仅使用密码会使您的组织面临各种攻击
错了。虽然这是完成 MFA 注册的简单方法,但。最糟糕的情况是攻击者已经入侵了一个帐户,然后将该帐户注册到 MFA。将不应注册到 MFA 的帐户注册到 MFA 实际上与完全绕过 MFA 相同。这正是本文开头提到的成功攻击非政府组织时所发生的事情。虽然攻击者采取了其他措施来提升访问权限,但注册本身就是致命缺陷。
更智能、更简单、更安全的注册方式
有更智能、更安全的方法来注册身份验证器。SecurID 强烈建议组织在 MFA 注册周围分层额外的技术和程序控制。事实上,SecurID 默认不支持仅使用密码注册。客户需要费尽心思才能启用这种类型的注册 - 我们会建议他们不要这样做。
确定适当的注册取决于可用的身份验证器、所需的信任级别、组织的 MFA 解决方案的功能以及公司可用的工具和程序。
有许多技术控制措施可以帮助保护和简 哥斯达黎加电报筛选 化注册过程,而无需使用密码。例如,组织可以:
在注册前,依靠短信或语音 OTP 发送至预先注册的电话号码
要求用户联系帮助台以获取注册代码
通过电子邮件向用户分发注册码
打印并分享 PIN 字母,强制用户使用该唯一 PIN 进行注册
分配并发送硬件令牌给用户(在这种情况下,组织应该保持令牌停用状态,并让用户致电帮助台以启用硬件令牌)
仅允许从公司网络内注册
当然,还有更多控制措施可用,各种组合也是可能的。拥有大量且多样化用户群体的组织可能应该考虑提供多种注册方式,这可能会根据用户的角色产生不同的信任级别。
所有这些控制措施都为注册服务本身增加了安全层。尽管建立这些层需要花费精力进行设置和维护,但这项投资的回报巨大:可以信赖的身份验证器。
但这只是保护用户身份生命周期的第一步。
頁:
[1]