Multifaktorautentisering är en nyckelsäkerhetsmetod utformad för att förhindra kontokapning och relaterade hot. Genom att kräva denna andra form av autentisering försöker UD motarbeta cyberbrottslingar som försöker använda komprometterade autentiseringsuppgifter för att komma åt viktiga tjänster, data och andra tillgångar. Men användningen av MFA är fortfarande relativt låg bland organisationer, och detta gäller särskilt för små och medelstora företag. En rapport som släpptes på tisdagen av Cyber Readiness Institute undersöker det långsamma tillståndet för MFA-antagandet bland små och medelstora företag.
CRI undersökte 1 403 småföretagare i USA, Storbritannien, Nya Zeeland, Japan, Indien, Tyskland, Kanada och Australien den 2-15 maj. Nästan hälften av organisationerna har mellan en och nio anställda, medan 45 % rapporterar årliga intäkter på mindre än 250 000 USD.
Bland de svarande erkände 55 % att de inte var så bekanta med MFA och dess säkerhetsfördelar, medan 54 % sa att de inte hade antagit MFA för sin verksamhet. Bland dem som inte har implementerat MFA säger 30% att de inte förstår det, 17% säger att de inte ser något värde i det, 15% säger att det är för förvirrande eller komplicerat att sätta upp och 9% säger att det är för tidskrävande och obekväm att använda.
SER: Lösenordsknäckning: varför popkultur och lösenord inte blandas (gratis PDF) (TechRepublic)
“Brist på säkerhetskunskap eller medvetenhet är ett vanligt bekymmer för små och medelstora företag”, säger Matthew Warner, CTO och medgrundare av hotdetektionsföretaget Blumira. “Medan ett större företag ofta har ett team av cybersäkerhetsexperter, tenderar små och medelstora företag att göra mer med mindre. Till exempel kan en IT-direktör eller systemadministratör hantera cybersäkerhet såväl som en mängd andra IT-supportuppgifter.”
Endast 28 % av SMB-ägarna kräver MFA på sin mjukvara, hårdvara och nätverksenheter. Cirka 30 % sa att de har allmänna cybersäkerhetspolicyer men dessa policyer nämner inte MFA, 27 % sa att deras policyer nämner MFA men inte kräver det, och 15 % avslöjade att de inte har några säkerhetspolicyer alls.
Var noga med att läsa säkerhetstäckningen
Bland organisationer som erbjuder MFA till sina anställda säger nästan hälften att de uppmuntrar användningen när den är tillgänglig, medan 39 % har en process för att använda MFA för att komma åt kritisk hårdvara, mjukvara och data. Om man tittar på de typer av applikationer och konton som kräver MFA, toppade databaser listan bland 45 % av de tillfrågade, följt av bokföringsprogram och HR-programvara. Andra tjänster som kräver en MFA inkluderar sociala mediekonton, e-post- och kalenderprogram, produktivitetsprogram och fjärråtkomst.
Det finns olika metoder för MFA tillgängliga, men vissa är bekvämare eller lättare att utföra än andra. På frågan om vilka metoder de använde svarade 29 % att de använde push-meddelanden till en telefon eller en alternativ e-postadress, 28 % använde ett engångslösenord, 15 % använde en token-baserad enhet och 12 % använde tidsbegränsat och automatiskt genererade koder. Endast 7 % vänder sig till biometri som ansiktsskanning eller fingeravtryck, medan 7 % använder autentiseringsappar.
Trots sin effektivitet kan MFA vara utmanande att implementera och implementera. Av hindren för antagande av MFA var det viktigaste att erhålla nödvändig finansiering som nämndes av små och medelstora företagsägare, följt av att skaffa rätt resurser, välja rätt verktyg, behålla resurser, ha nödvändig teknisk expertis för stöd och motstånd från anställda.
SER: Säkerhetspolicy för mobila enheter (TechRepublic Premium)
Även om det finns utmaningar, säger Warner att MFA är ett “relativt låginsatssteg” för små och medelstora företag och ett som kan uppnå enorma säkerhetsfördelar. I många fall kan organisationer som redan använder Microsoft 365 eller Google Workplace konfigurera MFA gratis, vilket gör det till ett prisvärt alternativ.
“MFA bör användas för att göra autentisering effektivare, vilket minskar behovet för användare att ange sina lösenord eller till och med behovet av att skapa nya lösenord”, säger Joseph Carson, chefssäkerhetsforskare på säkerhetsföretaget Delinea. “En stark lösning för privilegierad åtkomsthantering kan hjälpa till att minska risken genom att lägga till ytterligare säkerhetskontroller till känsliga privilegierade konton tillsammans med MFA och kontinuerlig verifiering. Att kombinera MFA med PAM förbättrar också säkerheten ytterligare genom att säkerhetskontrollerna flyttas till att vara riskbaserade och affärsanpassade.”
