通行密钥的实际操作 我组织中的 IT 管理员邀请我 一起管理 Tailscale 上的网络 我们来看看 使用通行密钥注册有多简单 首先 我会为通行密钥 选择一个名称 然后 我会点击 “创建通行密钥并加入” 我的通行密钥将保存在 管理式 Apple ID 的 iCloud 钥匙串中 这样 我就可以 在其他设备上使用通行密钥 最后 我只需轻点“继续” 并使用面容 ID 进行登录 就是这样 现在我可以管理我的组织网络了 另外 我的组织还要求 在受管理的设备上创建通行密钥 所以如果我不小心尝试 在个人手机上创建 我将会看到一个错误提示 提醒我的设备不由组织管理 这当然是通过 使用通行密钥认证实现的 回到我的工作手机上 重新登录更简单了 我轻点“使用通行密钥登录”按钮 可以看到 我的手机记住了 我之前在这个网站上 使用过的通行密钥 所以我只需点击“继续” 并使用面容 ID 进行登录

总结一下 我们来回顾一下 你可以用来在工作中 部署通行密钥的新功能 你可以使用 管理式 Apple ID 的通行密钥 同时管理同步到哪些设备 并使用 Web 验证企业认证 来控制通行密钥创建 通过通行密钥 你可以保护公司 免受网络钓鱼攻击和凭据盗窃攻击 同时为员工提供良好的用户体验 我们所有的改进 都得益于你宝贵的反馈信息 我们期待听到你的反馈建议 感谢观看 ♪ ♪