IBM 称,被窃取的凭证是最常见的初始攻击媒介,占所有违规行为的20%,平均损失高达437万美元。在此背景下,大大小小的企业都重新考虑网络安全战略也无可厚非。
要解决这一复杂而棘手的问题,最普遍的一种方案是免密认证,要复制免密认证中的占有因素或生物特征因素比穷举密码要困难得多,网络攻击者没有凭证可以窃取,就更难破坏企业网络。
既然传统密码的固有风险如此之大,为什么不是所有企业都支持免密认证呢?
因为理想和现实是两回事。本文就将讨论免密认证面临的几个现实问题,以及在安全性、便利性和整体用户体验方面的优势。
免密认证面临的挑战
除了成本问题之外,有些安全措施即便是免密认证也无法取代,更何况企业高层往往也不愿冒险改变。
下面将讨论企业在实施免密认证时最常遇到的问题:
1)部署成本和工作量
免密认证不是点点鼠标就能完成的,而是需要按照计划循序渐进,深入实施新的软件或硬件,同时培训员工。制定项目、变更和执行管理计划也会占用其他任务或战略项目的时间。
部署免密认证也需要一定的成本。如果走硬件部署,企业就必须为每个员工都购买设备、令牌或智能卡,硬件损坏或丢失时还要及时更换。软件部署的成本可能略低,但还要考虑管理、迁移和维护等隐形成本。
2)安全性问题
免密认证虽然优于传统密码方案,但也不是“百毒不侵”,无法完全防护恶意软件、浏览器中间人攻击和其他攻击。黑客可以安装专门拦截动态密码 (OTP) 的恶意软件,或者将特洛伊木马程序植入网页浏览器,拦截 OTP 或魔力链接等共享数据。
有些攻击者甚至还能复制录音或其他生物特征,换句话说,企业遭遇的攻击取决于所选的验证因素,因此使用多因素认证(MFA)时,尽可能多采用验证因素就能提供更强的安全保障。
3)终端用户的质疑
人们早已习惯使用密码,尤其是容易记住的密码,也因此走进了死胡同。现在,每30天更改一次密码然后把密码存储在浏览器中再使用自动填充功能登录已经成了一种本能,这就阻碍了免密计划的落地,此外还有很多人质疑免密认证的效果。
另一方面,学习新技术、设置新设备以及编写生物特征验证因素程序已经是一大难题,如果每次登录会话还要使用这些新的验证因素就更难以接受。
只是如此多的网络攻击遭遇足以让企业清醒地认识到现有的密码方案并不奏效,所以虽然免密认证的实施需要花费更长时间,为了更好的防护效果还是值得一试。
免密认证的优势
了解完免密认证存在的问题,企业可能会产生这样的顾虑:为免密认证投入这么多时间和精力到底值不值得?答案是肯定的。理由如下:
1)网络安全态势增强
企业现在使用的密码对攻击者来说不难破解。很多员工都用同一个密码登录多个应用,只要其中一个被破解(网络钓鱼)、泄露(暗网列表)或窃取(恶意软件),攻击者很可能会访问多个账号获取机密 IP、财务数据或客户数据,还会利用这些账号监视内部消息、进行财务欺诈、用企业账号在社交媒体上出言不逊、进入企业网络乃至泄露商业机密。
免密认证可以让用户完全摆脱密码,同时针对网络钓鱼和暴力攻击这两种最危险也最普遍的网络攻击提供及时防护。哪怕员工收到网络钓鱼的邮件或短信,也没有凭证可以泄露。暴力破解也将成为过去式,攻击者根本没有用户名和密码可以窃取。另外,试图伪造 OTP、唯一链接、推送通知或指纹进行身份验证也极其困难。因此,在企业的应用、办公设备和网站上部署免密认证工具可以大幅改善安全态势。
2)生产力和用户体验提升
某种意义上来说,很难长期生成和记忆数百个密码,员工忘记密码后的重置过程往往也很麻烦。所以也难怪员工会用最容易记住的密码,而且每个工具都用相同的密码,或者每月更改密码的时候只增加一位数字或特殊字符。不过,有了免密认证,用户就不用再创建密码,也不用记住密码,用邮件、手机或面部识别就能验证。
这种快捷的登录体验让员工能把处理密码的时间用来完成其他更重要的任务。
除了员工之外,免密认证还可以改善客户体验。对于有账号的客户,网站通常会有登录提示。在登录界面嵌入免密认证既可以降低“购物车放弃率”也可以减少平台遭遇入侵攻击的可能。
3)长期成本降低
企业可以计算一下在密码管理和存储上的开销,再加上 IT 部门在重置密码和保持密码存储合规性上花费的时间。Forrester 的报告显示,美国企业每年仅在密码相关业务上的费用就超过 100 万美元。这一费用再加上每年识别和打击密码泄露的时间和精力会是一笔巨额成本,而且时间越久,成本越高。好消息是免密认证可以免去所有上述成本。企业再也不用存储和重置密码,再也不用担心法律合规问题。
从多因素认证开启企业免密之旅
对于大多数企业来说,免密认证将是安全改革的一次飞跃。实施免密认证需要一定时间、还要企业高层和财务的支持,所以很多企业会先实施多因素认证作为免密认证的第一步。
全场景覆盖的多因素认证通过简单易用的验证器APP保护对企业应用、设备和网络的访问。宁盾提供灵活的 MFA 解决方案,支持一键验证、基于时间的动态密码(TOTP)以及设备内置生物识别。而最具吸引力的功能是 IT 部门可以根据用户是在网络内、受信任设备上还是在特定位置来强制或放宽多因素认证要求,从而实现更无缝的体验。而且实施简单,企业只需在宁盾的管理门户中激活 MFA 功能就可以在所有已编程的应用中运行。