避免多因素身份認證MFA方案“負能量”的5個關鍵要素
責編:gltian |2023-12-05 13:55:18在“零信任”時代,多因素認證(MFA)技術已經成為現代企業組織加強身份安全管理的“必修課”。然而,當前MFA技術在實際應用中的表現卻遠遠稱不上完美,有很多企業的MFA最終成了擺設,甚至成了企業網絡安全工作中的“負能量”和“摩擦力”。
研究人員發現,在很多失敗的MFA應用案例中,往往并不是MFA產品本身有問題,而是企業在實施部署時存在了至少一種及以上的認知錯誤或實施錯誤。MFA技術只有更有效地實施和應用才有意義。日前,BehavioSec公司系統工程總監Marco Fanti根據其MFA項目實際建設經驗,梳理總結了有效實施MFA方案的5個關鍵要素,涉及供應商選擇、實施流程控制以及如何獲得用戶支持等方面。
01?選擇合適的MFA認證方式
當企業組織開始部署MFA技術之前,首先應該為不同類型的人員確定合適的MFA方法,比如員工、合作伙伴、客戶及其他人員等。
常見的MFA認證方法包括如下:
- 基于時間的一次性驗證碼,主要通過文本或電子郵件發送;
- 通過用戶設備上的身份驗證程序認證;
- 硬件安全密鑰認證;
- 通過生物特征識別技術認證,包括臉部或指紋識別;
- 自適應身份驗證,比如通過位置或設備使用情況對用戶進行身份驗證。
企業應該根據MFA方法對安全與用戶體驗(UX)的影響來綜合權衡其利弊。比如說,短信對用戶來說很便捷,但是安全性卻難以保證。攻擊者可以打電話給供應商,謊稱丟了手機,要求把號碼換成這個新的SIM卡號,然后接管用戶的號碼,欺騙使用短信的MFA。因此,建議企業組織能夠選擇通行密鑰(passkey)等安全性更高的認證方式。
02?讓所有員工了解MFA的應用價值與要求
當企業選定MFA認證方法以后,應該盡快向所有相關人員(包括員工、客戶和供應商)說明對安全方面的要求和價值。雖然MFA對安全團隊而言并非新技術,但很多業務部門員工和客戶可能不了解其具體性質、如何影響他們以及他們該如何處理。
無論組織正是實施的MFA方案功能多強大,所有利益相關者必須充分認知到MFA的優缺點,以及攻擊者們會如何繞過這些防御機制。因此,企業必須對所有員工進行培訓,以盡快發現和報告使用中發現的異常情況;員工須特別小心他們可能遇到的社會工程陷阱。此外,他們應該使用足夠強壯的密碼,以避免憑據被盜。
03?為可能出現的用戶摩擦做好預案
MFA可以幫助企業提高安全性,防止用戶賬戶遠離惡意分子,但確實也會減慢用戶登錄到賬戶的速度,從而造成業務部門和安全管理團隊的摩擦,從而影響到用戶體驗。此外,采取額外的安全措施有時也會讓使用者感到麻煩,比如需要多次查收通過應用程序或電子郵件發送的身份驗證碼。
當MFA方案實際投入使用之前,企業就應該預料到一些經常會出現的阻力和不滿。不過,如果能夠通過采取一些積極的措施幫助用戶逐漸適應,相關的不滿和抱怨就會很快減少。一種辦法是采用新一代的MFA認證方法,比如說生物特征識別,既安全又便捷,同時也不會大大延長業務系統的登錄過程。
此外,采用行為驗證和持續性驗證也有利于企業降低MFA技術應用時的阻力。兩者都可以在不改變用戶與設備交互方式的情況下增強賬戶安全性。比如說,當IAM監測到用戶試圖從非經常登錄的地方發起訪問,就會發出提醒,這樣就可以減少對用戶體驗的干擾。
04?對基于身份的攻擊活動做好防范措施
MFA是一種防止密碼泄露和賬戶接管攻擊的強大工具,但惡意攻擊者已學會了如何通過社會工程伎倆繞過MFA認證的控制。為了解決這個問題,企業可以采取很多措施來降低MFA方案被攻擊的可能性,包括向用戶登錄環節添加更多的信息和上下文,包括設備名稱、全局ID和設備位置等信息,這樣可以讓用戶對所訪問的對象更放心。MFA 方案還應該和特定的URL、設備和主機進行綁定,這樣可以有效阻止中間人攻擊。此外,企業還可以使用成熟的加密技術來加強MFA方案安全性,并對重置和繞過密碼的流程進行嚴格的管理。
05?選擇有能力的MFA技術提供商
選擇有能力的MFA技術提供商對任何企業有效實施MFA方案非常關鍵。企業需要根據組織的實際情況和需求,選擇綜合性MFA服務商,也可以選擇專精型MFA方案提供商。
在Fanti給出的實施建議中,將微軟公司的 Entra ID(即之前的Azure Active Directory)作為一種功能強大的MFA方案進行了推薦,對于那些已經在使用微軟產品企業這是一種不錯的選擇。而對于很多在身份安全認證方面有更高要求的企業,也可以采用Cisco Duo等方案作為增強的輔助身份驗證因素。
對于大量采用了云計算服務的企業,可以關注云身份安全企業Okta,它提供基于云的員工和客戶MFA產品,分別是Okta Workforce Identity和Okta Customer Identity,較全面的覆蓋了身份驗證、治理和生命周期管理等功能。
除了上述供應商,Fanti還提到了ForgeRock、Ping Identity和1Kosmos等供應商,它們的一大特點是可以提供免費的試用服務和開源版MFA產品,企業既可以在采購前充分測試產品的性能,同時也能夠在項目實施過程中得到更多的自定義支持和幫助。
參考鏈接:
https://www.techtarget.com/searchsecurity/feature/MFA-implementation-tips-for-organizations