尽管如此,很多企业对MFA依然有展望,失败的案例也很多,所以很多企业的MFA最终成为装饰品,被彻底抛弃了。
在很多情况下,不是MFA有问题,而是企业犯了认知错误和实施错误,结果MFA最终成为了安全管理中的“负能量”和“摩擦力”。
Ping Identity的CCIO理查德巴德(Richard Bird )指出:“要提高对MFA的理解和录用率,有很多工作要做。”
企业在部署MFA时会犯什么常见的错误? 如果您的公司考虑使用MFA提高安全性,请注意以下六个常见的认识和实施错误
1 .部署时以MFA为选项
如果企业准备部署MFA,对最终用户来说,MFA必须是“强制标准”而不是“选项”。 Ping Identity的Bird说,客户最常见的错误是在推进MFA时很弱,可以选择。
Bird表示:“在向用户提供安全认证选项的情况下,如果没有明确、基于价值的解释,很多用户会选择最简单、最省事的方法,或者继续使用习惯的方法。” “安全不是一个选择,而是威胁企业整体系统脆弱性的问题,不能妥协。 」
要点:实施MFA时,请务必强制使用。
2. MFA会引起更多的摩擦
Thycotic的最高安全科学家认为向CISO约瑟夫卡森(Joseph Carson )使用MFA作为安全控制的追加步骤是错误的行为。
MFA需要更顺利和更简单的认证,而不是增加难度。 MFA应该被用来减轻“安全疲劳”而不是反动。
Okta的Diamond补充说:“MFA的执行有一定程度的摩擦,但通过在多个认证因素上分层上下文访问策略,可以将这种摩擦降到最低。”
Diamond说:“MFA是多因素认证的三要素‘你知道,你有,你是谁’中至少两个要素的组合,考虑到其他要素和环境有很多不同的组合,最终目标是适当的要素和适当的
要点:实施MFA的部分动机是通过消除现有的问题来简化认证。
3 .只对特定的用户或应用程序实施MFA
网络安全专家经常遇到在企业中只将MFA部署到主要员工的错误。Okta的Diamond说:“企业理论上可以让高管访问机密信息,所以有时只在高管的中央部分配置MFA。 但是,必须考虑有权访问敏感数据的所有员工。 ’”
Lookout安全解决方案的高级经理Stephen Banda说,用MFA而不是所有应用程序保护某些应用程序也是错误的。
“我还发现很多公司的MFA不涵盖所有应用程序。 ”“事实上,所有的应用程序都需要MFA。 因为攻击者会发现MFA的死角,试图使用被盗的账户获得访问权。 」
重要:最安全的方法是假设所有员工和应用程序都很重要。 将MFA应用于包括所有人和敏感数据在内的所有应用程序。
4 .作为验证手段依赖邮件
消息作为多因素认证手段面临着越来越严重的安全问题,Lookout的Banda指出:“作为利用消息认证的一般攻击,有移动网络钓鱼和SIM交换攻击。”
重要信息:使用认证应用程序和硬件密钥,而不是通过邮件发送验证码。
5 .使用MFA作为“创可贴”
Okta的Diamond说,经常看到企业在安全事件和安全审计中发现认证问题后,争先恐后地实施MFA,但他们选择的工具只能满足非常狭窄的用例,坦率点就像创可贴。
短期内,这些MFA解决方案似乎很棒。 但是,时间一长,伤疤就消失了,创可贴也不知道什么时候消失了。 许多公司的MFA解决方案最终会因维护不当而降低利用率,恢复到以前的安全级别。
重要: MFA的实现是一个整体战略和过程。 必须是整个组织的规则,而不是在一个本地实现MFA。
中文
电话咨询
微信咨询
公众号
