多因素認(rèn)證的六大常見錯(cuò)誤與誤區(qū)

aqniu
多因素身份驗(yàn)證(MFA)要求用戶使用至少兩個(gè)因素對身份進(jìn)行身份驗(yàn)證才能訪問應(yīng)用程序,在企業(yè)中正快速普及。去年年底,LastPass對47,000個(gè)企業(yè)進(jìn)行了一項(xiàng)調(diào)查,發(fā)現(xiàn)全球目前有57%的企業(yè)正在使用MFA,比上一年增長了12%。

多因素認(rèn)證(MFA)已經(jīng)成為企業(yè)加強(qiáng)基于身份的網(wǎng)絡(luò)安全管理的“必修課”,但是,錯(cuò)誤的認(rèn)知和部署會(huì)讓MFA的效用大打折扣。

多因素身份驗(yàn)證(MFA)要求用戶使用至少兩個(gè)因素對身份進(jìn)行身份驗(yàn)證才能訪問應(yīng)用程序,在企業(yè)中正快速普及。去年年底,LastPass對47,000個(gè)企業(yè)進(jìn)行了一項(xiàng)調(diào)查,發(fā)現(xiàn)全球目前有57%的企業(yè)正在使用MFA,比上一年增長了12%。

統(tǒng)計(jì)數(shù)據(jù)也證明了MFA的有效性。今年早些時(shí)候,微軟報(bào)告稱,其追蹤的違規(guī)賬戶中有99.9%沒有使用MFA。

盡管如此,許多企業(yè)對MFA仍然持觀望態(tài)度,因?yàn)槭〉陌咐埠芏?,很多企業(yè)的MFA最終成了擺設(shè),甚至被徹底拋棄。

很多案例中,并不是MFA有問題,而是企業(yè)犯了認(rèn)知錯(cuò)誤或?qū)嵤╁e(cuò)誤,結(jié)果,MFA最終成了安全管理中的“負(fù)能量”和“摩擦力”。

Ping Identity的CCIO理查德·伯德(Richard Bird)指出:“要提高對MFA的理解和采用率,還有很多工作要做。”

企業(yè)在部署MFA時(shí)會(huì)犯哪些常見的失誤?如果您所在的企業(yè)正在考慮使用MFA來提高安全性,請留神以下六個(gè)常見認(rèn)知和實(shí)施錯(cuò)誤:

01、部署時(shí)將MFA作為可選項(xiàng)

如果企業(yè)準(zhǔn)備實(shí)施MFA,那么對于最終用戶而言,MFA就應(yīng)該是個(gè)“強(qiáng)制標(biāo)準(zhǔn)”,而不是一個(gè)“可選項(xiàng)”。Ping Identity的Bird表示,他在客戶那里中看到的最常見的錯(cuò)誤是在推廣MFA時(shí)軟弱無力,將其作為可選項(xiàng)。

Bird認(rèn)為:“當(dāng)給用戶提供安全認(rèn)證選項(xiàng)時(shí),如果沒有明確的,基于價(jià)值的解釋,多數(shù)用戶都會(huì)將選擇感覺最簡單、最省事的方法,或者繼續(xù)使用他們已經(jīng)習(xí)慣的方法。”“安全性不是一種選擇,在威脅企業(yè)整體系統(tǒng)的脆弱性問題上,不能有半點(diǎn)妥協(xié)。”

要點(diǎn):如果要實(shí)施MFA,請確保強(qiáng)制使用它。

02、MFA導(dǎo)致更多摩擦

Thycotic首席安全科學(xué)家兼顧問CISO約瑟夫·卡森(Joseph Carson)認(rèn)為,將MFA僅僅用作安全控制中的一個(gè)額外步驟是一種錯(cuò)誤行為。

MFA應(yīng)該使認(rèn)證變得更加順暢簡單,而不是增加難度。MFA應(yīng)該是被用來減輕“安全疲勞”的,而不是起到反作用。

Okta的Diamond補(bǔ)充說:“雖然在執(zhí)行MFA時(shí)會(huì)有一定程度的摩擦,但是您可以通過在多個(gè)認(rèn)證因素之上分層上下文訪問策略來最大程度地減少這種摩擦。”

Diamond指出:“MFA是多因素認(rèn)證三要素‘你所知道的、您所擁有的、你是誰’中至少兩個(gè)因素的組合,考慮到其他因素和環(huán)境會(huì)有很多不同的組合,最終目標(biāo)應(yīng)該是將適當(dāng)?shù)囊蛩嘏c適當(dāng)?shù)娘L(fēng)險(xiǎn)水平配對。”

要點(diǎn):實(shí)施MFA的一部分動(dòng)機(jī)應(yīng)該是通過消除現(xiàn)有的不良做法來簡化身份驗(yàn)證。

03、僅對特定用戶或應(yīng)用實(shí)施MFA

網(wǎng)絡(luò)安全專業(yè)人士經(jīng)常會(huì)在企業(yè)遇到這樣的錯(cuò)誤,即僅將MFA部署給一些關(guān)鍵員工。

Okta的Diamond認(rèn)為:“我們看到企業(yè)有時(shí)只在高管人員中部署MFA,因?yàn)閺睦碚撋现v,高管人員可以訪問敏感信息。但是,您還需要考慮所有能夠訪問敏感數(shù)據(jù)的員工。”

Lookout安全解決方案高級經(jīng)理Stephen Banda說,使用MFA保護(hù)部分應(yīng)用程序而不是全部應(yīng)用程序也是錯(cuò)誤的做法。

他說:“我們還發(fā)現(xiàn),很多企業(yè)的MFA沒有覆蓋所有應(yīng)用程序。”“事實(shí)上,所有應(yīng)用程序都需要MFA,因?yàn)楣粽呖梢园l(fā)現(xiàn)MFA的盲區(qū),并嘗試使用被盜的賬戶獲得訪問權(quán)限。”

要點(diǎn):最安全的做法就是假設(shè)所有員工和應(yīng)用程序都是至關(guān)重要的。對所有人和任何包含敏感數(shù)據(jù)的應(yīng)用都強(qiáng)制實(shí)施MFA。

04、依賴短信作為驗(yàn)證手段

短信作為多因素認(rèn)證手段正面臨著越來越嚴(yán)重的安全問題,Lookout的Banda指出:“目前有兩種利用短信驗(yàn)證的常見攻擊:移動(dòng)網(wǎng)絡(luò)釣魚和SIM交換攻擊。”

要點(diǎn):使用身份驗(yàn)證器應(yīng)用程序、硬件密鑰,而不是依靠通過短信發(fā)送驗(yàn)證碼。

05、將MFA作為“創(chuàng)可貼“使用

Okta的Diamond表示,他經(jīng)常會(huì)看到企業(yè)在發(fā)生安全事件或者被安全審計(jì)發(fā)現(xiàn)身份驗(yàn)證問題后爭先恐后地實(shí)施MFA,但他們選擇的工具只能滿足非常狹窄的用例,說直白點(diǎn)就像創(chuàng)可貼。

從短期來看,這些MFA解決方案似乎很棒。但是時(shí)間一長,瘡疤好了疼痛消失,創(chuàng)可貼也不知何時(shí)消失不見了。很多企業(yè)中的MFA解決方案由于維護(hù)不當(dāng),最終導(dǎo)致使用率下降,并再次回到之前的安全水平。

要點(diǎn):MFA實(shí)施是一個(gè)整體策略和過程。需要成為整個(gè)組織的一種規(guī)則,而不是僅在一個(gè)局部實(shí)施MFA。

06、低估MFA對業(yè)務(wù)的影響

Ping Identity的Bird表示,另一個(gè)常見錯(cuò)誤是低估MFA對長期業(yè)務(wù)流程和工作流的影響。從本質(zhì)上講,MFA對用戶的安全策略和文化意味著重大而深遠(yuǎn)的影響,這些必須在計(jì)劃過程的早期進(jìn)行考慮。

他說:“流程變化和對行為變化的新要求肯定會(huì)招來員工的反對,阻力重重。企業(yè)信息主管們需要利用企業(yè)的IT團(tuán)隊(duì)來交流和MFA部署,管理用戶預(yù)期并協(xié)調(diào)實(shí)施進(jìn)度。”

要點(diǎn):規(guī)劃和實(shí)施MFA之前,需要充分考慮引入MFA將如何改變每個(gè)人,每個(gè)團(tuán)隊(duì)或部門的流程,并盡早將這些更改傳達(dá)給用戶。沒有“驚喜”,就不會(huì)有粗口。

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論