专栏

来源：Ghost系统之家浏览：时间：2022-09-09 12:46:36

一旦员工落入网络钓鱼陷阱或共享了密码，未实施多因子身份验证 (MFA) 方法的公司企业便对攻击敞开了大门。拿什么来阻止他们滑向深渊?

被盗凭证是当今公司企业面临的一大威胁。为什么?攻击者用的就是有效(被盗但有效)凭证，公司设置的杀毒软件、防火墙和其他防护技术凭什么将这些东西标记为异常?这些工具假定访问公司网络的人就是他们自己声称的身份。

现在公司企业都已熟知此类威胁，但很多公司的密码安全仍有许多工作要做。两年前针对美国和英国 500 位 IT 安全经理的调查表明，仅38%的公司企业采用多因子身份验证 (MFA) 以更好地保护网络凭证。令人遗憾的是，最近的调查研究显示这一情况并未发生多大变化。

为什么公司企业疏于采纳 MFA?

有几个误解在阻碍 MFA 采纳：

1. 只有大企业才该用 MFA

这是个常见的错误认知。很多企业认为公司需达一定规模才能从 MFA 获益。他们都错了。任何企业，无论规模如何，都应将MFA当做关键安全措施。任何一家公司，需要保护的数据都同样敏感，数据泄露造成的破坏也一样严重。而使用 MFA 既不复杂，也不昂贵，更不会让人有挫败感。

2. MFA 应仅用于保护特权用户

又错了。绝大多数企业里，大部分员工都能访问有价值数据，所以他们仅依赖本地 Windows 凭证。似乎要求他们使用MFA登录有点夸张。但真不是这样。这些“非特权”雇佣实际上拥有可对公司造成伤害的数据访问权。举个例子，一名护士就能将名人就医资料卖给媒体。这显示出了数据的价值，以及不当使用该数据可造成的危害。

而且，不止如此。网络罪犯通常不直接对特权账户下手;他们利用上钩网络钓鱼的任何账户，然后在网络中横向移动，以便查找、访问和渗漏有价值数据。

3. MFA 不完美

好吧，没有哪个安全解决方案是完美的，但 MFA 已经接近完美了。或许您已经听说了，FBI 最近发布了一份警告，是关于网络罪犯能够绕过MFA的几种情况的。存在两个主要的身份验证器漏洞：“信道劫持”和“实时网络钓鱼”。前者涉及接管身份验证器所用通信信道，后者采用中间机器拦截并重放身份验证消息。专家称，此类攻击需花费大量资金和精力。多数黑客如果遇到MFA就会转向其他更容易攻克的受害者了，不会尝试绕过此安全措施。用户也可采取简单的预防措施来避免一些漏洞，比如选择不依赖短信验证的MFA身份验证器。(美国国家标准与技术局在其最新的《数字身份指南》中劝阻采用短信和语音验证方法。)

尽管发现了 MFA 漏洞，FBI 仍确认，MFA 依然有效，是公司改善安全可采取的最简单步骤之一。

4. MFA 有碍用户生产力

未必。每种新技术都面临同样的挑战：以最不影响员工生产力的方式实现。如果干扰太大，用户就会设法规避这些安全控制。没有这种敏感度，技术采纳就会很慢，甚至停滞。因此，MFA需要灵活性。管理员可能希望避免让用户每次登录都要面对MFA 验证弹框。这正是 MFA 应根据每家公司具体需求加以调整的原因所在。

任何人都可能沦为被盗凭证的受害者，无论您是特权用户还是非特权用户。使用 MFA 应成为每家公司的主要安全措施，也是保持账户安全的最简单方法之一。

【本文是51CTO专栏作者“李少鹏”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文