多因素认证(MFA)已经成为企业加强基于身份的网络安全管理的“必修课”,但是,错误的认知和部署会让MFA的效用大打折扣。
多因素身份验证(MFA)要求用户使用至少两个因素对身份进行身份验证才能访问应用程序,在企业中正快速普及。去年年底,LastPass对47,000个企业进行了一项调查,发现全球目前有57%的企业正在使用MFA,比上一年增长了12%。
统计数据也证明了MFA的有效性。今年早些时候,微软报告称,其追踪的违规账户中有99.9%没有使用MFA。
尽管如此,许多企业对MFA仍然持观望态度,因为失败的案例也很多,很多企业的MFA最终成了摆设,甚至被彻底抛弃。
很多案例中,并不是MFA有问题,而是企业犯了认知错误或实施错误,结果,MFA最终成了安全管理中的“负能量”和“摩擦力”。
Ping Identity的CCIO理查德·伯德(Richard Bird)指出:“要提高对MFA的理解和采用率,还有很多工作要做。”
企业在部署MFA时会犯哪些常见的失误?如果您所在的企业正在考虑使用MFA来提高安全性,请留神以下六个常见认知和实施错误:
01、部署时将MFA作为可选项
如果企业准备实施MFA,那么对于最终用户而言,MFA就应该是个“强制标准”,而不是一个“可选项”。Ping Identity的Bird表示,他在客户那里中看到的最常见的错误是在推广MFA时软弱无力,将其作为可选项。
Bird认为:“当给用户提供安全认证选项时,如果没有明确的,基于价值的解释,多数用户都会将选择感觉最简单、最省事的方法,或者继续使用他们已经习惯的方法。”“安全性不是一种选择,在威胁企业整体系统的脆弱性问题上,不能有半点妥协。”
要点:如果要实施MFA,请确保强制使用它。
02、MFA导致更多摩擦
Thycotic首席安全科学家兼顾问CISO约瑟夫·卡森(Joseph Carson)认为,将MFA仅仅用作安全控制中的一个额外步骤是一种错误行为。
MFA应该使认证变得更加顺畅简单,而不是增加难度。MFA应该是被用来减轻“安全疲劳”的,而不是起到反作用。
Okta的Diamond补充说:“虽然在执行MFA时会有一定程度的摩擦,但是您可以通过在多个认证因素之上分层上下文访问策略来最大程度地减少这种摩擦。”
Diamond指出:“MFA是多因素认证三要素‘你所知道的、您所拥有的、你是谁’中至少两个因素的组合,考虑到其他因素和环境会有很多不同的组合,最终目标应该是将适当的因素与适当的风险水平配对。”
要点:实施MFA的一部分动机应该是通过消除现有的不良做法来简化身份验证。
03、仅对特定用户或应用实施MFA
网络安全专业人士经常会在企业遇到这样的错误,即仅将MFA部署给一些关键员工。
Okta的Diamond认为:“我们看到企业有时只在高管人员中部署MFA,因为从理论上讲,高管人员可以访问敏感信息。但是,您还需要考虑所有能够访问敏感数据的员工。”
Lookout安全解决方案高级经理Stephen Banda说,使用MFA保护部分应用程序而不是全部应用程序也是错误的做法。
他说:“我们还发现,很多企业的MFA没有覆盖所有应用程序。”“事实上,所有应用程序都需要MFA,因为攻击者可以发现MFA的盲区,并尝试使用被盗的账户获得访问权限。”
要点:最安全的做法就是假设所有员工和应用程序都是至关重要的。对所有人和任何包含敏感数据的应用都强制实施MFA。
04、依赖短信作为验证手段
短信作为多因素认证手段正面临着越来越严重的安全问题,Lookout的Banda指出:“目前有两种利用短信验证的常见攻击:移动网络钓鱼和SIM交换攻击。”
要点:使用身份验证器应用程序、硬件密钥,而不是依靠通过短信发送验证码。
05、将MFA作为“创可贴“使用
Okta的Diamond表示,他经常会看到企业在发生安全事件或者被安全审计发现身份验证问题后争先恐后地实施MFA,但他们选择的工具只能满足非常狭窄的用例,说直白点就像创可贴。
从短期来看,这些MFA解决方案似乎很棒。但是时间一长,疮疤好了疼痛消失,创可贴也不知何时消失不见了。很多企业中的MFA解决方案由于维护不当,最终导致使用率下降,并再次回到之前的安全水平。
要点:MFA实施是一个整体策略和过程。需要成为整个组织的一种规则,而不是仅在一个局部实施MFA。
06、低估MFA对业务的影响
Ping Identity的Bird表示,另一个常见错误是低估MFA对长期业务流程和工作流的影响。从本质上讲,MFA对用户的安全策略和文化意味着重大而深远的影响,这些必须在计划过程的早期进行考虑。
他说:“流程变化和对行为变化的新要求肯定会招来员工的反对,阻力重重。企业信息主管们需要利用企业的IT团队来交流和MFA部署,管理用户预期并协调实施进度。”
要点:规划和实施MFA之前,需要充分考虑引入MFA将如何改变每个人,每个团队或部门的流程,并尽早将这些更改传达给用户。没有“惊喜”,就不会有粗口。