信息化觀察網(wǎng)

根據(jù)Yubico和451 Research的最新調(diào)查，雖然市場(chǎng)規(guī)模在穩(wěn)步成長(zhǎng)，但是企業(yè)對(duì)MFA（多因素認(rèn)證）的最佳實(shí)踐和方法依然感到迷茫。

01

企業(yè)為什么采用MFA

調(diào)查結(jié)果表明，MFA在企業(yè)內(nèi)部的采用和支出有所增加，其原因主要如下：越來越多的人意識(shí)到，賬戶被盜和網(wǎng)絡(luò)釣魚攻擊是大多數(shù)安全漏洞的根源；新冠病毒大流行，遠(yuǎn)程辦公的興起；采用現(xiàn)代身份驗(yàn)證標(biāo)準(zhǔn)（例如快速身份在線U2F、FIDO2和WebAuthn）來支持雙因素（2FA）和無密碼身份驗(yàn)證的新進(jìn)展。

02

MFA普及的障礙

但是，研究還凸顯了MFA廣泛普及的各種障礙，如便利性、復(fù)雜性和成本。此外，許多企業(yè)仍未意識(shí)到在更常見的移動(dòng)MFA格式因素（例如基于SMS的身份驗(yàn)證）中發(fā)現(xiàn)的安全缺陷，這種安全缺陷已被廣泛曝光多年。

“新冠病毒大流行，基于云的遠(yuǎn)程辦公常態(tài)化成為刺激企業(yè)實(shí)施和更新多因素認(rèn)證的一個(gè)轉(zhuǎn)折點(diǎn)。”

“這項(xiàng)研究表明，盡管人們?cè)诳释@得更強(qiáng)的安全性的同時(shí)能擁有更好的用戶體驗(yàn)，但許多公司仍堅(jiān)持無效的舊習(xí)慣和技術(shù)。”Yubico首席執(zhí)行官斯蒂娜說道。

針對(duì)MFA的調(diào)查結(jié)果具體如下：

對(duì)MFA的投資在增加

MFA支出趨勢(shì)令人鼓舞，大部分的受訪者計(jì)劃增加MFA支出。由于COVID-19以及后來向遠(yuǎn)程辦公的遷移（49％），MFA是企業(yè)優(yōu)先采用的安全技術(shù)之一。

采用MFA作為安全事件的應(yīng)對(duì)措施

在過去的一年中，所有受訪者中有53％經(jīng)歷過安全事件或安全漏洞，MFA是針對(duì)安全漏洞采取的三大安全技術(shù)之一。

采用MFA的障礙

57%的受訪者表示提高安全性是企業(yè)采用MFA的第一原因，其中，用戶體驗(yàn)（43％）、復(fù)雜性（41％）和成本（36％）仍然是采用MFA的主要障礙，這些障礙在預(yù)料之中，不足為奇。

長(zhǎng)期以來，盡管已證明諸如生物識(shí)別和安全密鑰之類的現(xiàn)代身份驗(yàn)證技術(shù)比傳統(tǒng)的MFA技術(shù)可提供更好的安全性和可用性，但上述挑戰(zhàn)依然是MFA難以逾越的障礙。

03

最受歡迎的MFA方案

盡管基于SMS短信的MFA的安全漏洞有所增加，但移動(dòng)OTP身份驗(yàn)證器（58％）、基于移動(dòng)網(wǎng)絡(luò)推送的MFA（48％）和基于SMS的MFA（41％）仍是最受歡迎的MFA。這表明，與其他MFA選項(xiàng)相比，企業(yè)可能仍認(rèn)為移動(dòng)MFA對(duì)用戶更加友好和可訪問性更強(qiáng)，并且盡管有很多報(bào)告發(fā)出警告，但企業(yè)仍將用戶體驗(yàn)置于安全優(yōu)勢(shì)之上。

04

許多組織仍依賴基于SMS的身份驗(yàn)證

許多組織仍然嚴(yán)重依賴基于SMS的身份驗(yàn)證，但是盡管有越來越多的證據(jù)表明利用移動(dòng)或基于SMS的身份驗(yàn)證方法破壞和攻擊，但是只有22％的組織將這種形式的安全性視為問題。

05

最有可能使用MFA的特權(quán)用戶

當(dāng)使用MFA時(shí)，企業(yè)會(huì)停止使用特權(quán)用戶，但屢次遭遇攻擊表明，低級(jí)員工成為攻擊者對(duì)企業(yè)發(fā)動(dòng)攻擊的突破口。研究表明，特權(quán)用戶和第三方（承包商、顧問、合作伙伴）最可能使用MFA，而最終客戶則最不可能使用。

06

FIDO2和無密碼的勢(shì)頭強(qiáng)勁

作為解決傳統(tǒng)MFA痛點(diǎn)的方法，F(xiàn)IDO2（線上快速身份驗(yàn)證）和無密碼身份驗(yàn)證正在蓬勃發(fā)展，因?yàn)榻邮苷{(diào)查的組織中有61％已在試點(diǎn)中部署或采用了無密碼身份驗(yàn)證，其中34％的受訪者已經(jīng)部署了無密碼技術(shù)，這在試點(diǎn)中所占比例為27％。