“巴拿馬論文(Panama Papers)”事件再次向業(yè)界證明了高度重視內(nèi)部人員威脅的重要性,而近期的兩個重要事件已經(jīng)證明,此時正是實(shí)施多重認(rèn)證的時候。
首先是4月26日Verizon發(fā)布的數(shù)據(jù)泄露調(diào)查報(bào)告,其中有這樣的表述,“約有63%的數(shù)據(jù)泄露事件與弱口令、默認(rèn)口令或者失竊口令有關(guān)。”
其次是4月28日發(fā)布的PCI DSS3.2的發(fā)布。在談到PCI的安全標(biāo)準(zhǔn)委員會時,技術(shù)總監(jiān)特諾伊表示,“我們看到繞過單個故障點(diǎn)的攻擊在增加,網(wǎng)絡(luò)犯罪可以訪問未經(jīng)檢測的系統(tǒng),并破壞銀行卡數(shù)據(jù)。PCI DSS3.2的一個重大變化就是,將多重認(rèn)證作為一種必須的機(jī)制,要求有管理權(quán)限的任何人員在進(jìn)入可以處理銀行卡數(shù)據(jù)的環(huán)境時,必須應(yīng)用此機(jī)制。單純的口令并不足以驗(yàn)證管理員的身份,也不足以使其訪問敏感信息。”
更確切地說,口令的弊端很嚴(yán)重,而且我們有了解決這個問題的另一個理由。
多重認(rèn)證面臨挑戰(zhàn)
將口令歸結(jié)為脆弱的安全鏈條已經(jīng)不是新鮮事兒了。雖然對多重認(rèn)證的新研究和要求不斷出現(xiàn),但都沒有從根本上解決問題:為什么雙重認(rèn)證或多重認(rèn)證還沒有廣泛采用?
用戶和業(yè)界在采用多重認(rèn)證時的步伐如此遲緩的一個很明顯的原因是可用性問題。例如,一個員工在保存敏感的數(shù)據(jù)資料時,一般情況下是極不愿意在手機(jī)上打開一個應(yīng)用程序,去訪問一個幾秒鐘就到期的一次性口令。
成本是另一個挑戰(zhàn)。對于大型企業(yè)所要求的規(guī)模來說,生物識別器或令牌還是很昂貴的。
為解決成本和可用性問題,許多企業(yè)都為不同的使用實(shí)施了不同的多重認(rèn)證技術(shù)。例如,除了使用PIN或口令之外,巡邏車上的警官可以使用智能手機(jī)上的一個一次性口令應(yīng)用,在訪問重要的數(shù)據(jù)中心時可能要求生物識別,而外地辦事處的終端可能必須使用智能卡。這就在成本和可用性之間實(shí)現(xiàn)了一種滿足安全策略的平衡。
還有一個很少有人真正考慮到的挑戰(zhàn),即:由于利用不同的多重認(rèn)證技術(shù)而帶給安全團(tuán)隊(duì)的混亂,還有隨著時間的推移而帶來的不可避免的一些變化。安裝這些不一致的認(rèn)證機(jī)制可能產(chǎn)生不確定性,并帶來相關(guān)風(fēng)險(xiǎn)。因而,在實(shí)施多重認(rèn)證時,使用一種用于認(rèn)證的集中化的策略管理平臺是至關(guān)重要的。
多重認(rèn)證不僅是為了合規(guī)
不管你如何認(rèn)識多重認(rèn)證,隨著更多的行業(yè)規(guī)范都要求多重認(rèn)證,多數(shù)企業(yè)都要盡早實(shí)施這種安全機(jī)制。雖然多重認(rèn)證的實(shí)施存在一些困難,但它是一種可以減少風(fēng)險(xiǎn)而不僅僅是滿足審計(jì)人員的重要舉措之一。雖然多重認(rèn)證并非靈丹妙藥,它卻可以減少由弱口令、默認(rèn)口令或失竊的口令引起的數(shù)據(jù)泄露。
因而,為防止數(shù)據(jù)泄露,多重認(rèn)證正當(dāng)時。
京公網(wǎng)安備 11010502049343號