對多因子身份驗證的四個錯誤看法
一旦員工落入網絡釣魚陷阱或共享了密碼,未實施多因子身份驗證 (MFA) 方法的公司企業便對攻擊敞開了大門。拿什么來阻止他們滑向深淵?
被盜憑證是當今公司企業面臨的一大威脅。為什么?攻擊者用的就是有效(被盜但有效)憑證,公司設置的殺毒軟件、防火墻和其他防護技術憑什么將這些東西標記為異常?這些工具假定訪問公司網絡的人就是他們自己聲稱的身份。
現在公司企業都已熟知此類威脅,但很多公司的密碼安全仍有許多工作要做。兩年前針對美國和英國 500 位 IT 安全經理的調查表明,僅 38% 的公司企業采用多因子身份驗證 (MFA) 以更好地保護網絡憑證。令人遺憾的是,最近的調查研究顯示這一情況并未發生多大變化。
為什么公司企業疏于采納 MFA?
有幾個誤解在阻礙 MFA 采納:
1. 只有大企業才該用 MFA
這是個常見的錯誤認知。很多企業認為公司需達一定規模才能從 MFA 獲益。他們都錯了。任何企業,無論規模如何,都應將 MFA 當做關鍵安全措施。任何一家公司,需要保護的數據都同樣敏感,數據泄露造成的破壞也一樣嚴重。而使用 MFA 既不復雜,也不昂貴,更不會讓人有挫敗感。
2. MFA 應僅用于保護特權用戶
又錯了。絕大多數企業里,大部分員工都能訪問有價值數據,所以他們*僅*依賴本地 Windows 憑證。似乎要求他們使用 MFA 登錄有點夸張。但真不是這樣。這些“非特權”雇傭實際上擁有可對公司造成傷害的數據訪問權。舉個例子,一名護士就能將名人就醫資料賣給媒體。這顯示出了數據的價值,以及不當使用該數據可造成的危害。
而且,不止如此。網絡罪犯通常不直接對特權賬戶下手;他們利用上鉤網絡釣魚的任何賬戶,然后在網絡中橫向移動,以便查找、訪問和滲漏有價值數據。
3. MFA 不完美
好吧,沒有哪個安全解決方案是完美的,但 MFA 已經接近完美了。或許您已經聽說了,FBI 最近發布了一份警告,是關于網絡罪犯能夠繞過 MFA 的幾種情況的。存在兩個主要的身份驗證器漏洞:“信道劫持” 和 “實時網絡釣魚”。前者涉及接管身份驗證器所用通信信道,后者采用中間機器攔截并重放身份驗證消息。專家稱,此類攻擊需花費大量資金和精力。多數黑客如果遇到 MFA 就會轉向其他更容易攻克的受害者了,不會嘗試繞過此安全措施。用戶也可采取簡單的預防措施來避免一些漏洞,比如選擇不依賴短信驗證的 MFA 身份驗證器。(美國國家標準與技術局在其最新的《數字身份指南》中勸阻采用短信和語音驗證方法。)
盡管發現了 MFA 漏洞,FBI 仍確認,MFA 依然有效,是公司改善安全可采取的最簡單步驟之一。
4. MFA 有礙用戶生產力
未必。每種新技術都面臨同樣的挑戰:以最不影響員工生產力的方式實現。如果干擾太大,用戶就會設法規避這些安全控制。沒有這種敏感度,技術采納就會很慢,甚至停滯。因此,MFA 需要靈活性。管理員可能希望避免讓用戶每次登錄都要面對 MFA 驗證彈框。這正是 MFA 應根據每家公司具體需求加以調整的原因所在。
任何人都可能淪為被盜憑證的受害者,無論您是特權用戶還是非特權用戶。使用 MFA 應成為每家公司的主要安全措施,也是保持賬戶安全的最簡單方法之一。
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
