对多因子身份验证的四个错误看法

安全 应用安全 数据安全
一旦员工落入网络钓鱼陷阱或共享了密码,未实施多因子身份验证 (MFA) 方法的公司企业便对攻击敞开了大门。拿什么来阻止他们滑向深渊?

一旦员工落入网络钓鱼陷阱或共享了密码,未实施多因子身份验证 (MFA) 方法的公司企业便对攻击敞开了大门。拿什么来阻止他们滑向深渊?

[[283193]]

被盗凭证是当今公司企业面临的一大威胁。为什么?攻击者用的就是有效(被盗但有效)凭证,公司设置的杀毒软件、防火墙和其他防护技术凭什么将这些东西标记为异常?这些工具假定访问公司网络的人就是他们自己声称的身份。

现在公司企业都已熟知此类威胁,但很多公司的密码安全仍有许多工作要做。两年前针对美国和英国 500 位 IT 安全经理的调查表明,仅 38% 的公司企业采用多因子身份验证 (MFA) 以更好地保护网络凭证。令人遗憾的是,最近的调查研究显示这一情况并未发生多大变化。

为什么公司企业疏于采纳 MFA?

有几个误解在阻碍 MFA 采纳:

1. 只有大企业才该用 MFA

这是个常见的错误认知。很多企业认为公司需达一定规模才能从 MFA 获益。他们都错了。任何企业,无论规模如何,都应将 MFA 当做关键安全措施。任何一家公司,需要保护的数据都同样敏感,数据泄露造成的破坏也一样严重。而使用 MFA 既不复杂,也不昂贵,更不会让人有挫败感。

2. MFA 应仅用于保护特权用户

又错了。绝大多数企业里,大部分员工都能访问有价值数据,所以他们*仅*依赖本地 Windows 凭证。似乎要求他们使用 MFA 登录有点夸张。但真不是这样。这些“非特权”雇佣实际上拥有可对公司造成伤害的数据访问权。举个例子,一名护士就能将名人就医资料卖给媒体。这显示出了数据的价值,以及不当使用该数据可造成的危害。

而且,不止如此。网络罪犯通常不直接对特权账户下手;他们利用上钩网络钓鱼的任何账户,然后在网络中横向移动,以便查找、访问和渗漏有价值数据。

3. MFA 不完美

好吧,没有哪个安全解决方案是完美的,但 MFA 已经接近完美了。或许您已经听说了,FBI 最近发布了一份警告,是关于网络罪犯能够绕过 MFA 的几种情况的。存在两个主要的身份验证器漏洞:“信道劫持” 和 “实时网络钓鱼”。前者涉及接管身份验证器所用通信信道,后者采用中间机器拦截并重放身份验证消息。专家称,此类攻击需花费大量资金和精力。多数黑客如果遇到 MFA 就会转向其他更容易攻克的受害者了,不会尝试绕过此安全措施。用户也可采取简单的预防措施来避免一些漏洞,比如选择不依赖短信验证的 MFA 身份验证器。(美国国家标准与技术局在其最新的《数字身份指南》中劝阻采用短信和语音验证方法。)

尽管发现了 MFA 漏洞,FBI 仍确认,MFA 依然有效,是公司改善安全可采取的最简单步骤之一。

4. MFA 有碍用户生产力

未必。每种新技术都面临同样的挑战:以最不影响员工生产力的方式实现。如果干扰太大,用户就会设法规避这些安全控制。没有这种敏感度,技术采纳就会很慢,甚至停滞。因此,MFA 需要灵活性。管理员可能希望避免让用户每次登录都要面对 MFA 验证弹框。这正是 MFA 应根据每家公司具体需求加以调整的原因所在。

任何人都可能沦为被盗凭证的受害者,无论您是特权用户还是非特权用户。使用 MFA 应成为每家公司的主要安全措施,也是保持账户安全的最简单方法之一。

【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文 

 

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2018-10-23 15:31:12

2013-11-15 09:43:02

2013-05-03 09:44:52

2019-05-07 08:15:21

2010-09-06 11:24:47

CHAP验证PPP身份验证

2015-01-21 09:15:44

2021-12-01 08:00:00

数据安全IT测试

2010-07-17 00:57:52

Telnet身份验证

2012-04-10 09:36:58

2013-07-21 18:32:13

iOS开发ASIHTTPRequ

2011-02-21 10:54:45

2014-09-12 09:58:45

2012-10-23 16:12:35

2009-04-09 23:44:08

软件身份验证用户

2022-10-31 10:00:00

2010-07-19 17:30:47

2010-11-30 15:31:38

SharePoint Kerberos

2021-07-19 10:10:15

身份验证漏洞Windows Hel

2010-11-03 16:07:38

DB2身份验证

2020-10-12 09:39:34

漏洞
点赞
收藏

51CTO技术栈公众号