当员工远程访问应用程序或服务时,企业必须绝对确定它是自己的员工而不是攻击者。毕竟,信任和验证身份破坏了“零信任”的基本原则之一。
MFA增加了一层登录授权,以增加确定性。顾名思义,它使用了其他因素,例如短信或一次性密码(OTP),以及用户名和密码。由于理论上只有适当的雇员可以接收该第二因素请求,因此,如果攻击者获得了雇员的登录凭据,则MFA应该阻止非法访问请求。
毫无疑问,MFA在降低帐户接管风险方面可以非常有效。但是,现在有一种明显趋势就是攻击者可以绕过MFA,并且此前一些备受关注的攻击中可以看出,MFA可以提供的仅仅是安全减速。
因此,这就是Akamai发布“Akamai MFA”的原因,旨在帮助企业降低员工帐户被接管的风险,并巩固“零信任”的核心原则之一:永远不要信任并始终进行验证。
FIDO2多因素身份验证(FIDO2-based MFA)
FIDO2是提供最高级别的MFA安全性的一组行业标准。它由两个关键组件组成——由W3C开发的WebAuthn规范和由FIDO Alliance开发的客户端到身份验证器协议(CTAP)规范。这两个规范结合在一起,创建了密码登录凭据,这些凭据在每个网站上都是唯一的,永远不会离开用户设备,也永远不会存储在服务器上。
目前如欲获得FIDO2多因素身份验证,企业需要先部署MFA服务,然后购买、分发和管理硬件安全密钥,这大大增加了成本和操作复杂性。物理安全密钥的另一个挑战是最终用户体验不理想——人们会丢失或忘记他们的密钥,这意味着需要额外寻求IT部门的帮助。
但是,最重要的是,Akamai的防网络钓鱼推送功能旨在消除员工收到欺诈性推送通知的风险,从而消除了身份验证过程中的任何人为决策。当员工从Akamai MFA收到安全的推送通知时,他们可以完全肯定的是,当他们点击“接受”时,它是真实的。
Akamai MFA
Akamai MFA是为企业员工提供的新MFA服务,具有创新的防网络钓鱼的推送身份验证因素。Akamai MFA与包括Akamai自己的企业应用程序访问在内的市场领先的IDP解决方案集成在一起,以使客户能够最大程度地提高单点登录用例的安全性。Akamai MFA部署在Akamai智能边缘平台之上,可通过具有韧性和性能的、全球覆盖的Enterprise Center进行集中激活和管理。该服务可与Microsoft Azure AD、Okta和Akamai自己的Enterprise Application Access等市场领先的的身份提供程序相集成。对于安全Shell(SSH)和Windows登录用例,该服务还支持其他集成。
Akamai区域副总裁暨大中华区总经理李昇指出:“中国区的企业很多都采用移动优先策略来实施远程办公。高度分散的远程区域办公意味着企业需要关注面临的风险,特别是在实施访问控制时防范风险。Akamai MFA可以成为中国地区首席信息安全官推动其向安全数字化工作场所转型的强大催化剂。”
