Klucze mają zastąpić hasła i zwalczać ataki typu phishing, ale zarówno Google, jak i Microsoft ostrzegają, że są one niewystarczające, jeśli nadal stosowane będą słabsze metody odzyskiwania. Microsoft stwierdził: „Każde konto jest tak bezpieczne, jak jego najsłabsze dane uwierzytelniające”, wskazując, że opcje odzyskiwania haseł i SMS-ów mogą nadal zapewniać nowe powierzchnie do ataku, nawet po wdrożeniu kluczy dostępu.
Google zdaje sobie sprawę, że klucze ułatwiają łatwiejszy i bezpieczniejszy dostęp do Internetu w porównaniu z hasłami i innymi tradycyjnymi metodami uwierzytelniania wieloskładnikowego. Firma ostrzega jednak, że użytkownicy muszą również zabezpieczyć swoje konta weryfikacją dwuetapową (2SV), aby chronić się przed próbami podszywania się pod inne osoby, które mogłyby wykorzystać utracone hasła.
Luki w automatycznych procesach odzyskiwania mogą pozwolić atakującym na wykorzystanie słabszych danych uwierzytelniających w celu całkowitego ominięcia haseł. Według Microsoftu chociaż wdrażanie kluczy zwiększa bezpieczeństwo logowania, wiele kont nadal ma powiązane opcje odzyskiwania haseł lub SMS-ów, co utrzymuje potencjalne obszary ataku. „Wdrażanie kluczy usprawnia logowanie” – stwierdził Microsoft, podkreślając ryzyko, jakie stwarzają słabe metody odzyskiwania.
Optymalne rozwiązanie odzyskiwania polega na użyciu hasła do konta na innym urządzeniu. Firma Microsoft zauważyła również, że lepsza metoda odzyskiwania obejmuje przedstawienie wydanego przez rząd dokumentu tożsamości i weryfikację biometryczną, co jest zgodne z zaleceniami NIST dotyczącymi odzyskiwania o wysokim stopniu pewności.
Microsoft kieruje swoje wskazówki przede wszystkim do użytkowników korporacyjnych, podczas gdy Google koncentruje się na użytkownikach domowych. Pomimo tego rozróżnienia obaj przyznają, że usługi takie jak Gmail pozostają atrakcyjnym celem dla cyberprzestępców. Google zachęca użytkowników do wdrożenia weryfikacji dwuetapowej w celu dodatkowej ochrony przed nieautoryzowanym dostępem, szczególnie biorąc pod uwagę ryzyko niewłaściwego wykorzystania przez osoby atakujące procesu odzyskiwania konta.
Google podkreśla konieczność stosowania dwóch konkretnych typów weryfikacji 2SV: Google Prompts oraz aplikacji Authenticator na urządzeniach mobilnych. Zarówno Google, jak i Microsoft odradzają poleganie na jednorazowych kodach SMS, klasyfikując je jako słabe formy uwierzytelniania wieloskładnikowego, które należy całkowicie wyłączyć na rzecz bezpieczniejszych alternatyw.
Chociaż wykorzystanie kluczy dostępu rośnie, Microsoft ostrzega, że ich skuteczność zależy od całkowitego wyeliminowania przez użytkowników danych uwierzytelniających, które można wyłudzić. Google podkreśla, że chociaż klucze dostępu stanowią kluczowy rozwój, nie są rozwiązaniem niezawodnym, zwłaszcza że napastnicy coraz częściej celują w przepływy odzyskiwania danych i awaryjne metody uwierzytelniania.
