對多因子身份驗證的四個錯誤認知

一旦員工落入網絡釣魚陷阱或共享了密碼，未實施多因子身份驗證 (MFA) 方法的公司企業便對攻擊敞開了大門。拿什麼來阻止他們滑向深淵?

被盜憑證是當今公司企業面臨的一大威脅。爲何?攻擊者用的就是有效(被盜但有效)憑證，公司設置的殺毒軟件、防火牆和其餘防禦技術憑什麼將這些東西標記爲異常?這些工具假定訪問公司網絡的人就是他們本身聲稱的身份。

如今公司企業都已熟知此類威脅，但不少公司的密碼安全仍有許多工做要作。兩年前針對美國和英國 500 位 IT 安全經理的調查代表，僅 38% 的公司企業採用多因子身份驗證 (MFA) 以更好地保護網絡憑證。使人遺憾的是，最近的調查研究顯示這一狀況並未發生多大變化。

爲何公司企業疏於採納 MFA?

有幾個誤解在阻礙 MFA 採納：

1. 只有大企業才該用 MFA

這是個常見的錯誤認知。不少企業認爲公司需達必定規模才能從 MFA 獲益。他們都錯了。任何企業，不管規模如何，都應將 MFA 當作關鍵安全措施。任何一家公司，須要保護的數據都一樣敏感，數據泄露形成的破壞也同樣嚴重。而使用 MFA 既不復雜，也不昂貴，更不會讓人有挫敗感。

2. MFA 應僅用於保護特權用戶

又錯了。絕大多數企業裏，大部分員工都能訪問有價值數據，因此他們*僅*依賴本地 Windows 憑證。彷佛要求他們使用 MFA 登陸有點誇張。但真不是這樣。這些「非特權」僱傭實際上擁有可對公司形成傷害的數據訪問權。舉個例子，一名護士就能將名人就醫資料賣給媒體。這顯示出了數據的價值，以及不當使用該數據可形成的危害。

並且，不止如此。網絡罪犯一般不直接對特權帳戶下手;他們利用上鉤網絡釣魚的任何帳戶，而後在網絡中橫向移動，以便查找、訪問和滲漏有價值數據。

3. MFA 不完美

好吧，沒有哪一個安全解決方案是完美的，但 MFA 已經接近完美了。或許您已經據說了，FBI 最近發佈了一份警告，是關於網絡罪犯可以繞過 MFA 的幾種狀況的。存在兩個主要的身份驗證器漏洞：「信道劫持」 和 「實時網絡釣魚」。前者涉及接管身份驗證器所用通訊信道，後者採用中間機器攔截並重放身份驗證消息。專家稱，此類攻擊需花費大量資金和精力。多數黑客若是遇到 MFA 就會轉向其餘更容易攻克的受害者了，不會嘗試繞過此安全措施。用戶也可採起簡單的預防措施來避免一些漏洞，好比選擇不依賴短信驗證的 MFA 身份驗證器。(美國國家標準與技術局在其最新的《數字身份指南》中勸阻採用短信和語音驗證方法。)

儘管發現了 MFA 漏洞，FBI 仍確認，MFA 依然有效，是公司改善安全可採起的最簡單步驟之一。

4. MFA 有礙用戶生產力

未必。每種新技術都面臨一樣的挑戰：以最不影響員工生產力的方式實現。若是干擾太大，用戶就會設法規避這些安全控制。沒有這種敏感度，技術採納就會很慢，甚至停滯。所以，MFA 須要靈活性。管理員可能但願避免讓用戶每次登陸都要面對 MFA 驗證彈框。這正是 MFA 應根據每家公司具體需求加以調整的緣由所在。

任何人均可能淪爲被盜憑證的受害者，不管您是特權用戶仍是非特權用戶。使用 MFA 應成爲每家公司的主要安全措施，也是保持帳戶安全的最簡單方法之一。

本文地址：https://www.linuxprobe.com/multi-factor.html