防数据泄密:是否应实施“多重认证”?

日期: 2016-05-30 作者:赵长林 来源:TechTarget中国

“巴拿马论文(Panama Papers)”事件再次向业界证明了高度重视内部人员威胁的重要性,而近期的两个重要事件已经证明,此时正是实施多重认证的时候。 首先是4月26日Verizon发布的数据泄露调查报告,其中有这样的表述,“约有63%的数据泄露事件与弱口令、默认口令或者失窃口令有关。” 其次是4月28日发布的PCI DSS3.2的发布。在谈到PCI的安全标准委员会时,技术总监特诺伊表示,“我们看到绕过单个故障点的攻击在增加,网络犯罪可以访问未经检测的系统,并破坏银行卡数据。

PCI DSS3.2的一个重大变化就是,将多重认证作为一种必须的机制,要求有管理权限的任何人员在进入可以处理银行卡数据……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

“巴拿马论文(Panama Papers)”事件再次向业界证明了高度重视内部人员威胁的重要性,而近期的两个重要事件已经证明,此时正是实施多重认证的时候。

首先是4月26日Verizon发布的数据泄露调查报告,其中有这样的表述,“约有63%的数据泄露事件与弱口令、默认口令或者失窃口令有关。”

其次是4月28日发布的PCI DSS3.2的发布。在谈到PCI的安全标准委员会时,技术总监特诺伊表示,“我们看到绕过单个故障点的攻击在增加,网络犯罪可以访问未经检测的系统,并破坏银行卡数据。PCI DSS3.2的一个重大变化就是,将多重认证作为一种必须的机制,要求有管理权限的任何人员在进入可以处理银行卡数据的环境时,必须应用此机制。单纯的口令并不足以验证管理员的身份,也不足以使其访问敏感信息。”

更确切地说,口令的弊端很严重,而且我们有了解决这个问题的另一个理由。

多重认证面临挑战

将口令归结为脆弱的安全链条已经不是新鲜事儿了。虽然对多重认证的新研究和要求不断出现,但都没有从根本上解决问题:为什么双重认证或多重认证还没有广泛采用?

用户和业界在采用多重认证时的步伐如此迟缓的一个很明显的原因是可用性问题。例如,一个员工在保存敏感的数据资料时,一般情况下是极不愿意在手机上打开一个应用程序,去访问一个几秒钟就到期的一次性口令。

成本是另一个挑战。对于大型企业所要求的规模来说,生物识别器或令牌还是很昂贵的。

为解决成本和可用性问题,许多企业都为不同的使用实施了不同的多重认证技术。例如,除了使用PIN或口令之外,巡逻车上的警官可以使用智能手机上的一个一次性口令应用,在访问重要的数据中心时可能要求生物识别,而外地办事处的终端可能必须使用智能卡。这就在成本和可用性之间实现了一种满足安全策略的平衡。

还有一个很少有人真正考虑到的挑战,即:由于利用不同的多重认证技术而带给安全团队的混乱,还有随着时间的推移而带来的不可避免的一些变化。安装这些不一致的认证机制可能产生不确定性,并带来相关风险。因而,在实施多重认证时,使用一种用于认证的集中化的策略管理平台是至关重要的。

多重认证不仅是为了合规

不管你如何认识多重认证,随着更多的行业规范都要求多重认证,多数企业都要尽早实施这种安全机制。虽然多重认证的实施存在一些困难,但它是一种可以减少风险而不仅仅是满足审计人员的重要举措之一。虽然多重认证并非灵丹妙药,它却可以减少由弱口令、默认口令或失窃的口令引起的数据泄露。

因而,为防止数据泄露,多重认证正当时。

作者

赵长林
赵长林

TechTarget中国特邀作者

相关推荐

  • 多重认证并非固若金汤,谁是救命稻草?

    就像是所有的安全措施一样,多重认证并不是一种保护凭据的万全之策。但是,理解多重认证局限性的风险是减轻威胁的首要一步……

  • 如何制止OpenSSH漏洞?

    OpenSSH漏洞可以让黑客轻易绕过身份认证限制并发动强力的攻击破解密码。如何缓解这种威胁?是否应该考虑使用像OpenSSH这样的开源加密软件?

  • “刷脸”时代的企业身份认证

    再没有什么事情比“刷脸支付“更酷的了,毕竟这曾是科幻大片里才有的情节……身份认证技术是在计算机网络中确认操作者身份的过程而产生的解决方法,作为防护网络资产的第一道关口,身份认证有着举足轻重的作用。

  • PCI DSS:为什么漏洞评估和渗透测试那么难?

    2014年Verizon PCI合规报告对世界各地的PCI DSS合规状态进行了评估。令人惊讶的是,该报告发现“要求11”的合规率最低,尽管很多安全专业人士认为这是该报告中最直接的规定之一,该要求规定企业应对安全系统和流程定期进行测试。