多因素认证(MFA)它已经存在多年了,但很少有企业完全接受它。事实上,根据微软的“网络信号报告显示,只有22%的Azure Active Directory (AD)企业客户采用了MFA的一种形式——双因素身份验证(2FA)。78%的公司只需要用户名和密码就可以验证用户身份。

22%的采用率是微不足道的,尤其是在企业每天面临的多种在线威胁的情况下。例如,从2021年1月到12月,微软检测到使用暴力破解密码的256亿次账户劫持企图,令人瞠目。其他专门针对账户的网络犯罪包括鱼叉式网络钓鱼、社会工程攻击和密码喷雾剂国家对目标公司和政府实施的基本密码攻击策略。

在其他地方MFA的使用率也很低

微软并不是唯一一家透露互联网用户不愿采用MFA的公司。

2021年7月,推特在其透明度报告只有2.5%的活跃用户“至少启用了一种2FA方法”。大多数使用2FA的人至少启用了短信认证(77.7%),还有一部分人启用了使用认证应用程序的选项(30.1%)。虽然这比上一份报告有所改善,但MFA的使用率总体上仍然很低。

谷歌在2011年将2FA引入Gmail。七年后,用《登记册》的话说,“实际上没有人在使用它。”这一说法得到了谷歌软件工程师Grzegorz Milka的支持,他在Usenix的Enigma 2018安全会议上发言。Milka透露,在他演讲的时候,只有不到10%的谷歌账户使用2FA。

开发者的MFA使用率也很低。Npm代表节点包管理器。它是一个广泛使用的JavaScript包管理器最大的存储库因特网上的计算机程序包。据ZDNet报道,只有9.27%许多npm开发者使用2FA来保护他们的帐户。因此,如果攻击者成功地侵入了这些开发人员的帐户,他们就可以自由地将恶意代码植入主要由全球其他软件开发人员使用的软件包中。

MFA收养的困难是真实的

每当我们问为什么MFA的采用率很低时,总的原因是改变是困难的,而且不方便。

为了鼓励用户在他们的账户上启用MFA,让他们容易上手是关键。谷歌而且推特已经改变了他们的MFA功能,使他们更直接和用户友好。虽然这是一个伟大的举措,但我们希望(并鼓励)这些大型组织强制所有用户启用MFA。

风险太大了,一点不便都不能承受。