@Allure
2年前 提问
1个回答

企业实施安全免密认证容易遇到哪些问题

一颗小胡椒
2年前

企业实施安全免密认证容易遇到的问题:

  • 部署成本和工作量:免密认证不是点点鼠标就能完成的,而是需要按照计划循序渐进,深入实施新的软件或硬件,同时培训员工。制定项目、变更和执行管理计划也会占用其他任务或战略项目的时间。部署免密认证也需要一定的成本。如果走硬件部署,企业就必须为每个员工都购买设备、令牌或智能卡,硬件损坏或丢失时还要及时更换。软件部署的成本可能略低,但还要考虑管理、迁移和维护等隐形成本。

  • 安全性问题:免密认证虽然优于传统密码方案,但也不是“百毒不侵”,无法完全防护恶意软件、浏览器中间人攻击和其他攻击。黑客可以安装专门拦截动态密码 (OTP) 的恶意软件,或者将特洛伊木马程序植入网页浏览器,拦截 OTP 或魔力链接等共享数据。有些攻击者甚至还能复制录音或其他生物特征,换句话说,企业遭遇的攻击取决于所选的验证因素,因此使用多因素认证(MFA)时,尽可能多采用验证因素就能提供更强的安全保障。

  • 终端用户的质疑:人们早已习惯使用密码,尤其是容易记住的密码,也因此走进了死胡同。现在,每30天更改一次密码然后把密码存储在浏览器中再使用自动填充功能登录已经成了一种本能,这就阻碍了免密计划的落地,此外还有很多人质疑免密认证的效果。另一方面,学习新技术、设置新设备以及编写生物特征验证因素程序已经是一大难题,如果每次登录会话还要使用这些新的验证因素就更难以接受。只是如此多的网络攻击遭遇足以让企业清醒地认识到现有的密码方案并不奏效,所以虽然免密认证的实施需要花费更长时间,为了更好的防护效果还是值得一试。