多因素身份驗證(MFA)要求用戶使用至少兩個因素對身份進行身份驗證才能訪問應用程序，在企業(yè)中正快速普及。去年年底，LastPass對47,000個企業(yè)進行了一項調(diào)查，發(fā)現(xiàn)全球目前有57%的企業(yè)正在使用MFA，比上一年增長了12%。

統(tǒng)計數(shù)據(jù)也證明了MFA的有效性。今年早些時候，微軟報告稱，其追蹤的違規(guī)賬戶中有99.9%沒有使用MFA。

盡管如此，許多企業(yè)對MFA仍然持觀望態(tài)度，因為失敗的案例也很多，很多企業(yè)的MFA最終成了擺設，甚至被徹底拋棄。

很多案例中，并不是MFA有問題，而是企業(yè)犯了認知錯誤或?qū)嵤╁e誤，結果，MFA最終成了安全管理中的“負能量”和“摩擦力”。

Ping Identity的CCIO理查德·伯德(Richard Bird)指出：“要提高對MFA的理解和采用率，還有很多工作要做。”

企業(yè)在部署MFA時會犯哪些常見的失誤?如果您所在的企業(yè)正在考慮使用MFA來提高安全性，請留神以下六個常見認知和實施錯誤：

1. 部署時將MFA作為可選項

如果企業(yè)準備實施MFA，那么對于最終用戶而言，MFA就應該是個“強制標準”，而不是一個“可選項”。Ping Identity的Bird表示，他在客戶那里中看到的最常見的錯誤是在推廣MFA時軟弱無力，將其作為可選項。

Bird認為：“當給用戶提供安全認證選項時，如果沒有明確的，基于價值的解釋，多數(shù)用戶都會將選擇感覺最簡單、最省事的方法，或者繼續(xù)使用他們已經(jīng)習慣的方法。”“安全性不是一種選擇，在威脅企業(yè)整體系統(tǒng)的脆弱性問題上，不能有半點妥協(xié)。”

要點：如果要實施MFA，請確保強制使用它。

2. MFA導致更多摩擦

Thycotic首席安全科學家兼顧問CISO約瑟夫·卡森(Joseph Carson)認為，將MFA僅僅用作安全控制中的一個額外步驟是一種錯誤行為。

MFA應該使認證變得更加順暢簡單，而不是增加難度。MFA應該是被用來減輕“安全疲勞”的，而不是起到反作用。

Okta的Diamond補充說：“雖然在執(zhí)行MFA時會有一定程度的摩擦，但是您可以通過在多個認證因素之上分層上下文訪問策略來最大程度地減少這種摩擦。”

Diamond指出：“MFA是多因素認證三要素‘你所知道的、您所擁有的、你是誰’中至少兩個因素的組合，考慮到其他因素和環(huán)境會有很多不同的組合，最終目標應該是將適當?shù)囊蛩嘏c適當?shù)娘L險水平配對。”

要點：實施MFA的一部分動機應該是通過消除現(xiàn)有的不良做法來簡化身份驗證。

3. 僅對特定用戶或應用實施MFA

網(wǎng)絡安全專業(yè)人士經(jīng)常會在企業(yè)遇到這樣的錯誤，即僅將MFA部署給一些關鍵員工。

Okta的Diamond認為：“我們看到企業(yè)有時只在高管人員中部署MFA，因為從理論上講，高管人員可以訪問敏感信息。但是，您還需要考慮所有能夠訪問敏感數(shù)據(jù)的員工。”

Lookout安全解決方案高級經(jīng)理Stephen Banda說，使用MFA保護部分應用程序而不是全部應用程序也是錯誤的做法。

他說：“我們還發(fā)現(xiàn)，很多企業(yè)的MFA沒有覆蓋所有應用程序。”“事實上，所有應用程序都需要MFA，因為攻擊者可以發(fā)現(xiàn)MFA的盲區(qū)，并嘗試使用被盜的賬戶獲得訪問權限。”

要點：最安全的做法就是假設所有員工和應用程序都是至關重要的。對所有人和任何包含敏感數(shù)據(jù)的應用都強制實施MFA。

4. 依賴短信作為驗證手段

短信作為多因素認證手段正面臨著越來越嚴重的安全問題，Lookout的Banda指出：“目前有兩種利用短信驗證的常見攻擊：移動網(wǎng)絡釣魚和SIM交換攻擊。”

要點：使用身份驗證器應用程序、硬件密鑰，而不是依靠通過短信發(fā)送驗證碼。

5. 將MFA作為“創(chuàng)可貼“使用

Okta的Diamond表示，他經(jīng)常會看到企業(yè)在發(fā)生安全事件或者被安全審計發(fā)現(xiàn)身份驗證問題后爭先恐后地實施MFA，但他們選擇的工具只能滿足非常狹窄的用例，說直白點就像創(chuàng)可貼。

從短期來看，這些MFA解決方案似乎很棒。但是時間一長，瘡疤好了疼痛消失，創(chuàng)可貼也不知何時消失不見了。很多企業(yè)中的MFA解決方案由于維護不當，最終導致使用率下降，并再次回到之前的安全水平。

要點：MFA實施是一個整體策略和過程。需要成為整個組織的一種規(guī)則，而不是僅在一個局部實施MFA。

6. 低估MFA對業(yè)務的影響

Ping Identity的Bird表示，另一個常見錯誤是低估MFA對長期業(yè)務流程和工作流的影響。從本質(zhì)上講，MFA對用戶的安全策略和文化意味著重大而深遠的影響，這些必須在計劃過程的早期進行考慮。

他說：“流程變化和對行為變化的新要求肯定會招來員工的反對，阻力重重。企業(yè)信息主管們需要利用企業(yè)的IT團隊來交流和MFA部署，管理用戶預期并協(xié)調(diào)實施進度。”

要點：規(guī)劃和實施MFA之前，需要充分考慮引入MFA將如何改變每個人，每個團隊或部門的流程，并盡早將這些更改傳達給用戶。沒有“驚喜”，就不會有粗口。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文