强调多因素身份验证的重要性

关键要点

英国网络安全中心NCSC指出企业需重新审视多因素身份验证MFA的使用。MFA不再是解决网络安全问题的万全之策，攻击者可以通过社交工程技术绕过部分MFA。企业需要优化MFA系统的使用，确保用户正确理解和使用MFA。NCSC更新了企业在MFA使用上的指导原则，以增强安全性，并减少用户在使用中遇到的阻碍。

英国网络安全监督机构表示，企业在处理他们的多因素身份验证时，需更加谨慎。

国家网络安全中心NCSC表示，企业不能再将MFA视为解决网络安全问题的通用解决方案。专家警告，一些攻击者现在能够以类似于窃取密码的方式拦截MFA密钥。

“攻击者意识到，许多社交工程技术能够成功诱骗用户提供密码，这些技术也可以更新以克服某些MFA方法，”NCSC指出。

NCSC还提到：“，在过去几年中，我们已经看到针对MFA保护账户的攻击成功率持续上升。”

因此，NCSC表示，企业需要改变对MFA系统的看法，不应仅仅将其当作应对威胁行为者的屏障。管理员应审视其组织最合适的身份验证层级和协议，而不应将MFA视为设定一次后就不再考虑的安全措施。

如果MFA选项被视为麻烦或者不被重视，用户就更可能忽视诈骗或社会工程攻击的警示信号。

简而言之，MFA只有在最终用户知道如何正确认证，且能够根据其目的正确使用多因素身份验证时，才对保护网络有用。这意味着MFA应当用于一次性代码验证，以确认对方身份并确保有合法的网络访问权限。

因此，NCSC表示他们正在更新企业的指导原则，不仅反映MFA的必要性，还强调如何正确使用，以及根据每个公司的需求和要求选择合适的MFA方案的重要性。

NCSC解释道：“新的指导原则说明了强身份验证带来的好处，同时减少用户在使用MFA时感到的障碍。 其中一部分内容涉及只有在真正有差异时，才要求进行身份验证或MFA。”

“绝大多数组织中会有不同角色的人，以不同的方式工作，使用不同类型的设备。因此，我们提供了选项，以帮助每个人的工作更加顺利。”

尽管NCSC的指导主要适用于英国，但这些原则应适用于全球的企业。随着网络钓鱼和勒索攻击的上升，身份管理变得愈发重要，确保安全协议得以有效实施应成为所有管理员的优先事项。

小火箭共享id