防資料洩密：是否應實施“多重認證”？

“巴拿馬論文(Panama Papers)”事件再次向業界證明了高度重視内部人員威脅的重要性，而近期的兩個重要事件已經證明，此時正是實施多重認證的時候。

首先是4月26日Verizon釋出的資料洩露調查報告，其中有這樣的表述，“約有63%的資料洩露事件與弱密碼、預設密碼或者失竊密碼有關。”

其次是4月28日釋出的PCI DSS3.2的釋出。在談到PCI的安全标準委員會時，技術總監特諾伊表示，“我們看到繞過單個故障點的攻擊在增加，網絡犯罪可以通路未經檢測的系統，并破壞銀行卡資料。PCI DSS3.2的一個重大變化就是，将多重認證作為一種必須的機制，要求有管理權限的任何人員在進入可以處理銀行卡資料的環境時，必須應用此機制。單純的密碼并不足以驗證管理者的身份，也不足以使其通路敏感資訊。”

更确切地說，密碼的弊端很嚴重，而且我們有了解決這個問題的另一個理由。

多重認證面臨挑戰

将密碼歸結為脆弱的安全鍊條已經不是新鮮事兒了。雖然對多重認證的新研究和要求不斷出現，但都沒有從根本上解決問題：為什麼雙重認證或多重認證還沒有廣泛采用?

使用者和業界在采用多重認證時的步伐如此遲緩的一個很明顯的原因是可用性問題。例如，一個員工在儲存敏感的資料資料時，一般情況下是極不願意在手機上打開一個應用程式，去通路一個幾秒鐘就到期的一次性密碼。

成本是另一個挑戰。對于大型企業所要求的規模來說，生物識别器或令牌還是很昂貴的。

為解決成本和可用性問題，許多企業都為不同的使用實施了不同的多重認證技術。例如，除了使用PIN或密碼之外，巡邏車上的警官可以使用智能手機上的一個一次性密碼應用，在通路重要的資料中心時可能要求生物識别，而外地辦事處的終端可能必須使用智能卡。這就在成本和可用性之間實作了一種滿足安全政策的平衡。

還有一個很少有人真正考慮到的挑戰，即：由于利用不同的多重認證技術而帶給安全團隊的混亂，還有随着時間的推移而帶來的不可避免的一些變化。安裝這些不一緻的認證機制可能産生不确定性，并帶來相關風險。因而，在實施多重認證時，使用一種用于認證的集中化的政策管理平台是至關重要的。

多重認證不僅是為了合規

不管你如何認識多重認證，随着更多的行業規範都要求多重認證，多數企業都要盡早實施這種安全機制。雖然多重認證的實施存在一些困難，但它是一種可以減少風險而不僅僅是滿足審計人員的重要舉措之一。雖然多重認證并非靈丹妙藥，它卻可以減少由弱密碼、預設密碼或失竊的密碼引起的資料洩露。

因而，為防止資料洩露，多重認證正當時。

本文轉自d1net（轉載）