多數未經授權的入侵,都始於密碼遭到破解。本文整理即使是小型團隊也能今天就著手的多因素驗證(MFA)導入實務步驟。
只靠密碼守不住
利用外洩密碼清單的自動登入嘗試(撞庫攻擊)與釣魚攻擊的騙取手法,不分企業規模、機械式地進行。「我們公司小,不會被盯上」的想法遺憾地並不成立——因為發動攻擊的不是人,而是機器人程式。
多因素驗證(MFA)是在密碼被破解後,透過「只有本人持有的東西」設下第二道關卡、阻止非法登入的機制。以導入成本相對的防禦效果而言,在所有資安措施中首屈一指。
應優先保護的三種帳號
不必一開始就在所有帳號上全面導入。應排定優先順序,從影響最大的地方著手。
- 電子郵件(Microsoft 365 / Google Workspace)——用於重設其他所有服務密碼的「萬能鑰匙」
- 雲端管理主控台(AWS / Azure / GCP 等)——一旦遭到挾持,事業基礎本身將陷入危險
- 網路銀行與支付服務——直接導致金錢損失的途徑
驗證方式的選擇
以簡訊(SMS)傳送驗證碼雖然遠勝於沒有,但存在 SIM 卡挾持(SIM swap)等風險,因此建議盡可能採用驗證器 App(TOTP)。若要更進一步,具備抗釣魚能力的通行密鑰(passkey/FIDO2)是首選。驗證器 App 的驗證碼一旦被輸入到偽造網站便會遭到突破,而通行密鑰只在正規網域上運作,這類攻擊在原理上便無法成立。
讓制度落地的營運要點
導入完成並非終點:安全保管復原碼、盤點離職員工帳號、將管理員帳號與日常帳號分離——同步建立這些營運規則,才是讓制度落地的關鍵。Convey 的支援涵蓋從身分基礎建設的設計,到這些營運規則的制定。