一旦员工落入网络钓鱼陷阱或共享了密码,未实施多因子身份验证 (MFA) 方法的公司企业便对攻击敞开了大门。拿什么来阻止他们滑向深渊?
被盗凭证是当今公司企业面临的一大威胁。为什么?攻击者用的就是有效(被盗但有效)凭证,公司设置的杀毒软件、防火墙和其他防护技术凭什么将这些东西标记为异常?这些工具假定访问公司网络的人就是他们自己声称的身份。
现在公司企业都已熟知此类威胁,但很多公司的密码安全仍有许多工作要做。两年前针对美国和英国 500 位 IT 安全经理的调查表明,仅 38% 的公司企业采用多因子身份验证 (MFA) 以更好地保护网络凭证。令人遗憾的是,最近的调查研究显示这一情况并未发生多大变化。
为什么公司企业疏于采纳 MFA?
有几个误解在阻碍 MFA 采纳:
1. 只有大企业才该用 MFA
这是个常见的错误认知。很多企业认为公司需达一定规模才能从 MFA 获益。他们都错了。任何企业,无论规模如何,都应将 MFA 当做关键安全措施。任何一家公司,需要保护的数据都同样敏感,数据泄露造成的破坏也一样严重。而使用 MFA 既不复杂,也不昂贵,更不会让人有挫败感。
2. MFA 应仅用于保护特权用户
又错了。绝大多数企业里,大部分员工都能访问有价值数据,所以他们*仅*依赖本地 Windows 凭证。似乎要求他们使用 MFA 登录有点夸张。但真不是这样。这些“非特权”雇佣实际上拥有可对公司造成伤害的数据访问权。举个例子,一名护士就能将名人就医资料卖给媒体。这显示出了数据的价值,以及不当使用该数据可造成的危害。
而且,不止如此。网络罪犯通常不直接对特权账户下手;他们利用上钩网络钓鱼的任何账户,然后在网络中横向移动,以便查找、访问和渗漏有价值数据。
3. MFA 不完美
好吧,没有哪个安全解决方案是完美的,但 MFA 已经接近完美了。或许您已经听说了,FBI 最近发布了一份警告,是关于网络罪犯能够绕过 MFA 的几种情况的。存在两个主要的身份验证器漏洞:“信道劫持” 和 “实时网络钓鱼”。前者涉及接管身份验证器所用通信信道,后者采用中间机器拦截并重放身份验证消息。专家称,此类攻击需花费大量资金和精力。多数黑客如果遇到 MFA 就会转向其他更容易攻克的受害者了,不会尝试绕过此安全措施。用户也可采取简单的预防措施来避免一些漏洞,比如选择不依赖短信验证的 MFA 身份验证器。(美国国家标准与技术局在其最新的《数字身份指南》中劝阻采用短信和语音验证方法。)
尽管发现了 MFA 漏洞,FBI 仍确认,MFA 依然有效,是公司改善安全可采取的最简单步骤之一。
4. MFA 有碍用户生产力
未必。每种新技术都面临同样的挑战:以最不影响员工生产力的方式实现。如果干扰太大,用户就会设法规避这些安全控制。没有这种敏感度,技术采纳就会很慢,甚至停滞。因此,MFA 需要灵活性。管理员可能希望避免让用户每次登录都要面对 MFA 验证弹框。这正是 MFA 应根据每家公司具体需求加以调整的原因所在。
任何人都可能沦为被盗凭证的受害者,无论您是特权用户还是非特权用户。使用 MFA 应成为每家公司的主要安全措施,也是保持账户安全的最简单方法之一。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】