一旦員工落入網(wǎng)絡釣魚陷阱或共享了密碼，未實施多因子身份驗證 (MFA) 方法的公司企業(yè)便對攻擊敞開了大門。拿什么來阻止他們滑向深淵?

[[283193]]

被盜憑證是當今公司企業(yè)面臨的一大威脅。為什么?攻擊者用的就是有效(被盜但有效)憑證，公司設置的殺毒軟件、防火墻和其他防護技術(shù)憑什么將這些東西標記為異常?這些工具假定訪問公司網(wǎng)絡的人就是他們自己聲稱的身份。

現(xiàn)在公司企業(yè)都已熟知此類威脅，但很多公司的密碼安全仍有許多工作要做。兩年前針對美國和英國 500 位 IT 安全經(jīng)理的調(diào)查表明，僅 38% 的公司企業(yè)采用多因子身份驗證 (MFA) 以更好地保護網(wǎng)絡憑證。令人遺憾的是，最近的調(diào)查研究顯示這一情況并未發(fā)生多大變化。

為什么公司企業(yè)疏于采納 MFA?

有幾個誤解在阻礙 MFA 采納：

1. 只有大企業(yè)才該用 MFA

這是個常見的錯誤認知。很多企業(yè)認為公司需達一定規(guī)模才能從 MFA 獲益。他們都錯了。任何企業(yè)，無論規(guī)模如何，都應將 MFA 當做關鍵安全措施。任何一家公司，需要保護的數(shù)據(jù)都同樣敏感，數(shù)據(jù)泄露造成的破壞也一樣嚴重。而使用 MFA 既不復雜，也不昂貴，更不會讓人有挫敗感。

2. MFA 應僅用于保護特權(quán)用戶

又錯了。絕大多數(shù)企業(yè)里，大部分員工都能訪問有價值數(shù)據(jù)，所以他們*僅*依賴本地 Windows 憑證。似乎要求他們使用 MFA 登錄有點夸張。但真不是這樣。這些“非特權(quán)”雇傭?qū)嶋H上擁有可對公司造成傷害的數(shù)據(jù)訪問權(quán)。舉個例子，一名護士就能將名人就醫(yī)資料賣給媒體。這顯示出了數(shù)據(jù)的價值，以及不當使用該數(shù)據(jù)可造成的危害。

而且，不止如此。網(wǎng)絡罪犯通常不直接對特權(quán)賬戶下手;他們利用上鉤網(wǎng)絡釣魚的任何賬戶，然后在網(wǎng)絡中橫向移動，以便查找、訪問和滲漏有價值數(shù)據(jù)。

3. MFA 不完美

好吧，沒有哪個安全解決方案是完美的，但 MFA 已經(jīng)接近完美了?；蛟S您已經(jīng)聽說了，F(xiàn)BI 最近發(fā)布了一份警告，是關于網(wǎng)絡罪犯能夠繞過 MFA 的幾種情況的。存在兩個主要的身份驗證器漏洞：“信道劫持” 和 “實時網(wǎng)絡釣魚”。前者涉及接管身份驗證器所用通信信道，后者采用中間機器攔截并重放身份驗證消息。專家稱，此類攻擊需花費大量資金和精力。多數(shù)黑客如果遇到 MFA 就會轉(zhuǎn)向其他更容易攻克的受害者了，不會嘗試繞過此安全措施。用戶也可采取簡單的預防措施來避免一些漏洞，比如選擇不依賴短信驗證的 MFA 身份驗證器。(美國國家標準與技術(shù)局在其最新的《數(shù)字身份指南》中勸阻采用短信和語音驗證方法。)

盡管發(fā)現(xiàn)了 MFA 漏洞，F(xiàn)BI 仍確認，MFA 依然有效，是公司改善安全可采取的最簡單步驟之一。

4. MFA 有礙用戶生產(chǎn)力

未必。每種新技術(shù)都面臨同樣的挑戰(zhàn)：以最不影響員工生產(chǎn)力的方式實現(xiàn)。如果干擾太大，用戶就會設法規(guī)避這些安全控制。沒有這種敏感度，技術(shù)采納就會很慢，甚至停滯。因此，MFA 需要靈活性。管理員可能希望避免讓用戶每次登錄都要面對 MFA 驗證彈框。這正是 MFA 應根據(jù)每家公司具體需求加以調(diào)整的原因所在。

任何人都可能淪為被盜憑證的受害者，無論您是特權(quán)用戶還是非特權(quán)用戶。使用 MFA 應成為每家公司的主要安全措施，也是保持賬戶安全的最簡單方法之一。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文