“巴拿馬論文(Panama Papers)”事件再次向業界證明了高度重視內部人員威脅的重要性，而近期的兩個重要事件已經證明，此時正是實施多重認證的時候。

首先是4月26日Verizon發布的數據泄露調查報告，其中有這樣的表述，“約有63%的數據泄露事件與弱口令、默認口令或者失竊口令有關。”

其次是4月28日發布的PCI DSS3.2的發布。在談到PCI的安全標準委員會時，技術總監特諾伊表示，“我們看到繞過單個故障點的攻擊在增加，網絡犯罪可以訪問未經檢測的系統，并破壞銀行卡數據。PCI DSS3.2的一個重大變化就是，將多重認證作為一種必須的機制，要求有管理權限的任何人員在進入可以處理銀行卡數據的環境時，必須應用此機制。單純的口令并不足以驗證管理員的身份，也不足以使其訪問敏感信息。”

更確切地說，口令的弊端很嚴重，而且我們有了解決這個問題的另一個理由。

多重認證面臨挑戰

將口令歸結為脆弱的安全鏈條已經不是新鮮事兒了。雖然對多重認證的新研究和要求不斷出現，但都沒有從根本上解決問題：為什么雙重認證或多重認證還沒有廣泛采用?

用戶和業界在采用多重認證時的步伐如此遲緩的一個很明顯的原因是可用性問題。例如，一個員工在保存敏感的數據資料時，一般情況下是極不愿意在手機上打開一個應用程序，去訪問一個幾秒鐘就到期的一次性口令。

成本是另一個挑戰。對于大型企業所要求的規模來說，生物識別器或令牌還是很昂貴的。

為解決成本和可用性問題，許多企業都為不同的使用實施了不同的多重認證技術。例如，除了使用PIN或口令之外，巡邏車上的警官可以使用智能手機上的一個一次性口令應用，在訪問重要的數據中心時可能要求生物識別，而外地辦事處的終端可能必須使用智能卡。這就在成本和可用性之間實現了一種滿足安全策略的平衡。

還有一個很少有人真正考慮到的挑戰，即：由于利用不同的多重認證技術而帶給安全團隊的混亂，還有隨著時間的推移而帶來的不可避免的一些變化。安裝這些不一致的認證機制可能產生不確定性，并帶來相關風險。因而，在實施多重認證時，使用一種用于認證的集中化的策略管理平臺是至關重要的。

多重認證不僅是為了合規

不管你如何認識多重認證，隨著更多的行業規范都要求多重認證，多數企業都要盡早實施這種安全機制。雖然多重認證的實施存在一些困難，但它是一種可以減少風險而不僅僅是滿足審計人員的重要舉措之一。雖然多重認證并非靈丹妙藥，它卻可以減少由弱口令、默認口令或失竊的口令引起的數據泄露。

因而，為防止數據泄露，多重認證正當時。

【編輯推薦】