一旦員工落入網(wǎng)絡(luò)釣魚陷阱或共享了密碼，未實(shí)施多因子身份驗(yàn)證 (MFA) 方法的公司企業(yè)便對(duì)攻擊敞開了大門。拿什么來阻止他們滑向深淵?

[[283193]]

被盜憑證是當(dāng)今公司企業(yè)面臨的一大威脅。為什么?攻擊者用的就是有效(被盜但有效)憑證，公司設(shè)置的殺毒軟件、防火墻和其他防護(hù)技術(shù)憑什么將這些東西標(biāo)記為異常?這些工具假定訪問公司網(wǎng)絡(luò)的人就是他們自己聲稱的身份。

現(xiàn)在公司企業(yè)都已熟知此類威脅，但很多公司的密碼安全仍有許多工作要做。兩年前針對(duì)美國和英國 500 位 IT 安全經(jīng)理的調(diào)查表明，僅 38% 的公司企業(yè)采用多因子身份驗(yàn)證 (MFA) 以更好地保護(hù)網(wǎng)絡(luò)憑證。令人遺憾的是，最近的調(diào)查研究顯示這一情況并未發(fā)生多大變化。

為什么公司企業(yè)疏于采納 MFA?

有幾個(gè)誤解在阻礙 MFA 采納：

1. 只有大企業(yè)才該用 MFA

這是個(gè)常見的錯(cuò)誤認(rèn)知。很多企業(yè)認(rèn)為公司需達(dá)一定規(guī)模才能從 MFA 獲益。他們都錯(cuò)了。任何企業(yè)，無論規(guī)模如何，都應(yīng)將 MFA 當(dāng)做關(guān)鍵安全措施。任何一家公司，需要保護(hù)的數(shù)據(jù)都同樣敏感，數(shù)據(jù)泄露造成的破壞也一樣嚴(yán)重。而使用 MFA 既不復(fù)雜，也不昂貴，更不會(huì)讓人有挫敗感。

2. MFA 應(yīng)僅用于保護(hù)特權(quán)用戶

又錯(cuò)了。絕大多數(shù)企業(yè)里，大部分員工都能訪問有價(jià)值數(shù)據(jù)，所以他們*僅*依賴本地 Windows 憑證。似乎要求他們使用 MFA 登錄有點(diǎn)夸張。但真不是這樣。這些“非特權(quán)”雇傭?qū)嶋H上擁有可對(duì)公司造成傷害的數(shù)據(jù)訪問權(quán)。舉個(gè)例子，一名護(hù)士就能將名人就醫(yī)資料賣給媒體。這顯示出了數(shù)據(jù)的價(jià)值，以及不當(dāng)使用該數(shù)據(jù)可造成的危害。

而且，不止如此。網(wǎng)絡(luò)罪犯通常不直接對(duì)特權(quán)賬戶下手;他們利用上鉤網(wǎng)絡(luò)釣魚的任何賬戶，然后在網(wǎng)絡(luò)中橫向移動(dòng)，以便查找、訪問和滲漏有價(jià)值數(shù)據(jù)。

3. MFA 不完美

好吧，沒有哪個(gè)安全解決方案是完美的，但 MFA 已經(jīng)接近完美了。或許您已經(jīng)聽說了，F(xiàn)BI 最近發(fā)布了一份警告，是關(guān)于網(wǎng)絡(luò)罪犯能夠繞過 MFA 的幾種情況的。存在兩個(gè)主要的身份驗(yàn)證器漏洞：“信道劫持” 和 “實(shí)時(shí)網(wǎng)絡(luò)釣魚”。前者涉及接管身份驗(yàn)證器所用通信信道，后者采用中間機(jī)器攔截并重放身份驗(yàn)證消息。專家稱，此類攻擊需花費(fèi)大量資金和精力。多數(shù)黑客如果遇到 MFA 就會(huì)轉(zhuǎn)向其他更容易攻克的受害者了，不會(huì)嘗試?yán)@過此安全措施。用戶也可采取簡(jiǎn)單的預(yù)防措施來避免一些漏洞，比如選擇不依賴短信驗(yàn)證的 MFA 身份驗(yàn)證器。(美國國家標(biāo)準(zhǔn)與技術(shù)局在其最新的《數(shù)字身份指南》中勸阻采用短信和語音驗(yàn)證方法。)

盡管發(fā)現(xiàn)了 MFA 漏洞，F(xiàn)BI 仍確認(rèn)，MFA 依然有效，是公司改善安全可采取的最簡(jiǎn)單步驟之一。

4. MFA 有礙用戶生產(chǎn)力

未必。每種新技術(shù)都面臨同樣的挑戰(zhàn)：以最不影響員工生產(chǎn)力的方式實(shí)現(xiàn)。如果干擾太大，用戶就會(huì)設(shè)法規(guī)避這些安全控制。沒有這種敏感度，技術(shù)采納就會(huì)很慢，甚至停滯。因此，MFA 需要靈活性。管理員可能希望避免讓用戶每次登錄都要面對(duì) MFA 驗(yàn)證彈框。這正是 MFA 應(yīng)根據(jù)每家公司具體需求加以調(diào)整的原因所在。

任何人都可能淪為被盜憑證的受害者，無論您是特權(quán)用戶還是非特權(quán)用戶。使用 MFA 應(yīng)成為每家公司的主要安全措施，也是保持賬戶安全的最簡(jiǎn)單方法之一。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文