增强数字安全的愿望引起了世界各国政府的关注,所有政府都希望保护消费者和企业。因此,许多人提出了立法,将两因素身份验证 (2FA) 作为 IT 系统的强制性要求。其实,在我国等级保护制度中等级保护第三级以上都要求完成双因素认证的,我们接下来看看国外有关双因素要求与实现。
强制执行 2FA 要求
2021 年 5 月 12 日,美国总统乔·拜登发布了一项行政命令,使 2FA 成为所有政府机构的法律要求 。联邦调查局、国土安全部和国家安全局等联邦机构有 180 天的时间对所有数据实施 2FA 保护。
在英国,面对外国机构日益增加的威胁,国家网络安全中心 (NCSC) 向英国企业发布了强有力的指导。建议中包括为其系统包含 2FA 登录保护。
类似的 2FA 要求在行业框架中也变得越来越普遍。支付卡行业数据安全标准 (PCI DSS) 的最新版本 现在需要 2FA 或多因素身份验证 (MFA) 来执行与帐户相关的任务,例如某些类型的支付。通过添加登录要求,提供商能够更好地保护其客户免受欺诈。
其他处理敏感个人信息的行业也在效仿。在美国,正在采取措施改进《健康保险流通与责任法案》(HIPAA),以纳入 2FA 要求。通过使用二级身份验证加强对敏感患者数据的访问,提供者可以保护患者的机密性。
为什么 2FA 要求很重要?
2FA 的主要好处是能够加强外围防御并降低恶意行为者访问公司或政府系统的风险。通过添加额外的身份验证层,用户能够更好地保护自己,企业可以帮助保护客户免受欺诈、身份盗用、勒索和其他损失。
在政府或行业层面强制实施 2FA 为数字落后者提供了一个令人鼓舞的推动力,以更新他们的访问控制系统,以造福于他们的用户和客户。
绕过 2FA 容易吗?
很难绕过 2FA。如果无法直接访问用户的二级身份验证方法,例如智能手机、应用程序或硬件令牌,则几乎不可能完成 2FA 流程的第二阶段。这使得受 2FA 保护的系统更难被攻破,因此更加安全。
当您准备将 2FA 纳入您的数字安全协议时,您还应考虑其他几个问题,包括:
1) 如何满足2FA 要求?
与任何安全控制一样,必须仔细规划 2FA 部署,以确保正确保护您的资产。您将面临的最大挑战之一是在旧系统上启用 2FA 并将该技术与您现有的环境集成。如果不解决这些问题,您的新防御措施就不可能像您希望的那样全面。
2) 哪些账户需要2FA?
仅将 2FA 应用于管理员级别帐户或具有允许他们进行系统和安全配置更改的权限的帐户可能很诱人。但是,这种方法不足以解决 数据 访问权限。例如,您的销售经理可能无法添加防火墙规则,但他们可以访问客户数据库中受 GDPR 保护的个人信息。
值得记住的是,网络犯罪分子通常会 从破坏单个系统开始。然后,他们将使用该受感染的系统作为在公司网络内部进行进一步攻击的中转点。访问较低级别的帐户可能会导致更大的问题。理想情况下,您希望防止黑客在您的防御系统中站稳脚跟。
3) 应该使用哪个 2FA'因素'?
并非所有 2FA“因素”都是平等的,有些本质上比其他因素更安全。例如,SMS 确认码很受欢迎,因为它们实施起来既快速又容易,但 不如 使用硬件令牌或身份验证器应用程序安全。
4) 应该自定义 2FA 产品吗?
网络安全是一种平衡行为,可以保护系统免受未经授权的访问,而不会显着降低用户的工作效率。鉴于流程是独一无二的,现成的解决方案可能需要粒度来满足所有需求。
一个好的起点是绘制整个网络中的各种身份验证接触点及其影响的流程。这将帮助您了解自己的 2FA 要求以及如何最好地部署该技术。
2FA 变得势在必行
现实情况是,各种规模的企业都必须改进数据安全规定,以更好地保护其运营和客户。越来越多的立法和行业最佳实践框架正在推动组织朝着正确的方向前进。最重要的是,客户比以往任何时候都更加意识到在线风险,他们要求保护他们的数据免遭丢失或被盗。
这就是为什么考虑当前的 2FA 要求 和规划未来实施具有良好的战略意义。最终,2FA 将成为开展业务必不可少且不可避免的一部分。
