การตรวจสอบ Multifactor จะเป็นกุญแจสำคัญสำหรับธุรกิจที่ปกป้องสินทรัพย์คลาวด์

เมื่อพิสูจน์ว่าคุณเป็นใครในระบบการจัดการข้อมูลผู้ใช้ (IDM) คุณอาจสังเกตเห็นว่าเมื่อเร็ว ๆ นี้พวกเขากำลังต้องการขั้นตอนเพิ่มเติมนอกเหนือจาก ID ผู้ใช้และรหัสผ่านของคุณเช่นแจ้งให้ส่งรหัสไปยังโทรศัพท์ของคุณเมื่อคุณล็อกอิน ไปยัง Gmail, Twitter หรือบัญชีธนาคารของคุณจากอุปกรณ์อื่นนอกเหนือจากที่คุณใช้เป็นประจำ เพียงให้แน่ใจว่าคุณไม่ลืมชื่อสัตว์เลี้ยงตัวแรกของคุณหรือที่แม่ของคุณเกิดเพราะคุณอาจต้องป้อนข้อมูลนั้นเพื่อพิสูจน์ตัวตนของคุณ ข้อมูลเหล่านี้จำเป็นต้องใช้ร่วมกับรหัสผ่านเป็นรูปแบบหนึ่งของการรับรองความถูกต้อง multifactor (MFA)

MFA ไม่ใช่เรื่องใหม่ มันเริ่มเป็นเทคโนโลยีทางกายภาพ สมาร์ทการ์ดและดองเกิล USB เป็นสองตัวอย่างของอุปกรณ์ที่เราต้องใช้ในการลงชื่อเข้าใช้คอมพิวเตอร์หรือบริการซอฟต์แวร์เมื่อป้อนรหัสผ่านที่ถูกต้อง อย่างไรก็ตาม MFA ได้มีการพัฒนากระบวนการล็อกอินอย่างรวดเร็วเพื่อรวมตัวระบุอื่น ๆ เช่นการแจ้งเตือนแบบพุชมือถือ

Tim Steinkopf ประธาน บริษัท Centrify Corp. ผู้ผลิต Centrify Identity Service กล่าวว่า "เป็นวันเก่าเมื่อ บริษัท ต้องปรับใช้โทเค็นฮาร์ดแวร์และผู้ใช้จะพิมพ์รหัสหกหลักที่หงุดหงิดทุก ๆ 60 วินาที" ทิม "นั่นแพงและประสบการณ์ผู้ใช้ที่ไม่ดีตอนนี้ MFA นั้นง่ายเหมือนการรับการแจ้งเตือนแบบพุชไปยังโทรศัพท์ของคุณ" อย่างไรก็ตามแม้กระทั่งรหัสที่เราได้รับผ่านบริการส่งข้อความสั้น (SMS) ก็ยังถูกนำไปใช้ในการอ้างอิงตาม Steinkopf

"SMS ไม่ใช่วิธีการขนส่งที่ปลอดภัยสำหรับรหัส MFA อีกต่อไปเนื่องจากสามารถดักจับได้" เขากล่าว "สำหรับทรัพยากรที่มีความอ่อนไหวสูง บริษัท ต่างๆต้องพิจารณาโทเค็นเข้ารหัสลับที่ปลอดภัยยิ่งขึ้นซึ่งเป็นไปตามมาตรฐานพันธมิตรใหม่ของ Fast IDentity Online (FIDO)" นอกเหนือจากโทเค็นเข้ารหัสลับมาตรฐาน FIDO2 ยังรวมข้อกำหนดการพิสูจน์ตัวตนเว็บของ World Wide Web Consortium (W3C) และไคลเอนต์ to Authenticator Protocol (CTAP) มาตรฐาน FIDO2 ยังสนับสนุนท่าทางของผู้ใช้โดยใช้ไบโอเมตริกส์ในตัวเช่นการจดจำใบหน้าการรูดนิ้วมือและการสแกนม่านตา

ในการใช้ MFA คุณจะต้องรวมรหัสผ่านและคำถามสำหรับอุปกรณ์เช่นสมาร์ทโฟนหรือใช้ลายนิ้วมือและการจดจำใบหน้า Joe Diamond ผู้อำนวยการฝ่ายการตลาดผลิตภัณฑ์ความปลอดภัยที่ Okta ผู้ผลิต Okta Identity Management อธิบาย

"ขณะนี้องค์กรจำนวนมากตระหนักถึงความเสี่ยงด้านความปลอดภัยที่เกี่ยวข้องกับรหัสผ่าน SMS เป็นครั้งแรกในฐานะปัจจัย MFA มันเป็นเรื่องที่ค่อนข้างยากสำหรับนักแสดงที่ไม่ดีในเรื่อง 'SIM swap' และรับเบอร์โทรศัพท์มือถือ" เพชรกล่าว "ผู้ใช้ที่มีความเสี่ยงของการโจมตีเป้าหมายควรใช้ปัจจัยที่สองที่แข็งแกร่งกว่าเช่นปัจจัยไบโอเมตริกซ์หรือโทเค็นยากที่สร้างการจับมือเข้ารหัสลับระหว่างอุปกรณ์และบริการ"

บางครั้ง MFA ไม่สมบูรณ์แบบ ในวันที่ 27 พฤศจิกายน Microsoft Azure ประสบปัญหาไฟไหม้ที่เกี่ยวข้องกับ MFA เนื่องจากข้อผิดพลาดของระบบชื่อโดเมน (DNS) ที่ทำให้เกิดการร้องขอที่ล้มเหลวจำนวนมากเมื่อผู้ใช้พยายามลงชื่อเข้าใช้บริการเช่น Active Directory

เครดิต: FIDO Alliance

การแจ้งเตือนแบบพุชมือถือ

ผู้เชี่ยวชาญเห็นว่าการแจ้งเตือนแบบพุชอุปกรณ์เคลื่อนที่เป็นตัวเลือกที่ดีที่สุดของ "ปัจจัย" ด้านความปลอดภัยเพราะมันเป็นการผสมผสานที่มีประสิทธิภาพของความปลอดภัยและการใช้งาน แอปพลิเคชันส่งข้อความไปยังโทรศัพท์ของผู้ใช้เพื่อแจ้งบุคคลที่บริการพยายามเข้าสู่ระบบผู้ใช้หรือส่งข้อมูล

"คุณกำลังเข้าสู่ระบบเครือข่ายและแทนที่จะป้อนเพียงรหัสผ่านของคุณคุณจะถูกผลักไปยังอุปกรณ์ของคุณซึ่งมีข้อความระบุว่าใช่หรือไม่ใช่คุณกำลังพยายามตรวจสอบอุปกรณ์นี้และถ้าคุณตอบว่าใช่คุณจะได้รับสิทธิ์ในการเข้าถึง เดฟลูวิสหัวหน้าเจ้าหน้าที่ที่ปรึกษาด้านความปลอดภัยข้อมูลระดับโลก (CISO) สำหรับธุรกิจความปลอดภัย Duo ของซิสโก้ซึ่งนำเสนอแอพตรวจสอบความถูกต้องมือถือ Duo Push อธิบาย ผลิตภัณฑ์อื่น ๆ ที่นำเสนอ MFA ได้แก่ Yubico YubiKey 5 NFC และ Ping Identity PingOne

การแจ้งเตือนแบบพุชอุปกรณ์เคลื่อนที่ไม่มีรหัสผ่านเพียงครั้งเดียวที่ส่งผ่าน SMS เนื่องจากรหัสผ่านเหล่านี้สามารถแฮ็คได้ง่ายพอสมควร การเข้ารหัสทำให้การแจ้งเตือนมีประสิทธิภาพตามที่ Hed Kovetz ผู้ร่วมก่อตั้งและซีอีโอของ MFA ผู้ให้บริการโซลูชัน MFA Silverfort

“ มันเป็นเพียงคลิกเดียวและความปลอดภัยนั้นแข็งแกร่งมากเพราะเป็นอุปกรณ์ที่แตกต่างกันโดยสิ้นเชิง” เขากล่าว "คุณสามารถเปลี่ยนแอพได้หากถูกบุกรุกและได้รับการเข้ารหัสและรับรองความถูกต้องด้วยโปรโตคอลที่ทันสมัยมันไม่เหมือน SMS ที่ถูกบุกรุกได้ง่ายเพราะมาตรฐานนั้นอ่อนแอและง่ายต่อการโจมตีด้วย Signaling System 7 (SS7) และการโจมตีทาง SMS ทุกรูปแบบ "

MFA รวมความน่าเชื่อถือเป็นศูนย์

MFA เป็นส่วนสำคัญของรูปแบบ Zero Trust ซึ่งคุณไม่ไว้วางใจผู้ใช้เครือข่ายใด ๆ จนกว่าคุณจะตรวจสอบว่าถูกต้องตามกฎหมาย "การใช้ MFA นั้นเป็นขั้นตอนที่จำเป็นในการตรวจสอบว่าผู้ใช้เป็นใครจริง ๆ แล้วพวกเขาเป็นใคร" Steinkopf กล่าว

"MFA มีบทบาทสำคัญในรูปแบบครบกําหนด Zero Trust ขององค์กรใด ๆ ในขณะที่เราต้องสร้างความไว้วางใจของผู้ใช้ก่อนที่เราจะสามารถให้สิทธิ์การเข้าถึงได้" Diamond ของ Okta กล่าว "สิ่งนี้จะต้องควบคู่ไปกับยุทธศาสตร์เอกลักษณ์ส่วนกลางจากแหล่งข้อมูลทั้งหมดเพื่อให้นโยบาย MFA สามารถจับคู่กับนโยบายการเข้าถึงเพื่อให้แน่ใจว่าผู้ใช้ที่เหมาะสมมีสิทธิ์เข้าถึงทรัพยากรที่เหมาะสมโดยมีแรงเสียดทานน้อยที่สุด"

เครดิต: FIDO Alliance

รหัสผ่านถูกแทนที่หรือไม่

หลายคนอาจไม่พร้อมที่จะละทิ้งรหัสผ่าน แต่หากผู้ใช้ยังคงเชื่อมั่นต่อพวกเขาพวกเขาจะต้องได้รับการปกป้อง ในความเป็นจริงรายงานการฝ่าฝืนข้อมูลของ Verizon ปี 2017 เปิดเผยว่า 81 เปอร์เซ็นต์ของการรั่วไหลของข้อมูลเกิดจากรหัสผ่านที่ถูกขโมย สถิติประเภทนั้นทำให้รหัสผ่านเป็นปัญหาสำหรับองค์กรที่ต้องการปกป้องระบบของตนอย่างน่าเชื่อถือ

“ หากเราสามารถแก้ไขรหัสผ่านและนำรหัสเหล่านั้นมาใช้และตรวจสอบความถูกต้องได้อย่างชาญฉลาดเราจะป้องกันการรั่วไหลของข้อมูลส่วนใหญ่ในวันนี้” Kovetz ของ Silverfort กล่าว

รหัสผ่านไม่น่าจะหายไปทุกที่ แต่อาจถูกลบออกสำหรับแอพบางตัว Kovetz ของ Silverfort กล่าว เขากล่าวว่าการกำจัดรหัสผ่านทั้งหมดสำหรับอุปกรณ์คอมพิวเตอร์และอุปกรณ์ Internet of Things (IoT) จะมีความซับซ้อนมากขึ้น อีกเหตุผลหนึ่งที่เขากล่าวว่าการพิสูจน์ตัวตนโดยใช้รหัสผ่านที่สมบูรณ์อาจไม่เกิดขึ้นเร็ว ๆ นี้ก็เพราะผู้คนมีความผูกพันทางจิตใจกับพวกเขา

การเปลี่ยนจากรหัสผ่านยังเกี่ยวข้องกับการเปลี่ยนแปลงทางวัฒนธรรมในองค์กรตามลูอิสของซิสโก้ “ การผลักออกจากรหัสผ่านแบบคงที่ไปยัง MFA เป็นการเปลี่ยนแปลงทางวัฒนธรรมเป็นพื้นฐาน” ลูอิสกล่าว "คุณได้รับคนทำสิ่งที่แตกต่างจากที่พวกเขาทำมานานหลายปี"

การประมวลผล MFA และปัญญาประดิษฐ์

มีการใช้ปัญญาประดิษฐ์ (AI) เพื่อช่วยให้ผู้ดูแลระบบ IDM และระบบ MFA จัดการกับข้อมูลการเข้าสู่ระบบใหม่ โซลูชัน MFA จากผู้ขายเช่น Silverfort ใช้ AI เพื่อรับข้อมูลเชิงลึกเมื่อจำเป็นต้องใช้ MFA และเมื่อไม่มี

"ชิ้นส่วน AI เมื่อคุณรวมเข้าด้วยกันจะช่วยให้คุณตัดสินใจได้ว่าควรใช้การตรวจสอบความถูกต้องเฉพาะหรือไม่" Kovetz ของ Silverfort กล่าว เขากล่าวว่าส่วนประกอบของการเรียนรู้ด้วยเครื่องจักร (ML) ของแอพอาจให้คะแนนความเสี่ยงสูงหากตรวจพบรูปแบบการทำงานที่ผิดปกติเช่นหากมีการเข้าถึงบัญชีของพนักงานโดยคนในประเทศจีนและพนักงานทำงานในสหรัฐอเมริกาเป็นประจำ

"หากผู้ใช้กำลังลงชื่อเข้าใช้แอปพลิเคชันจากสำนักงานโดยใช้พีซีที่ออกโดย บริษัท ของตนเอง MFA จะไม่ถูกเรียกร้องเนื่องจากเป็น 'ปกติ'" Centrify's Steinkopf อธิบาย "แต่หากผู้ใช้รายเดียวกันกำลังเดินทางไปต่างประเทศหรือใช้อุปกรณ์ของบุคคลอื่นพวกเขาจะได้รับแจ้งจาก MFA เพราะความเสี่ยงสูงกว่า" Steinkopf เสริมว่า MFA มักจะเป็นขั้นตอนแรกเมื่อใช้เทคนิคการตรวจสอบเพิ่มเติม

ซีไอโอยังคอยจับตาดูพฤติกรรมทางชีวภาพซึ่งเป็นแนวโน้มที่เพิ่มขึ้นในการปรับใช้ MFA ใหม่ Behavorial biometrics ใช้ซอฟต์แวร์เพื่อติดตามว่าผู้ใช้พิมพ์หรือกวาดนิ้ว แม้ว่าจะฟังดูง่าย แต่จริงๆแล้วต้องมีการประมวลผลข้อมูลจำนวนมากที่เปลี่ยนแปลงอย่างรวดเร็วซึ่งเป็นสาเหตุที่ผู้ขายใช้ ML เพื่อช่วย

"ค่าใน ML สำหรับการตรวจสอบความถูกต้องคือการประเมินสัญญาณที่ซับซ้อนหลายรายการเรียนรู้ 'ตัวตน' พื้นฐานของผู้ใช้ตามสัญญาณเหล่านั้นและแจ้งเตือนเกี่ยวกับความผิดปกติกับพื้นฐานนั้น" เพชรของ Okta กล่าว "พฤติกรรมชีวภาพเป็นตัวอย่างที่ทำให้สิ่งนี้เกิดขึ้นได้การทำความเข้าใจกับความแตกต่างของวิธีการที่ผู้ใช้งานประเภทการเดินหรือการโต้ตอบกับอุปกรณ์ของพวกเขาต้องการระบบปัญญาขั้นสูงเพื่อสร้างโปรไฟล์ผู้ใช้"

ขอบเขตที่หายไป

ด้วยวิวัฒนาการของโครงสร้างพื้นฐานคลาวด์บริการคลาวด์และโดยเฉพาะปริมาณข้อมูลสูงของอุปกรณ์ IoT นอกสถานที่ตอนนี้มีมากกว่าขอบเขตทางกายภาพที่ตำแหน่งศูนย์ข้อมูลขององค์กร นอกจากนี้ยังมีขอบเขตเสมือนที่ต้องการปกป้องทรัพย์สินของ บริษัท ในระบบคลาวด์ ในทั้งสองสถานการณ์ตัวตนมีบทบาทสำคัญตาม Kovetz

“ ขอบเขตที่เคยถูกกำหนดทางร่างกายเช่นโดยสำนักงาน แต่วันนี้ขอบเขตจะถูกกำหนดโดยตัวตน” Kovetz กล่าว ขอบเขตที่หายไปเช่นนั้นการป้องกันที่ไฟร์วอลล์ที่แข็งแกร่งใช้ในการจัดเตรียมสำหรับคอมพิวเตอร์เดสก์ท็อปแบบมีสาย MFA อาจเป็นวิธีหนึ่งในการแทนที่ไฟร์วอลล์ที่ทำไว้ตามธรรมเนียม Kovetz แนะนำ

• การรับรองความถูกต้องแบบสองปัจจัย: ใครมีและวิธีการตั้งค่าการตรวจสอบความถูกต้องแบบสองปัจจัย: ใครมีและกำหนดค่าได้อย่างไร
• Beyond the ปริมณฑล: วิธีการรักษาความปลอดภัยแบบเลเยอร์
• รุ่นที่ไว้ใจได้รับแรงบันดาลใจจากไอน้ำด้วยผู้เชี่ยวชาญด้านความปลอดภัยซีโร่โมเดลความไว้วางใจได้กำไรด้วยผู้เชี่ยวชาญด้านความปลอดภัย

"คุณวางผลิตภัณฑ์รักษาความปลอดภัยเครือข่ายไว้ที่ไหน" Kovetz ถาม "การรักษาความปลอดภัยเครือข่ายไม่ทำงานอีกต่อไป MFA กลายเป็นวิธีใหม่ในการปกป้องเครือข่ายไร้ขอบเขตของคุณ"

วิธีสำคัญอย่างหนึ่งที่ MFA กำลังพัฒนาอยู่เหนือขอบเขตคือการใช้ระบบอัตลักษณ์ที่มีการจำหน่ายจำนวนมากบนพื้นฐานของ Software-as-a-Service (SaaS) รวมถึงบริการ IDM ส่วนใหญ่ PCMag Labs ได้ทบทวนในปีที่ผ่านมา นาธานโรว์ผู้ร่วมก่อตั้งและหัวหน้าเจ้าหน้าที่ฝ่ายผลิตภัณฑ์ (CPO) จากผู้ให้บริการด้านความปลอดภัยของข้อมูลกล่าวว่าผลิตภัณฑ์ SaaS จำนวนมากมายที่ช่วยให้ธุรกิจขนาดกลางและขนาดเล็กสามารถเดินและวิ่งได้อย่างง่ายดายอยู่นอกขอบเขต โมเดล SaaS ช่วยลดความซับซ้อนของต้นทุนและการปรับใช้อย่างมากดังนั้นจึงเป็นความช่วยเหลือที่ยิ่งใหญ่สำหรับธุรกิจขนาดกลางและขนาดเล็กเพราะมันช่วยลดค่าใช้จ่ายและค่าใช้จ่ายด้านไอทีของ Rowe

โซลูชั่น SaaS นั้นเป็นอนาคตของ IDM ซึ่งจะทำให้พวกเขาเป็นอนาคตของ MFA เช่นกัน นั่นเป็นข่าวดีเพราะแม้แต่ธุรกิจขนาดเล็กก็ย้ายไปอยู่ที่สถาปัตยกรรมไอทีแบบคลาวด์และบริการคลาวด์ที่ไม่ยอมให้ซึ่งสามารถเข้าถึง MFA และมาตรการรักษาความปลอดภัยขั้นสูงอื่น ๆ ได้ในไม่ช้า