关于多因素身份验证，你需要知道什么

随着我们的世界联系越来越紧密，针对企业和机构的网络攻击变得越来越普遍。

今年5月，我们看到了勒索软件WannaCry造成全球20多万台电脑的严重破坏。的彼佳病毒这也影响了Mondel?z International、广告巨头WPP和石油生产商俄罗斯石油公司(Rosneft)——已成为另一个重大网络安全问题。

WannaCry通过加密目标的硬盘来工作，只有在他们支付300美元赎金后才能恢复他们的文件。在五个小时内，这些运营商已经收到了27笔付款，总计约7000美元。

这些攻击引人注目的性质——以及它们不断增加的频率——突显出一个事实，即几乎每个使用互联网的人都有成为网络犯罪受害者的风险。作为一名企业家，你需要采取适当的安全措施来保证你的网络和数据的安全。网络攻击可能会对你的声誉造成不可挽回的损害，给你的企业带来财务损失。

正面进攻是最好的防御。

控制谁可以访问你的设备和网络是防御黑客的重要组成部分。目前，多因素身份验证(MFA)是限制正确人员访问的更有效的工具之一;它要求用户提供多个证据，而不是一个简单的密码。它通常采用双因素身份验证的形式，这是我们在这一点上都相当习惯的。

通常，您需要输入的信息可以分为您知道的信息(例如，密码或您的生日)、您拥有的信息(例如，银行卡或电话)或您的身份信息(例如，使用生物特征标记，例如您的声音)。

显然，这种安全性背后的前提是，虽然一种类型的信息对黑客来说相对容易获得，但要获得两种或两种以上的信息则要困难得多。

我们现在看到这个领域有了更多的进步。据报道，瑞士安全研究人员已经找到了消除不便和提高可靠性的方法环境噪声作为身份验证令牌。通过从试图登录的设备和用户的智能手机上录制三秒钟的音频，该服务可以交叉检查噪音，以确保用户和设备处于同一位置。只有这样才能授予访问权限。

很明显，MFA是未来安全的关键，从业务角度来看，实现这种安全策略的成本远远超过了成本的成本全面的数据泄露。成功地实施它需要仔细考虑以下三个步骤:

1.优先考虑易用性。重要的是要记住，安全措施的有效性取决于使用它的人。凤凰城大学的一项研究发现，大致52%被调查的美国成年人表示，他们更看重便利性，而不是网络安全。如果您的身份验证过程太麻烦，人们就会想方设法避免使用它，而这会适得其反。

谷歌多年来一直支持MFA，但去年它为Gmail和G Suite用户制定了身份验证过程更容易．过去，在新设备上登录需要通过短信或认证应用程序手动输入代码。现在，用户在收到推送通知后，只需轻按手机就可以批准登录尝试。

相比之下，任何使用代币的人可能都有经历挫折当您输入登录代码的速度不够快时，就会出现这种情况——或者更糟糕的是，您丢失了登录代码。

2.审核供应商。不用说，您希望安全解决方案能够安全地得到管理。这意味着您需要能够信任提供它的供应商。然而，根据NAVEX全球调查，32%被调查的IT专业人士没有采取措施评估与他们合作的第三方供应商的安全措施。这很麻烦，因为这些公司和你一样容易受到有针对性的网络攻击。

具体来说，你可以让潜在的供应商评估他们的能力以及他们是否符合你的需求。首先也是最重要的是，询问他们自己采取了什么样的安全实践:他们的策略是否考虑到各种各样的场景，如果发生最坏的情况，他们是否有适当的恢复计划?如果网络安全提供商在内部不遵循最佳实践，那么它可能也不会在外部遵循它们。所以，要避开。

其次，深入研究企业的总体可信度和方法。有人对公司提出投诉吗?其他顾客对这项服务有什么看法?寻求推荐信——以及许可信息和商业改善局对公司的评估——是利用别人的经验来帮助你自己的好方法。

3.确定正常运行时间。一个易于使用和安全的系统只能到此为止，如果你的员工不得不担心他们是否能够在工作中访问它。因此，可靠性也必须是重中之重。根据研究国家网络安全联盟/赛门铁克在美国，66%的受访企业表示他们依赖互联网运营，近40%的企业表示他们严重依赖互联网。

也就是说，一个不可靠的MFA系统可能会迅速瘫痪这些企业(包括你的企业)，如果员工无法访问他们执行工作所需的资源。你的MFA系统应该保证一个非常高的正常运行时间99%或更好。如果你心目中的供应商不能提供这个，你可能需要多货比三家。

法律可能要求一些企业拥有MFA系统，因为他们经营的行业或他们提供的服务类型。其他人可能根本不需要它。作为一名企业领导者，你应该了解它是如何运作的，它是如何发展的，以及它对你的组织是否有意义。