10 самых распространенных оправданий неиспользования MFA, и как на них отвечать

Проверенные улучшения безопасности, предлагаемые многофакторной аутентификацией (MFA) или двухфакторной аутентификацией (2FA), побуждают ИТ-отделы компаний внедрять их. 

Как это часто бывает, многие менеджеры и сотрудники возражают против дополнительных шагов, связанных с использованием MFA, придумывая множество оправданий, чтобы избежать этого.

Вот что говорят эксперты по безопасности, с которыми разговаривали авторы издания CSO, - самые распространенные отговорки от использования MFA, с которыми они сталкивались, и ответы, которые они используют, чтобы эффективно обойти это препятствие.

1. Мой пароль достаточно надежен

Надежный пароль - важный и похвальный первый шаг, но по мере того, как кибератаки становятся все более изощренными, одного этого становится недостаточно. Это момент, который директора по информационной безопасности должны донести до пользователей и менеджеров, приводя примеры нарушений безопасности, когда надежных паролей было мало.

«Преимущество двухфакторной/многофакторной аутентификации заключается в том, что потребители могут меньше беспокоиться о том, что их данные могут быть украдены с помощью грубой силы, убедительных фишинговых атак или других атак с захватом учетных записей, - говорит Аарон Голдсмид, вице-президент и генеральный менеджер Twilio по работе с учетными записями. безопасность. - Даже если пароль уже был скомпрометирован, с 2FA/MFA потребители могут быть уверены, что их учетная запись не будет захвачена подменой учетных данных или другими распространенными методами, связанными с украденными паролями».

2. Я не хочу указывать свой личный номер смартфона для входа в MFA

Вам не нужно указывать свой номер телефона или даже адрес электронной почты. Существует множество других способов развертывания MFA, для которых они не требуются. Например, приложения для проверки подлинности более удобны, чем традиционные SMS или электронная почта. Пользователю может потребоваться отсканировать QR-код или вручную ввести код при первоначальной настройке, но последующие входы в систему можно настроить так, чтобы требовалось только push-уведомление, когда пользователю будет предложено нажать кнопку, подтверждающую его попытку входа в систему.

3. Мой личный номер телефона будет использоваться в маркетинговых целях или продан третьим лицам

Чтобы обеспечить уверенность в этом вопросе, ваша ИТ-компания должна иметь жесткую политику против использования/продажи данных сотрудников в целях, не связанных с безопасностью, или использовать стороннего поставщика MFA, который следует тем же правилам. Большинство из них следуют местным и национальным правилам конфиденциальности данных и раскрывают информацию о том, как они используют данные клиентов.

4. MFA слишком новый и непроверенный способ

«Двухфакторная аутентификация не нова, - говорит Тони Анскомб, главный пропагандист безопасности ESET. - Банки представили дебетовые карты с PIN-кодами - то, что у вас есть и то, что вы знаете - это, конечно же, двухфакторная аутентификация. Подчеркивание этого часто объясняет концепцию таким образом, что устраняет отказы».

5. Наша ИТ-команда уже перегружена решением более приоритетных задач

ИТ-команда будет гораздо более перегружена, если атака программы-вымогателя заблокирует всех от системы. Это может быть проще без MFA, потому что «аутентификация на основе пароля сама по себе недостаточна, - говорит Пол Кинкейд, директор по информационным технологиям и вице-президент по продуктам для информации и безопасности в SecureAuth. - Пользователи являются самым большим источником риска, и слишком легко создавать пароли с помощью социальной инженерии, чтобы ставить рассчитывать на безопасность всего предприятия».

6. Слишком много хлопот с настройкой MFA

Это оправдание может исходить от пользователей, менеджеров или ИТ-специалистов, и хотя это могло иметь место в прошлом, сейчас это не так. «2FA/MFA превратилась из скрытой функции, требующей выполнения различных шагов, в ключевую часть процесса адаптации, часто активируемую одним нажатием кнопки», - говорит Голдсмид. «В то время как 2FA/MFA в прошлом казались более сложным процессом, большинство приложений и веб-сайтов теперь включают API, которые обеспечивают простое переключение с помощью вопроса «да» или «нет»: «Хотите ли вы включить push-аутентификацию, основанную на времени, однократную» - код доступа по времени (TOTP), подтверждение по электронной почте, подтверждение по SMS и т. д.?»

7. Решение MFA не поддерживает наши устаревшие приложения

Хотя это могло быть правдой в прошлом, сегодня большинство решений MFA лучше подходят для работы с устаревшими системами. «Технологический ландшафт изменился, и теперь есть несколько решений этой проблемы, некоторые из которых могут даже не требовать внесения изменений в устаревшие приложения, - говорит Кинкейд. - Оркестровка удостоверений и многоуровневые/внеполосные факторы MFA - это допустимые варианты, которые могут позволить организациям снизить риски устаревших приложений за счет применения более надежных методов аутентификации». Любые расходы окажутся меньше, чем оплата требований авторов программ-вымогателей.

8. Риск недостаточно высок для инвестиций в MFA

Это оправдание, чтобы не тратить деньги - оно предполагает, что реалии кибербезопасности не изменились, однако они изменились. Причина? «Из-за растущего перехода к облачным рабочим нагрузкам и динамики работы на дому сетевой периметр не существует, как раньше, - говорит Кинкейд. - Обеспечение надежной аутентификации с помощью MFA является основой стратегии многоуровневой безопасности. Отсутствие этого делает организацию уязвимой в случае внутренней угрозы или внешнего взлома. MFA может помочь смягчить ущерб, нанесенный злоумышленником».

9. Я недостаточно знаю, что такое MFA, чтобы чувствовать себя комфортно при его использовании

Нет проблем, специалисты будут рады объяснить MFA простым и понятным языком. Тогда вам будет комфортно! «Обучение потребителей важности новых эффективных методов безопасности имеет решающее значение, - говорит Голдсмид. - Это ответственность всех организаций, поскольку доверие клиентов и конфиденциальность данных становятся все более распространенными проблемами как для потребителей, так и для руководящих органов».

10. Мне не нужна дополнительная охрана, у меня нечего воровать

Раздраженных директоров по информационной безопасности можно простить, если они отреагируют на это оправдание словами: «Правда? Дайте мне все номера ваших кредитных карт и PIN-коды, и давайте узнаем наверняка!»

Это неубедительное оправдание, маскирующее столь же неубедительную попытку избежать MFA. Тем не менее, профессиональный ответ на эту словесную уловку состоит в том, чтобы сказать: «Каждый потребитель является потенциальной целью атаки, поскольку каждый бит личной информации [PII] представляет ценность для злоумышленников, - говорит Голдсмид. - Даже если вы думаете, что у вас нет ничего стоящего для кражи, злоумышленники нацелены на устройства умного дома, отдельные банковские счета и, в конечном счете, любую учетную запись, содержащую личную информацию, можно использовать в мошеннических действиях».

«Потребителям не нужно далеко ходить, чтобы найти доказательства того, что любая угроза «может стать целью». Equifax, Marriott и Facebook - это лишь несколько примеров недавних атак, нацеленных на обычных потребителей, - добавляет Голдсмид. - К счастью, есть простой способ борьбы с этими атаками - простая настройка 2FA».