多因素身份驗證(MFA)要求用戶使用至少兩個因素對身份進行身份驗證才能訪問應用程序，在企業中正快速普及。去年年底，LastPass對47,000個企業進行了一項調查，發現全球目前有57%的企業正在使用MFA，比上一年增長了12%。

統計數據也證明了MFA的有效性。今年早些時候，微軟報告稱，其追蹤的違規賬戶中有99.9%沒有使用MFA。

盡管如此，許多企業對MFA仍然持觀望態度，因為失敗的案例也很多，很多企業的MFA最終成了擺設，甚至被徹底拋棄。

很多案例中，并不是MFA有問題，而是企業犯了認知錯誤或實施錯誤，結果，MFA最終成了安全管理中的“負能量”和“摩擦力”。

Ping Identity的CCIO理查德·伯德(Richard Bird)指出：“要提高對MFA的理解和采用率，還有很多工作要做。”

企業在部署MFA時會犯哪些常見的失誤?如果您所在的企業正在考慮使用MFA來提高安全性，請留神以下六個常見認知和實施錯誤：

1. 部署時將MFA作為可選項

如果企業準備實施MFA，那么對于最終用戶而言，MFA就應該是個“強制標準”，而不是一個“可選項”。Ping Identity的Bird表示，他在客戶那里中看到的最常見的錯誤是在推廣MFA時軟弱無力，將其作為可選項。

Bird認為：“當給用戶提供安全認證選項時，如果沒有明確的，基于價值的解釋，多數用戶都會將選擇感覺最簡單、最省事的方法，或者繼續使用他們已經習慣的方法。”“安全性不是一種選擇，在威脅企業整體系統的脆弱性問題上，不能有半點妥協。”

要點：如果要實施MFA，請確保強制使用它。

2. MFA導致更多摩擦

Thycotic首席安全科學家兼顧問CISO約瑟夫·卡森(Joseph Carson)認為，將MFA僅僅用作安全控制中的一個額外步驟是一種錯誤行為。

MFA應該使認證變得更加順暢簡單，而不是增加難度。MFA應該是被用來減輕“安全疲勞”的，而不是起到反作用。

Okta的Diamond補充說：“雖然在執行MFA時會有一定程度的摩擦，但是您可以通過在多個認證因素之上分層上下文訪問策略來最大程度地減少這種摩擦。”

Diamond指出：“MFA是多因素認證三要素‘你所知道的、您所擁有的、你是誰’中至少兩個因素的組合，考慮到其他因素和環境會有很多不同的組合，最終目標應該是將適當的因素與適當的風險水平配對。”

要點：實施MFA的一部分動機應該是通過消除現有的不良做法來簡化身份驗證。

3. 僅對特定用戶或應用實施MFA

網絡安全專業人士經常會在企業遇到這樣的錯誤，即僅將MFA部署給一些關鍵員工。

Okta的Diamond認為：“我們看到企業有時只在高管人員中部署MFA，因為從理論上講，高管人員可以訪問敏感信息。但是，您還需要考慮所有能夠訪問敏感數據的員工。”

Lookout安全解決方案高級經理Stephen Banda說，使用MFA保護部分應用程序而不是全部應用程序也是錯誤的做法。

他說：“我們還發現，很多企業的MFA沒有覆蓋所有應用程序。”“事實上，所有應用程序都需要MFA，因為攻擊者可以發現MFA的盲區，并嘗試使用被盜的賬戶獲得訪問權限。”

要點：最安全的做法就是假設所有員工和應用程序都是至關重要的。對所有人和任何包含敏感數據的應用都強制實施MFA。

4. 依賴短信作為驗證手段

短信作為多因素認證手段正面臨著越來越嚴重的安全問題，Lookout的Banda指出：“目前有兩種利用短信驗證的常見攻擊：移動網絡釣魚和SIM交換攻擊。”

要點：使用身份驗證器應用程序、硬件密鑰，而不是依靠通過短信發送驗證碼。

5. 將MFA作為“創可貼“使用

Okta的Diamond表示，他經常會看到企業在發生安全事件或者被安全審計發現身份驗證問題后爭先恐后地實施MFA，但他們選擇的工具只能滿足非常狹窄的用例，說直白點就像創可貼。

從短期來看，這些MFA解決方案似乎很棒。但是時間一長，瘡疤好了疼痛消失，創可貼也不知何時消失不見了。很多企業中的MFA解決方案由于維護不當，最終導致使用率下降，并再次回到之前的安全水平。

要點：MFA實施是一個整體策略和過程。需要成為整個組織的一種規則，而不是僅在一個局部實施MFA。

6. 低估MFA對業務的影響

Ping Identity的Bird表示，另一個常見錯誤是低估MFA對長期業務流程和工作流的影響。從本質上講，MFA對用戶的安全策略和文化意味著重大而深遠的影響，這些必須在計劃過程的早期進行考慮。

他說：“流程變化和對行為變化的新要求肯定會招來員工的反對，阻力重重。企業信息主管們需要利用企業的IT團隊來交流和MFA部署，管理用戶預期并協調實施進度。”

要點：規劃和實施MFA之前，需要充分考慮引入MFA將如何改變每個人，每個團隊或部門的流程，并盡早將這些更改傳達給用戶。沒有“驚喜”，就不會有粗口。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文