AV综合网址久久亚洲色图,2022中文字幕永久在线

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

避免多因素身份認證MFA方案“負能量”的五個關(guān)鍵要素

在“零信任”時代，多因素認證（MFA）技術(shù)已經(jīng)成為現(xiàn)代企業(yè)組織加強身份安全管理的“必修課”。然而，當前MFA技術(shù)在實際應用中的表現(xiàn)卻遠遠稱不上完美，有很多企業(yè)的MFA最終成了擺設(shè)，甚至成了企業(yè)網(wǎng)絡(luò)安全工作中的“負能量”和“摩擦力”。

長陽網(wǎng)站建設(shè)公司成都創(chuàng)新互聯(lián),長陽網(wǎng)站設(shè)計制作，有大型網(wǎng)站制作公司豐富經(jīng)驗。已為長陽數(shù)千家提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\成都外貿(mào)網(wǎng)站制作要多少錢，請找那個售后服務(wù)好的長陽做網(wǎng)站的公司定做！

研究人員發(fā)現(xiàn)，在很多失敗的MFA應用案例中，往往并不是MFA產(chǎn)品本身有問題，而是企業(yè)在實施部署時存在了至少一種及以上的認知錯誤或?qū)嵤╁e誤。MFA技術(shù)只有更有效地實施和應用才有意義。日前，BehavioSec公司系統(tǒng)工程總監(jiān)Marco Fanti根據(jù)其MFA項目實際建設(shè)經(jīng)驗，梳理總結(jié)了有效實施MFA方案的5個關(guān)鍵要素，涉及供應商選擇、實施流程控制以及如何獲得用戶支持等方面。

01選擇合適的MFA認證方式

當企業(yè)組織開始部署MFA技術(shù)之前，首先應該為不同類型的人員確定合適的MFA方法，比如員工、合作伙伴、客戶及其他人員等。

常見的MFA認證方法包括如下：

基于時間的一次性驗證碼，主要通過文本或電子郵件發(fā)送；
通過用戶設(shè)備上的身份驗證程序認證；
硬件安全密鑰認證；
通過生物特征識別技術(shù)認證，包括臉部或指紋識別；
自適應身份驗證，比如通過位置或設(shè)備使用情況對用戶進行身份驗證。

企業(yè)應該根據(jù)MFA方法對安全與用戶體驗（UX）的影響來綜合權(quán)衡其利弊。比如說，短信對用戶來說很便捷，但是安全性卻難以保證。攻擊者可以打電話給供應商，謊稱丟了手機，要求把號碼換成這個新的SIM卡號，然后接管用戶的號碼，欺騙使用短信的MFA。因此，建議企業(yè)組織能夠選擇通行密鑰（passkey）等安全性更高的認證方式。

02讓所有員工了解MFA的應用價值與要求

當企業(yè)選定MFA認證方法以后，應該盡快向所有相關(guān)人員（包括員工、客戶和供應商）說明對安全方面的要求和價值。雖然MFA對安全團隊而言并非新技術(shù)，但很多業(yè)務(wù)部門員工和客戶可能不了解其具體性質(zhì)、如何影響他們以及他們該如何處理。

無論組織正是實施的MFA方案功能多強大，所有利益相關(guān)者必須充分認知到MFA的優(yōu)缺點，以及攻擊者們會如何繞過這些防御機制。因此，企業(yè)必須對所有員工進行培訓，以盡快發(fā)現(xiàn)和報告使用中發(fā)現(xiàn)的異常情況；員工須特別小心他們可能遇到的社會工程陷阱。此外，他們應該使用足夠強壯的密碼，以避免憑據(jù)被盜。

03為可能出現(xiàn)的用戶摩擦做好預案

MFA可以幫助企業(yè)提高安全性，防止用戶賬戶遠離惡意分子，但確實也會減慢用戶登錄到賬戶的速度，從而造成業(yè)務(wù)部門和安全管理團隊的摩擦，從而影響到用戶體驗。此外，采取額外的安全措施有時也會讓使用者感到麻煩，比如需要多次查收通過應用程序或電子郵件發(fā)送的身份驗證碼。

當MFA方案實際投入使用之前，企業(yè)就應該預料到一些經(jīng)常會出現(xiàn)的阻力和不滿。不過，如果能夠通過采取一些積極的措施幫助用戶逐漸適應，相關(guān)的不滿和抱怨就會很快減少。一種辦法是采用新一代的MFA認證方法，比如說生物特征識別，既安全又便捷，同時也不會大大延長業(yè)務(wù)系統(tǒng)的登錄過程。

此外，采用行為驗證和持續(xù)性驗證也有利于企業(yè)降低MFA技術(shù)應用時的阻力。兩者都可以在不改變用戶與設(shè)備交互方式的情況下增強賬戶安全性。比如說，當IAM監(jiān)測到用戶試圖從非經(jīng)常登錄的地方發(fā)起訪問，就會發(fā)出提醒，這樣就可以減少對用戶體驗的干擾。

04對基于身份的攻擊活動做好防范措施

MFA是一種防止密碼泄露和賬戶接管攻擊的強大工具，但惡意攻擊者已學會了如何通過社會工程伎倆繞過MFA認證的控制。為了解決這個問題，企業(yè)可以采取很多措施來降低MFA方案被攻擊的可能性，包括向用戶登錄環(huán)節(jié)添加更多的信息和上下文，包括設(shè)備名稱、全局ID和設(shè)備位置等信息，這樣可以讓用戶對所訪問的對象更放心。MFA 方案還應該和特定的URL、設(shè)備和主機進行綁定，這樣可以有效阻止中間人攻擊。此外，企業(yè)還可以使用成熟的加密技術(shù)來加強MFA方案安全性，并對重置和繞過密碼的流程進行嚴格的管理。

05選擇有能力的MFA技術(shù)提供商

選擇有能力的MFA技術(shù)提供商對任何企業(yè)有效實施MFA方案非常關(guān)鍵。企業(yè)需要根據(jù)組織的實際情況和需求，選擇綜合性MFA服務(wù)商，也可以選擇專精型MFA方案提供商。

在Fanti給出的實施建議中，將微軟公司的 Entra ID（即之前的Azure Active Directory）作為一種功能強大的MFA方案進行了推薦，對于那些已經(jīng)在使用微軟產(chǎn)品企業(yè)這是一種不錯的選擇。而對于很多在身份安全認證方面有更高要求的企業(yè)，也可以采用Cisco Duo等方案作為增強的輔助身份驗證因素。

對于大量采用了云計算服務(wù)的企業(yè)，可以關(guān)注云身份安全企業(yè)Okta，它提供基于云的員工和客戶MFA產(chǎn)品，分別是Okta Workforce Identity和Okta Customer Identity，較全面的覆蓋了身份驗證、治理和生命周期管理等功能。

除了上述供應商，F(xiàn)anti還提到了ForgeRock、Ping Identity和1Kosmos等供應商，它們的一大特點是可以提供免費的試用服務(wù)和開源版MFA產(chǎn)品，企業(yè)既可以在采購前充分測試產(chǎn)品的性能，同時也能夠在項目實施過程中得到更多的自定義支持和幫助。

參考鏈接：https://www.techtarget.com/searchsecurity/feature/MFA-implementation-tips-for-organizations

網(wǎng)頁題目：避免多因素身份認證MFA方案“負能量”的五個關(guān)鍵要素
轉(zhuǎn)載源于：http://m.5511xx.com/article/cccgdih.html