Token推生物識別身份驗證方案 強化Salesforce存取安全

生物識別身份驗證方案供應商Token今日宣布，其TokenCore Wearable及TokenCore Portable產品，為Salesforce客戶、合作夥伴及管理員，提供其中一種最強大的方法，以符合並超越Salesforce的防網絡釣魚存取要求。

Salesforce已表明，現時安全環境已改變。人工智能驅動的網絡釣魚、語音釣魚、社交工程、憑證盜竊及帳戶盜用攻擊，正令Salesforce用戶及數據面臨日益增加的風險。Salesforce亦已公布更嚴格的安全要求，包括為員工用戶提供多重認證（MFA），以及為特權用戶（包括Salesforce管理員）提供防網絡釣魚多重認證。

TokenCore Portable及TokenCore Wearable AP圖片

Token透過結合生物識別身份、防網絡釣魚的FIDO2及WebAuthn認證、安全硬件及無線易用性，直接應對Salesforce這項新安全現實。Token產品旨在確保只有在授權的實體用戶在場並經生物識別驗證後，才獲授予Salesforce存取權限。

Token行政總裁Kevin Surace指出：「Salesforce正提升身份安全標準，這正是市場所需的方向。Salesforce儲存企業內部分最寶貴的業務數據。透過傳統多重認證、推送批准、短訊驗證碼、共享密碼或雲端同步軟件憑證來保護Salesforce存取，已不足夠。Token現時為Salesforce客戶提供生物識別身份驗證，以保障Salesforce存取。」

Token產品透過使用FIDO2及WebAuthn協議，將認證綁定至合法的Salesforce登入來源，從而支援防網絡釣魚認證。與短訊驗證碼、認證應用程式、推送批准或共享密碼不同，Token不會向攻擊者提供可盜取的驗證碼、可欺騙的提示或可轉發的密碼。每次認證均需已註冊的Token裝置、授權用戶的指紋，以及與合法服務綁定的加密挑戰。

因此，Salesforce存取權限不僅基於用戶所知或所擁有的資訊。Token會驗證實際用戶身份。

這項區別對Salesforce管理員及特權Salesforce用戶至關重要。受損的Salesforce管理員帳戶，可能洩露客戶記錄、捐助者數據、銷售渠道、財務歷史、案例備註、工作流程、整合、權限及特權系統控制。Token透過在授予Salesforce存取權限前要求生物識別證明，協助彌補此漏洞。

Token亦為歷來依賴共享支援工作流程的Salesforce合作夥伴及非牟利組織，提供實際途徑。密碼管理工具或可管理憑證，軟件通行密鑰或可符合基本技術要求，但這些方法未必能證明實際在場的用戶身份。Token透過將Salesforce存取權限綁定至分配予授權用戶的實體生物識別裝置，提升保障水平。

Surace續指：「Salesforce客戶現時正提出正確問題：我們如何在符合Salesforce防網絡釣魚要求的同時，亦能確認登入者為正確用戶？Token提供簡潔答案。它防網絡釣魚、生物識別、硬件綁定、易於使用，且現已投入運作。」

TokenCore Wearable是一款佩戴於手指上的無線生物識別認證器，指紋感應器位於手背上方，可實現快速自然的驗證。TokenCore Portable則以便攜式無線形式，提供相同的生物識別身份驗證模式。兩款產品均為現代企業環境而設，用戶可透過手提電腦、桌面電腦、流動裝置、瀏覽器、操作系統及身份供應商存取Salesforce。

Token產品旨在透過在加密認證基礎上，增加生物識別身份驗證，以符合並超越Salesforce的防網絡釣魚存取預期。這種方法可防範即時網絡釣魚、偽冒Salesforce登入頁面、憑證重放、多重認證疲勞、共享秘密盜竊、服務台操控，以及多種令傳統多重認證過時的社交工程攻擊。

透過Token，惡意行為者無法單純透過盜取密碼、誘騙用戶批准提示、攔截驗證碼或存取共享保險庫來獲取Salesforce存取權限。Token裝置必須在場，正確指紋必須匹配，加密挑戰必須來自合法來源。若請求被偽造、代理或從網絡釣魚網站轉發，認證將會失敗。

Salesforce客戶現正轉向更強大的認證方式，因為Salesforce本身已明確方向。Salesforce存取的未來是防網絡釣魚、身份驗證，並圍繞實際用戶的更強大證明而建。Token現已提供該模式。

對於Salesforce企業、Salesforce管理員、Salesforce顧問合作夥伴、Salesforce非牟利組織，以及處理敏感數據的Salesforce客戶而言，Token提供實現更嚴格合規、更強大存取控制，以及更有效防範現時針對Salesforce環境的身份攻擊的直接途徑。

Surace表示：「Salesforce安全始於登入。Token令登入具備生物識別、防網絡釣魚，並綁定至真實用戶。這是保護Salesforce的新標準。」

Token為需要阻止憑證盜竊、網絡釣魚、社交工程及帳戶盜用的企業，提供生物識別身份驗證方案。Token產品結合生物識別指紋驗證、安全硬件、FIDO2及WebAuthn認證，以及無線易用性，確保只有正確用戶才能存取關鍵系統。Token保護員工在現代企業應用程式、身份供應商及雲端平台上的存取。

（美聯社）

生物識別身份驗證公司Token今日宣布，委任托雷爾·芬德伯克加入其行業顧問委員會。芬德伯克曾兩度獲評為全球頂尖首席資訊安全總監，並曾領導財富500強企業西爾德艾爾（NYSE: SEE）及安盛附屬公司大師健康的企業安全事務，為該委員會帶來前線首席資訊安全總監的經驗，指導Token應對全球最關鍵機構面臨的威脅。

Token的行業顧問委員會由資深網絡安全行政人員、首席資訊安全總監及政府安全領袖組成，他們負責保護全球部分最關鍵的機構及基礎設施。

Token行業顧問委員會成員托雷爾·芬德伯克 AP圖片

這次委任正值企業安全發展的關鍵時刻。憑證洩露仍然是企業數據洩露的主要原因，而人工智能令問題變得更為嚴峻——網絡釣魚、深度偽造及社交工程現時以機器速度運作，而底層的憑證卻未有根本性改變。隨著企業將人工智能代理從顧問角色轉移至營運工作流程，第二個問題隨之浮現：這些代理現時能夠執行的重大行動，究竟由誰批准？Token最近為回應此問題，擴展其生物識別架構，對發放資金、更改存取權限或修改生產系統等行動設置嚴格限制，確保人工智能代理可準備工作，但最終結果必須由經核實、實際在場的人類批准。

Token的加密生物識別身份驗證，證明的是人類本身，而非僅僅是憑證。Token並非在薄弱的憑證基礎上疊加多重因素，而是透過安全硬件上執行的裝置內生物識別認證，將存取與批准權限綁定至經核實、實際在場的人士。TokenCore產品線，包括TokenCore穿戴式裝置、TokenCore便攜式裝置及TokenCore節點，可與現有的身份與存取管理、單一登入及特權存取管理基礎設施整合。它並非取代身份堆疊，而是完善它。

Token行政總裁奇雲·蘇拉斯表示：「我們行業顧問委員會的首席資訊安全總監及安全領袖每天都面對身份驗證失敗的後果，而這種視角正是我們發展這項技術的方向。托雷爾曾在財富500強規模的企業中建立及捍衛安全計劃，並應對過部分最嚴苛的監管環境。隨著問題從『誰登入』轉變為『誰批准了這項行動——是人類還是代理』，他的判斷正是我們所需要的指導。」

芬德伯克職業生涯涵蓋工業自動化軟件工程、網絡架構及企業安全領導，橫跨製造、醫療保健及金融服務等多個行業。他是奧弗斯佩斯的創辦人兼行政總裁，該網絡韌性公司於2025年成立，正開創「量化韌性」作為衡量及管理系統性網絡風險的新類別。他是網絡韌性及現代安全計劃領域的知名人物，曾於RSA大會及消費電子展發表演講，其文章亦曾刊登於CSO Online。他現任弗曼大學人工智能顧問委員會成員，常駐北卡羅來納州夏洛特。

Token為需要阻止憑證盜竊、網絡釣魚、社交工程及帳戶盜用等問題的企業，提供生物識別身份驗證解決方案。Token產品結合生物識別指紋驗證、安全硬件、FIDO2及WebAuthn認證，以及無線便捷性，確保只有正確人士才能存取關鍵系統。Token保護員工在現代企業應用程式、身份供應商及雲端平台上的存取安全。

Token於2014年成立，獲格蘭德奧克斯資本支持，提供安全的無密碼認證解決方案，協助機構降低基於身份的風險並加強員工安全。

（美聯社）