數字化轉型和對遠程業務的日益依賴,繼續加速採用新的身分識別與存取管理(IAM)方法和技術。身分識別與存取管理(IAM)和IT領導人面臨著新的業務需求,需要在每一次互動和通路之間建立數位信任。減少憑證洩露的風險正迫使監管機構和行業領導者授權實施多重要素驗證(MFA)並重新評估OTP的有效性。
希望利用多重要素驗證(MFA)功能的企業被指示使用OTP應用程式接收驗證碼,如Microsoft Authenticator,來代替。即使是現在,安全研究人員和犯罪分子已經證明,OTP推送身份驗證很容易受到通過受感染設備進行的操縱和中間人攻擊。
美國行政管理和預算局(OMB)和歐盟網路和資訊保安局(ENISA)都呼籲不要使用OTP身份驗證,因為它不能抵抗網路釣魚。這兩個機構都要求組織利用身份驗證方法,例如FIDO2或基於證書的身份驗證。
企業組織選擇最合適的身份驗證需要考慮以下因素:
‧ 將使用多重要素驗證(MFA)的案例:多重要素驗證(MFA)不僅僅是為了强化員工的數位身份。它被使用包括虛擬專用網路(VPN)、雲端工作負載和容器、工廠工人和醫療保健提供者,以及保護營運技術(OT)系統和流程。
‧ 通常需要一系列的身份驗證器:並不是所有的用戶都有相同的用戶體驗和非常不同的需求。因為不是所有用戶都能使用手機。
‧ 部署的靈活性和可擴展性:使所有業務需求和目標不受影響
‧ 管理限制:FIDO憑證的生命週期管理是在企業中部署FIDO身份驗證的關鍵要素。註册新的FIDO憑證並將其綁定到現有用戶公司帳戶。其他考慮因素包括在FIDO憑證被洩露或員工離開公司時撤銷這些憑證,更新FIDO憑證,並在FIDO憑證丟失時恢復對企業帳戶的存取。
‧ 特定於組織的約束:如要存取的數據的敏感性和關鍵性、法規遵從性、操作限制(即限制使用移動設備)和勞動力的流動性。
‧ 抵禦已知的攻擊載體:如復雜的社會工程攻擊
‧ 每個用戶都是潛在的目標
多重要素驗證(MFA)是每個組織的武器儲備中一個非常強大的工具。多重要素驗證(MFA)的部署不應僅限於特權賬戶,而應擴大並覆蓋每個員工。攻擊者只需要破壞一個薄弱的憑證,即可登錄到公司網路或部署勒索軟體。一旦他們闖入組織,對他們來說,事情就像往常一樣。
