多重身份验证(MFA)要求用户通过至少两个因素进行身份验证才能访问应用程序,它在企业中迅速普及。去年底,LastPass对47,000家企业进行了调查,发现全球57%的企业目前正在使用MFA,比上年增长了12%。统计数据也证明了MFA的有效性。今年早些时候,微软报告称,其追踪的被盗账户中有99.9%没有使用MFA。尽管如此,很多公司对MFA还是持观望态度,因为失败的案例很多,很多公司的MFA最终沦为摆设,甚至彻底放弃。很多时候,并不是MFA有问题,而是公司出现了认知错误或者执行错误。于是,MFA最终成为安全管理中的“负能量”和“摩擦力”。PingIdentity的CCIORichardBird指出:“要提高对MFA的理解和采用,还有很多工作要做。”企业在部署MFA时常犯哪些错误?如果您所在的企业正在考虑使用MFA来提高安全性,请注意以下六个常见的认知和实施错误:1.将MFA作为一种选择进行部署如果企业要实施MFA,那么对于最终用户而言,MFA应该是“强制标准”,而不是“可选标准”。PingIdentity的Bird说,他在客户身上看到的最常见错误是在将MFA作为一个选项进行推广时表现不佳。据Bird说:“在提供安全身份验证选项时,没有明确的,基于价值的解释,大多数用户会选择感觉最简单、成本最低的方法,或者继续使用他们习惯的方法。企业系统。”要点:如果您要实施MFA,请确保它是强制性的。2.MFA导致更多摩擦Thycotic首席安全科学家兼顾问CISO约瑟夫卡森(JosephCarson)认为,将MFA仅仅作为安全控制的一个额外步骤是错误的。MFA应该使身份验证更顺畅、更容易,而不是更难。MFA应该用来缓解“安全疲劳”,而不是适得其反。Okta的Diamond补充说:“虽然在执行MFA时存在一定程度的摩擦,但您可以通过在多个身份验证因素之上分层上下文访问策略来最大限度地减少这种摩擦。”Diamond指出:“MFA是多因素身份验证‘你知道什么、你拥有什么、你是谁’这三个要素中至少两个的组合。考虑到其他因素和环境有很多不同的组合,最终目标应该是将适当的因素与适当的风险水平相结合。”要点:实施MFA的部分动机应该是通过消除现有的不良做法来简化身份验证。3.仅为特定用户或应用程序实施MFA网络安全专业人员经常犯错误,即只为少数关键员工部署MFA。Okta的Diamond说:“我们看到公司有时只在高管中部署MFA,因为高管理论上可以访问敏感信息。但您还需要考虑所有有权访问敏感数据的员工。”安全解决方案高级经理斯蒂芬·班达(StephenBanda)表示,Lookout使用MFA来保护部分应用程序(但不是全部)也是错误的方法。“我们还发现,许多企业没有覆盖所有应用程序的MFA,”他说。“事实上,所有应用程序都需要MFA,因为攻击者可以看到MFA的盲点,并尝试使用受感染的帐户来获得访问权限。要点:最安全的做法是假设所有员工和应用程序都至关重要。MFA对每个人和任何包含敏感数据的应用程序强制执行。4.依靠短信作为身份验证手段短信作为多因素身份验证手段面临着越来越严重的安全问题,Lookout的Banda指出:“目前使用短信身份验证的常见攻击有两种:移动网络钓鱼和SIM交换攻击。”要点:使用验证器应用程序、硬件密钥,而不是依赖通过短信发送的验证码。5.将MFA用作“创可贴”。使用Okta,Diamond表示,他经常看到企业在发生安全事件或安全审计发现身份验证问题后争先恐后地实施MFA,但他们选择的工具仅服务于非常狭窄的用例,直白地说就像创可贴。从短期来看,这些MFA解决方案似乎很棒。不过时间长了,疤痕好了,痛感也消失了,创可贴也不见了。许多企业的MFA解决方案没有得到妥善维护,最终导致使用率下降并再次回到以前的安全级别。要点:MFA实施是一个整体战略和过程。它需要成为整个组织的规则,而不仅仅是MFA的本地实施。6.低估MFA的业务影响PingIdentity的Bird认为,另一个常见的错误是低估了MFA对长期业务流程和工作流的影响。从本质上讲,MFA对用户的安全策略和文化具有重大而深远的影响,必须在规划过程的早期考虑这些问题。“流程的改变和行为改变的新要求肯定会引起员工的强烈反对,”他说。“CIO需要利用他们的IT团队来沟通和部署MFA,管理用户期望并协调实施计划。”要点:在规划和实施MFA之前,您需要充分考虑MFA的引入将如何改变每个人、每个团队或部门的流程,并尽早将这些改变传达给用户。没有“惊喜”,也没有脏话。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
