Proofpoint最近发布的报告记录了Microsoft 365（Office 365）中的MFA漏洞，这可能引起Microsoft客户的关注。该报告援引“启用了WS-Trust的云环境中的多因素身份验证（MFA）实施中的严重漏洞”，最终使潜在的攻击者可以绕过MFA并访问组织的Microsoft 365应用程序，包括电子邮件、SharePoint、CRM、数据和更多。微软在其网站上宣布弃用WS-Trust身份验证协议，并指出“根据当前的加密标准本来就不安全”。

确保使用不赞成使用的协议对于维护安全性很重要。但是安全专家可以从此漏洞中得出什么其他结论？以下是一些准则，这些准则为评估身份验证和访问管理解决方案的安全性提供了基本指南：

1. 将安全解决方案与需要保护的应用程序分开：职责分离是安全的基本原则。安全解决方案也是如此。将所有鸡蛋都放在一个篮子中会增加风险，因此，理想情况下，您应该部署专用的身份验证和访问管理解决方案，该解决方案可以独立于其他应用程序和服务进行管理和保护；

   
   

2. 将MFA一致地应用于所有应用程序和服务：寻找可以解决所有用例的解决方案。MFA被认为是减少违规风险的最有效的安全措施之一。因此，确保访问管理解决方案可以对所有应用程序（包括旧版本地应用程序）集中应用身份验证和条件访问是有意义的。

   
   

3. 确保您的解决方案是安全的：PUSH OTP是当今使用的最普遍的身份验证方法之一，但是就安全性而言，并不是所有解决方案都是一样的。始终与以安全性为核心的受信任安全性供应商合作。关于“推送OTP”：

1. 确保不能将OTP应用程序备份到外部驱动器或复制到其他设备。允许此操作的应用程序没有内置的安全性，无法确保只能在特定的特定设备上使用这些应用程序。因此，请始终确保将OTP应用程序加密，保护并以密码方式绑定到特定的移动设备。

   
   

2. 确保OTP应用支持安全的应用注册和激活：为了在用户安装应用时保护并保护安全代码，需要对应用安装过程进行加密。否则，生成安全代码的密码模块可能会面临风险。一些供应商在允许将应用程序安装在预期的移动设备上之前会进行操作系统检查。但是，如果可以将应用程序复制到符合OS规则的恶意设备，则这种解决方法对于保护应用程序本身的完整性或恶意行为者克隆应用程序的能力没有任何帮助。

   
   

3. 确保在任何操作系统上都支持OTP应用。您的用户可能需要在各种设备上安装应用程序，包括手机，平板电脑和台式机。广泛的OS和端点设备兼容性可确保所有应用程序和用户全面一致且安全的身份验证。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 保护数字身份的未来

• Thales CipherTrust Manager与archTIS NC Encrypt集成以保护Microsoft 365应用程序中的业务关键内容

• 消费者对保护个人数据有自己的看法——呼吁采取更严格的控制措施

• 和微软合作为Azure客户提供FIDO和CBA网络钓鱼防护认证

• 应选择哪些 MFA 方法以实现 PCI DSS 4.0 合规性？