多因素身份验证(MFA)在访问应用程序之前,用户必须使用至少两个因素来验证身份,并在企业中迅速普及。去年年底,LastPass对47000家企业进行了调查,发现全球57%的企业正在使用MFA,比去年增长了12%。
统计数据也证明了这一点MFA有效性。今年早些时候,微软报告称,其跟踪的非法账户中有一些99.9%没有使用MFA。
尽管如此,许多企业还是对的MFA由于失败的案例很多,许多企业仍然持观望态度MFA最后,它变成了装饰品,甚至被彻底抛弃。
在许多情况下,不是MFA但企业犯了认知错误或实施错误,结果,MFA最终成为安全管理中的一员“负能量”和“摩擦力”。
Ping Identity的CCIO理查德·伯德(Richard Bird)指出:“要提高对MFA还有很多工作要做。”
企业在部署MFA常见的错误是什么?如果你的企业正在考虑使用它MFA为提高安全性,请注意以下六个常见的认知和实施错误:
1.部署时将MFA作为可选项
若企业准备实施MFA,对于最终用户,MFA就应该是个“强制标准”,而不是一个“可选项”。Ping Identity的Bird他说,他在客户中看到的最常见的错误是推广MFA以软弱为可选项。
Bird认为:“当给用户提供安全认证选项时,如果没有明确的,基于价值的解释,多数用户都会将选择感觉最简单、最省事的方法,或者继续使用他们已经习惯的方法。”“安全性不是一种选择,在威胁企业整体系统的脆弱性问题上,不能有半点妥协。”
要点:要实施MFA,请确保强制使用。
2.MFA导致更多的摩擦
Thycotic首席安全科学家兼顾顾问CISO约瑟夫·卡森(Joseph Carson)认为,将MFA仅仅作为安全控制的一个额外步骤是错误的。
MFA认证增加难度,不如单,而不是增加难度。MFA应用于减少“安全疲劳”的,而不是起到反作用。
Okta的Diamond补充说:“虽然在执行MFA有一定程度的摩擦,但你可以通过多个认证因素上下文访问策略来最大限度地减少这种摩擦。”
Diamond指出:“MFA三要素是多因素认证‘你知道,你拥有,你是谁’考虑到其他因素和环境会有很多不同的组合,最终目标应该是将适当的因素与适当的风险水平相匹配。”
要点:实施MFA一些动机应该通过消除现有的不良行为来简化身份验证。
3.实施特定用户或应用程序MFA
网络安全专业人士在企业中经常会遇到这样的错误,即MFA部署给一些关键员工。
Okta的Diamond认为:“我们看到企业有时只部署在高管中MFA,从理论上讲,高管可以访问敏感信息。但是,您还需要考虑所有能够访问敏感数据的员工。”
Lookout高级经理安全解决方案Stephen Banda说,使用MFA保护部分应用程序而不是所有应用程序也是错误的。
他说:“我们还发现,许多企业MFA所有应用程序都没有覆盖。”“事实上,所有的应用程序都需要MFA,因为攻击者可以找到它MFA盲区,并尝试使用被盗账户获得访问权限。”
要点:最安全的方法是假设所有员工和应用程序都非常重要。强制执行所有人和任何包含敏感数据的应用程序MFA。
4.依靠短信作为验证手段
短信作为一种多因素认证手段,正面临着越来越严重的安全问题,Lookout的Banda指出:“目前,使用短信验证的常见攻击有两种:移动网络钓鱼和SIM交换攻击。”
要点:使用身份验证器应用程序和硬件密钥,而不是通过短信发送验证码。
5.将MFA作为“创可贴“使用
Okta的Diamond他说,他经常看到企业在发生安全事件或安全审计发现身份验证问题后争相实施MFA,但是他们选择的工具只能满足非常狭窄的用例,说白了就像创可贴。
短期来看,这些MFA解决方案似乎很棒。但随着时间的推移,疤痕好了,疼痛消失了,创可贴什么时候消失了。许多企业MFA解决方案由于维护不当,最终导致使用率下降,并再次回到之前的安全水平。
要点:MFA实施是一个整体战略和过程。它需要成为整个组织的规则,而不仅仅是局部实施MFA。
6.低估MFA对业务的影响
Ping Identity的Bird另一个常见的错误是低估MFA对长期业务流程和工作流程的影响。本质上,MFA在计划过程的早期阶段,必须考虑对用户安全策略和文化的重大而深远的影响。
他说:“流程变化和行为变化的新要求肯定会引起员工的反对和阻力。企业信息主管需要利用企业IT团队交流MFA管理用户预期,协调实施进度。”
要点:规划与实施MFA之前需要充分考虑引入MFA如何改变每个人、每个团队或部门的流程,并尽快向用户传达这些变化。“惊喜”,没有粗口。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更多的好文章