增强数字安全的愿望引起了世界各国政府的关注,所有这些都希望保护消费者和企业。因此,许多人提议立法,使双因素身份验证(2FA)成为IT系统的强制性要求。事实上,在我国的等级保护体系中,三级保护以上的都需要进行双因素认证。我们来看看国外的双因素要求和实现。执行2FA要求2021年5月12日,美国总统乔·拜登发布行政命令,使2FA成为所有政府机构的法律要求。FBI、DHS和NSA等联邦机构有180天的时间对所有数据实施2FA保护。在英国,面对外国机构日益严重的威胁,国家网络安全中心(NCSC)向英国企业发布了强有力的指导。这些建议包括对其系统的2FA登录保护。类似的2FA要求在行业框架中也越来越普遍。最新版本的支付卡行业数据安全标准(PCIDSS)现在要求2FA或多因素身份验证(MFA)用于与帐户相关的任务,例如某些类型的支付。通过添加登录要求,供应商能够更好地保护他们的客户免受欺诈。其他处理敏感个人信息的行业也在效仿。在美国,正在采取措施改进《健康保险流通与责任法案》(HIPAA)以包括2FA要求。提供者可以通过使用二次身份验证加强对敏感患者数据的访问来保护患者的机密性。为什么2FA要求很重要?2FA的主要好处是能够加强外围防御并降低恶意行为者访问公司或政府系统的风险。通过添加额外的身份验证层,用户可以更好地保护自己,企业可以帮助保护客户免受欺诈、身份盗用、勒索和其他损失。在政府或行业层面强制执行2FA为数字落后者提供了令人鼓舞的动力,以更新他们的访问控制系统以造福于他们的用户和客户。绕过2FA容易吗?很难绕过2FA。如果不直接访问用户的辅助身份验证方法(例如智能手机、应用程序或硬件令牌),几乎不可能完成2FA过程的第二阶段。这使得受2FA保护的系统更难破解,因此更安全。当您准备将2FA纳入您的数字安全协议时,您还应该考虑其他几个问题,包括:1)您如何满足2FA要求?与任何安全控制一样,必须仔细规划2FA部署以确保您的资产得到适当保护。您将面临的最大挑战之一是在遗留系统上启用2FA并将该技术与现有环境集成。如果不解决这些问题,您的新防御就不可能像您希望的那样全面。2)哪些账户需要2FA?将2FA仅应用于管理员级别的帐户或具有允许他们进行系统和安全配置更改权限的帐户可能很诱人。但是,这种方法不足以解决数据访问权限问题。例如,您的销售经理可能无法添加防火墙规则,但他们可以访问客户数据库中受GDPR保护的个人信息。值得记住的是,网络犯罪分子通常从破坏单个系统开始。然后,他们会将该受感染的系统用作公司网络内部进一步攻击的中转点。访问较低级别的帐户可能会导致更大的问题。理想情况下,您希望防止黑客在您的防御系统中站稳脚跟。3)应该使用哪个2FA“因素”?并非所有2FA“因素”生而平等,有些因素天生就比其他因素更安全。例如,SMS确认码很受欢迎,因为它们实施起来既快捷又容易,但不如使用硬件令牌或身份验证器应用程序安全。4)2FA产品是否需要定制?网络安全是一种平衡行为,可以保护系统免受未经授权的访问,同时不会显着降低用户的工作效率。鉴于流程是独一无二的,现成的解决方案可能需要粒度来满足所有需求。一个好的起点是绘制各种身份验证接触点的流程及其在网络中的影响。这将帮助您了解您的2FA要求以及如何最好地部署该技术。2FA势在必行现实是,各种规模的企业都必须改进数据安全法规,以更好地保护其运营和客户。越来越多的立法和行业最佳实践框架正在推动组织朝着正确的方向发展。最重要的是,客户比以往任何时候都更加了解在线风险,他们要求保护自己的数据免遭丢失或盗窃。这就是为什么考虑当前的2FA要求并计划未来的实施具有良好的战略意义。最终,2FA将成为开展业务不可或缺的一部分。
