密码这个东西,从安全角度来说,已经越来越不可靠了。我不是说密码没用,而是说在远程办公环境下,光靠一个密码来保护公司系统,风险太大了。员工的家庭网络没有公司网络那么严密的安全防护,电脑可能是个人电脑,旁边可能有其他人在场。在这种情况下,密码被窃取的风险比在公司办公时高出很多倍。这就是为什么我一直在推广多因素认证在远程办公中的落地。
多因素认证并不是什么高深的技术,你可能已经在用了。比如你在登录某个应用时,输入密码后又收到一个手机验证码,或者需要打开一个应用点击确认,这就是多因素认证。它要求你在密码之外提供第二种验证方式,就算是密码泄露了,没有第二种因素,攻击者也进不去。
远程办公环境中,哪些系统应该启用多因素认证呢?我认为所有能访问公司内部数据的系统都应该启用。包括但不限于企业邮箱、内部OA系统、CRM系统、代码仓库、文档管理系统、VPN接入。这些系统只要有一个被攻破,可能就会引发连锁反应。我之前遇到过一家企业,他们的VPN没有启用多因素认证,结果一个员工的笔记本电脑中招了,密码被记录,攻击者通过VPN接入了公司内网,在里面潜伏了将近一个月才被发现。
多因素认证的第二种因素具体该选什么方式,也是有讲究的。短信验证码虽然方便,但不是最安全的选择。因为短信有被拦截的风险,比如通过号码移植攻击,攻击者可以让运营商的短信发到自己的号码上。另外,如果员工在国外出差,可能收不到短信,影响正常办公。
我比较推荐的是基于时间的一次性密码。这种方式不需要网络连接,手机上装一个验证器应用就行,每三十秒生成一个新的六位数字码。它不依赖短信通道,安全性比短信高不少。而且不收费,部署成本非常低。
还有一种方式是通过推送通知的认证应用。比如你的手机上装了一个公司认证应用,当你在电脑上登录系统时,手机上会弹出一个通知,问你"是不是你在尝试登录",你点一下确认就可以了。这种方式用户体验最好,但也需要手机有网络连接。
对于安全性要求特别高的系统,还可以考虑使用硬件安全密钥的方式。就是一个类似U盘的小设备,登录时需要把它插到电脑上或者通过NFC碰一下。硬件密钥是目前最安全的多因素认证方式之一,因为它根本不可能被远程攻击获取。
不过在我跟企业的沟通中,有一个比较大的阻力来自于员工的使用体验。很多人会觉得,每次登录都要多做一个步骤,太麻烦了。我在跟员工培训时经常说的一句话是:"花五秒钟多做一个验证,可能帮你省下五个小时去处理账号被盗的烂摊子。"
企业可以从几个方面降低这种使用阻力。首先是不必所有的系统都强制多因素认证,可以分层次实施。核心系统和敏感数据系统强制使用,非核心系统可以先给员工一个选择权,让他们体验一下再逐步推广。其次是选择一种对用户干扰最小的认证方式,比如上面说的推送通知方式,用户只需要点一下确认,比输入验证码快得多。
还有一个细节是备用认证方式的设置。如果员工的手机丢了、换了新号码或者没电了,他们在没有第二种因素的情况下如何登录系统?企业应该提供备用验证码或者备用恢复码,让员工在特殊情况也能正常开展工作。备用码需要妥善保管,不能放在跟密码相同的地方。
远程办公已经是大势所趋,员工在办公室以外的地方访问公司系统会越来越频繁。密码这个单一防线已经撑不住了。多因素认证不是锦上添花的选项,而是远程办公安全中一个必须的基本配置。我建议所有还在犹豫的企业,不管你公司的规模大小,从今天就开始把多因素认证列上日程。
