根据最新研究,超过一半的小企业主已经在其公司实施了多重验证MFA。这项研究由网络准备研究所CRI发布。调查显示,只有46的小型和中型企业主声称他们已经在公司实施了MFA。
研究还发现,这些企业依然主要依靠用户名和密码来保护员工、客户和合作伙伴的敏感数据。在没有实施MFA的企业中,47表示他们对MFA不理解,或认为其价值不大。而接近60的小企业和中型企业主并未与员工讨论MFA。
Karen Evans,CRI的执行董事表示:“我们知道几乎所有的账户被攻破的攻击都可以通过使用MFA直接阻止。它是一种被验证的有效手段,可以有效抵御恶意行为者。”
Gurucul的创始人兼首席执行官Saryu Nayyar指出,这一消息发出了警告。Nayyar表示,MFA在防止账户被攻破方面一直是一个有效工具,市面上也有如Google Authenticator等便宜甚至免费的工具可供使用。
“网络犯罪分子可能会窃取密码或在暗网购买密码,但加入第二个认证因素可以阻止攻击者在没有极大努力的情况下访问账户,”Nayyar说,“如今,MFA应该被视为保护系统和数据的基本措施。”
许多小型企业在强制实行MFA时面临困难,因为他们对于不要求MFA的风险尚未完全了解。Inversion6的首席信息安全官Jason Middaugh表示,小企业通常因尝试全面解决边缘案例而拖延实施MFA,比如仍有少数用户没有智能手机,或担心GDPR问题,或用户对变化感到抗拒。
蘑菇加速器Middaugh指出:“不启用MFA的风险可能包括攻击者访问你所有敏感电子邮件的能力,黑客假冒身份向你的客户发送消息,要求他们支付虚假的银行账户,访问云服务中的敏感信息,比如工资和银行账户信息,并且能够篡改这些信息。小企业认为用户名和密码就足够了,但在当今时代,单凭用户名和密码是完全不安全的。如果你在面向互联网的应用上只要求用户名和密码,迟早会遭到攻击。”
Matthew Warner,Blumira的联合创始人兼首席技术官表示,安全知识或意识的缺乏一直是小企业普遍关注的问题。他指出,较大型企业通常配备网络安全专家,而小企业往往人力有限。IT主管或系统管理员常常需要同时处理网络安全及其他IT维护任务。
Warner说:“MFA对于小企业来说是一个相对低成本投入的步骤,却能带来巨大的安全收益。已经使用Microsoft 365或Google Workspace的组织,通常可以免费启用MFA,从而实现可负担的安全提升。”
留言框-
