Klucze dostępu mają zastąpić hasła i zwalczać ataki typu phishing, ale Google i Microsoft przestrzegają, że są one niewystarczające, jeśli nadal stosowane są słabsze metody odzyskiwania. „Każde konto jest tak bezpieczne, jak jego najsłabsze dane uwierzytelniające” – stwierdził Microsoft, zauważając, że odzyskiwanie haseł i SMS-ów może powodować powstawanie nowych luk w zabezpieczeniach nawet po wdrożeniu kluczy dostępu.
Google przyznał, że „klucze dostępu to łatwiejszy i bezpieczniejszy sposób uzyskiwania dostępu do kont online w porównaniu z hasłami, a nawet tradycyjnymi metodami wieloczynnikowymi”, ale podkreślił, że same w sobie nie są całkowicie bezpieczne. Firma ostrzegła użytkowników, że „nawet jeśli zwykle używasz hasła, ważne jest, aby zabezpieczyć swoje konto za pomocą weryfikacji dwuetapowej (2SV)”. Ta dodatkowa warstwa bezpieczeństwa jest niezbędna, szczególnie jeśli ktoś próbuje podszyć się pod użytkownika i twierdzi, że zgubił hasło.
Zautomatyzowane procesy odzyskiwania, które wykorzystują słabsze dane uwierzytelniające, mogą ominąć hasło, co sprawia, że konieczne jest dalsze zabezpieczenie kont. Firma Microsoft oznaczyła odzyskiwanie konta jako nową powierzchnię ataku w miarę wzrostu stosowania kluczy dostępu i zaniku tradycyjnych metod ataków. „Wdrażanie kluczy usprawnia logowanie” – zauważył Microsoft – „ale do większości kont nadal „na wszelki wypadek” nadal jest dołączone hasło lub metoda SMS — i dopóki istnieją te dane uwierzytelniające, stanowią powierzchnię ataku”.
Zalecana metoda odzyskiwania polega na użyciu hasła do konta na innym urządzeniu w celu wykonania wszelkich kroków odzyskiwania. Microsoft zasugerował również metody odzyskiwania o wysokim poziomie pewności, które wymagają dowodu tożsamości wydanego przez rząd i weryfikacji biometrycznej, takie jak skan twarzy, stwierdzając: „Zgodnie z zaleceniami NIST, odzyskiwanie o wysokim poziomie pewności wymaga wydanego przez rząd dokumentu tożsamości i weryfikacji biometrycznej”.
Niniejsze wytyczne są przeznaczone głównie dla użytkowników korporacyjnych w przypadku firmy Microsoft i użytkowników domowych w przypadku Google. Pomimo różnych odbiorców obie firmy dostrzegają utrzymujące się zagrożenia. Firma Google podkreśliła, że konta o dużej wartości, takie jak Gmail, są stale atakowane, wzywając użytkowników do wdrożenia weryfikacji dwuetapowej w celu zwiększenia bezpieczeństwa. Użytkownicy powinni także wybierać skuteczne formy 2SV, takie jak Google Prompts i aplikacja Authenticator, rezygnując przy tym z jednorazowych kodów SMS, które uznawane są za słabsze metody.
W miarę przyspieszania stosowania kluczy dostępu Microsoft powtarzał, że zabezpieczenia będą działać tylko wtedy, gdy użytkownicy wyeliminują wszystkie dane uwierzytelniające umożliwiające wyłudzenie danych. Ostrzeżenie Google dotyczące ograniczeń kluczy dostępu jest szczególnie istotne, ponieważ osoby atakujące zaczynają skupiać się na procesach odzyskiwania danych i awaryjnych metodach uwierzytelniania. Ciągła ewolucja zagrożeń wymaga kompleksowej strategii bezpieczeństwa obejmującej niezawodne metody odzyskiwania danych, wykraczające poza samo wdrożenie kluczy dostępu.
