MFA(多因素认证)是近些年来被经常提到的安全词汇之一,尽管各个研究机构、安全企业等等都一直在强调它的效果是显而易见的,但MFA的实施和部署仍然要面对一些挑战。
谈及为什么不用MFA时,看起来是很多人会觉得比较麻烦,他们普遍认为有其他更好、更便捷的方式可以使用,比如有29%的受访者表示他们会使用手机推送验证码的方式来取代传统的电邮+密码的方式,有28%的受访者使用一次性密码,15%的人使用基于令牌的设备,12%的受访者使用有时限的随机生成密码。相比之下,只有7%的人使用生物识别技术,另有7%的受访者表示使用面向身份认证的应用程序。
通过上述Cyber Readiness Institute针对中小企业发起的MFA应用调查情况可以看出,其应用情况并不够好,而且这还是在一个较长时间内被多方倡议和呼吁的情况下。根据调查数据,总体来看,只有四分之一的企业要求员工使用MFA方式登录应用或设备。
多因素身份验证是一种用于防止帐户接管和相关威胁的关键安全方法,除了在基于账户名+密码的方式之外增加第二种或更多的身份验证方式,以阻止攻击者试图使用被泄露的凭证来访问重要服务、数据和其他资产。
这份在2022年5月2日~ 15日对美国、英国、新西兰、日本、印度、德国、加拿大、澳大利亚等地的1403名中小企业主进行的调查中,几乎有一半的机构员工数量不到10人,而45%的机构报告年收入低于25万美元,因此可以看出,中小企业尤其是小企业几乎对这方面的安全是完全不加考虑的。
在受访者中,55%的人承认他们不太了解MFA及其安全效益,54%的人表示他们没有在业务中采用MFA。在没有实施MFA的受访者中,30%的人表示不理解,17%的人认为没有任何价值,15%的人认为MFA设置太混乱或太复杂,9%的人认为MFA设置太耗时、使用不方便。
根据上述内容,威胁检测企业Blumira的CTO表示,缺乏安全知识或意识是中小企业普遍的问题,大型企业通常会有一群网络安全专家,而中小企业通常会用更少的钱做更多的事情。例如,IT主管或系统管理员可能会处理网络安全以及其他各种IT维护任务。
调查数据还显示,只有28%的中小企业所有者在其软件、硬件和网络设备上需要MFA。约30%的受访者表示,他们配备了一些简单的安全手段和措施,15%的受访者表示他们根本没有安全手段和措施。
在向员工提供MFA服务的组织中,近一半的组织表示,他们鼓励在有MFA服务时使用它,而39%的组织有使用MFA获取关键硬件、软件和数据的流程。从需要MFA的应用和账户类型来看,45%的受访者认为数据库是首选,其次是会计软件和人力资源软件。其他需要提供的服务包括社交媒体账户、电子邮件和日历程序、办公软件和远程访问。
尽管它很有效,但MFA的实施和部署可能具有挑战性。在采用MFA所涉及的障碍中,获得必要的资金是最主要的障碍,其次是获得正确的资源,选择正确的工具,维护资源,拥有支持它所需的技术专长和来自员工的阻力。
尽管存在挑战,但仍有不少专家认为MFA对中小企业来说是一个“相对容易的步骤”,而且可以实现巨大的安全效益。在许多情况下,已经使用Microsoft 365或谷歌Workplace的组织可以免费建立MFA,使其成为一个负担得起的选择。
从效率考量,也安全专家表示,MFA应该被用来提高认证的效率,减少用户输入密码的需要,甚至减少创建新密码的需要。一个强大的特权访问管理解决方案可以通过增加额外的安全控制敏感的特权帐户,连同MFA和持续的验证,有助于降低风险。MFA与PAM的结合也进一步提高了安全性,将安全控制转变为基于风险并适应业务。
京公网安备 11010802033237号
