信息化觀察網(wǎng)

多因素認(rèn)證（MFA）已經(jīng)成為企業(yè)加強(qiáng)基于身份的網(wǎng)絡(luò)安全管理的“必修課”，但是，錯(cuò)誤的認(rèn)知和部署會(huì)讓MFA的效用大打折扣。

多因素身份驗(yàn)證（MFA）要求用戶使用至少兩個(gè)因素對(duì)身份進(jìn)行身份驗(yàn)證才能訪問(wèn)應(yīng)用程序，在企業(yè)中正快速普及。去年年底，LastPass對(duì)47,000個(gè)企業(yè)進(jìn)行了一項(xiàng)調(diào)查，發(fā)現(xiàn)全球目前有57％的企業(yè)正在使用MFA，比上一年增長(zhǎng)了12％。

統(tǒng)計(jì)數(shù)據(jù)也證明了MFA的有效性。今年早些時(shí)候，微軟報(bào)告稱，其追蹤的違規(guī)賬戶中有99.9％沒(méi)有使用MFA。

盡管如此，許多企業(yè)對(duì)MFA仍然持觀望態(tài)度，因?yàn)槭〉陌咐埠芏?，很多企業(yè)的MFA最終成了擺設(shè)，甚至被徹底拋棄。

很多案例中，并不是MFA有問(wèn)題，而是企業(yè)犯了認(rèn)知錯(cuò)誤或?qū)嵤╁e(cuò)誤，結(jié)果，MFA最終成了安全管理中的“負(fù)能量”和“摩擦力”。

Ping Identity的CCIO理查德·伯德（Richard Bird）指出：“要提高對(duì)MFA的理解和采用率，還有很多工作要做。”

企業(yè)在部署MFA時(shí)會(huì)犯哪些常見(jiàn)的失誤？如果您所在的企業(yè)正在考慮使用MFA來(lái)提高安全性，請(qǐng)留神以下六個(gè)常見(jiàn)認(rèn)知和實(shí)施錯(cuò)誤：

01、部署時(shí)將MFA作為可選項(xiàng)

如果企業(yè)準(zhǔn)備實(shí)施MFA，那么對(duì)于最終用戶而言，MFA就應(yīng)該是個(gè)“強(qiáng)制標(biāo)準(zhǔn)”，而不是一個(gè)“可選項(xiàng)”。Ping Identity的Bird表示，他在客戶那里中看到的最常見(jiàn)的錯(cuò)誤是在推廣MFA時(shí)軟弱無(wú)力，將其作為可選項(xiàng)。

Bird認(rèn)為：“當(dāng)給用戶提供安全認(rèn)證選項(xiàng)時(shí)，如果沒(méi)有明確的，基于價(jià)值的解釋，多數(shù)用戶都會(huì)將選擇感覺(jué)最簡(jiǎn)單、最省事的方法，或者繼續(xù)使用他們已經(jīng)習(xí)慣的方法。”“安全性不是一種選擇，在威脅企業(yè)整體系統(tǒng)的脆弱性問(wèn)題上，不能有半點(diǎn)妥協(xié)。”

要點(diǎn)：如果要實(shí)施MFA，請(qǐng)確保強(qiáng)制使用它。

02、MFA導(dǎo)致更多摩擦

Thycotic首席安全科學(xué)家兼顧問(wèn)CISO約瑟夫·卡森（Joseph Carson）認(rèn)為，將MFA僅僅用作安全控制中的一個(gè)額外步驟是一種錯(cuò)誤行為。

MFA應(yīng)該使認(rèn)證變得更加順暢簡(jiǎn)單，而不是增加難度。MFA應(yīng)該是被用來(lái)減輕“安全疲勞”的，而不是起到反作用。

Okta的Diamond補(bǔ)充說(shuō)：“雖然在執(zhí)行MFA時(shí)會(huì)有一定程度的摩擦，但是您可以通過(guò)在多個(gè)認(rèn)證因素之上分層上下文訪問(wèn)策略來(lái)最大程度地減少這種摩擦。”

Diamond指出：“MFA是多因素認(rèn)證三要素‘你所知道的、您所擁有的、你是誰(shuí)’中至少兩個(gè)因素的組合，考慮到其他因素和環(huán)境會(huì)有很多不同的組合，最終目標(biāo)應(yīng)該是將適當(dāng)?shù)囊蛩嘏c適當(dāng)?shù)娘L(fēng)險(xiǎn)水平配對(duì)。”

要點(diǎn)：實(shí)施MFA的一部分動(dòng)機(jī)應(yīng)該是通過(guò)消除現(xiàn)有的不良做法來(lái)簡(jiǎn)化身份驗(yàn)證。

03、僅對(duì)特定用戶或應(yīng)用實(shí)施MFA

網(wǎng)絡(luò)安全專業(yè)人士經(jīng)常會(huì)在企業(yè)遇到這樣的錯(cuò)誤，即僅將MFA部署給一些關(guān)鍵員工。

Okta的Diamond認(rèn)為：“我們看到企業(yè)有時(shí)只在高管人員中部署MFA，因?yàn)閺睦碚撋现v，高管人員可以訪問(wèn)敏感信息。但是，您還需要考慮所有能夠訪問(wèn)敏感數(shù)據(jù)的員工。”

Lookout安全解決方案高級(jí)經(jīng)理Stephen Banda說(shuō)，使用MFA保護(hù)部分應(yīng)用程序而不是全部應(yīng)用程序也是錯(cuò)誤的做法。

他說(shuō)：“我們還發(fā)現(xiàn)，很多企業(yè)的MFA沒(méi)有覆蓋所有應(yīng)用程序。”“事實(shí)上，所有應(yīng)用程序都需要MFA，因?yàn)楣粽呖梢园l(fā)現(xiàn)MFA的盲區(qū)，并嘗試使用被盜的賬戶獲得訪問(wèn)權(quán)限。”

要點(diǎn)：最安全的做法就是假設(shè)所有員工和應(yīng)用程序都是至關(guān)重要的。對(duì)所有人和任何包含敏感數(shù)據(jù)的應(yīng)用都強(qiáng)制實(shí)施MFA。

04、依賴短信作為驗(yàn)證手段

短信作為多因素認(rèn)證手段正面臨著越來(lái)越嚴(yán)重的安全問(wèn)題，Lookout的Banda指出：“目前有兩種利用短信驗(yàn)證的常見(jiàn)攻擊：移動(dòng)網(wǎng)絡(luò)釣魚(yú)和SIM交換攻擊。”

要點(diǎn)：使用身份驗(yàn)證器應(yīng)用程序、硬件密鑰，而不是依靠通過(guò)短信發(fā)送驗(yàn)證碼。

05、將MFA作為“創(chuàng)可貼“使用

Okta的Diamond表示，他經(jīng)常會(huì)看到企業(yè)在發(fā)生安全事件或者被安全審計(jì)發(fā)現(xiàn)身份驗(yàn)證問(wèn)題后爭(zhēng)先恐后地實(shí)施MFA，但他們選擇的工具只能滿足非常狹窄的用例，說(shuō)直白點(diǎn)就像創(chuàng)可貼。

從短期來(lái)看，這些MFA解決方案似乎很棒。但是時(shí)間一長(zhǎng)，瘡疤好了疼痛消失，創(chuàng)可貼也不知何時(shí)消失不見(jiàn)了。很多企業(yè)中的MFA解決方案由于維護(hù)不當(dāng)，最終導(dǎo)致使用率下降，并再次回到之前的安全水平。

要點(diǎn)：MFA實(shí)施是一個(gè)整體策略和過(guò)程。需要成為整個(gè)組織的一種規(guī)則，而不是僅在一個(gè)局部實(shí)施MFA。

06、低估MFA對(duì)業(yè)務(wù)的影響

Ping Identity的Bird表示，另一個(gè)常見(jiàn)錯(cuò)誤是低估MFA對(duì)長(zhǎng)期業(yè)務(wù)流程和工作流的影響。從本質(zhì)上講，MFA對(duì)用戶的安全策略和文化意味著重大而深遠(yuǎn)的影響，這些必須在計(jì)劃過(guò)程的早期進(jìn)行考慮。

他說(shuō)：“流程變化和對(duì)行為變化的新要求肯定會(huì)招來(lái)員工的反對(duì)，阻力重重。企業(yè)信息主管們需要利用企業(yè)的IT團(tuán)隊(duì)來(lái)交流和MFA部署，管理用戶預(yù)期并協(xié)調(diào)實(shí)施進(jìn)度。”

要點(diǎn)：規(guī)劃和實(shí)施MFA之前，需要充分考慮引入MFA將如何改變每個(gè)人，每個(gè)團(tuán)隊(duì)或部門的流程，并盡早將這些更改傳達(dá)給用戶。沒(méi)有“驚喜”，就不會(huì)有粗口。