美国CISA将单因素身份验证列入高风险网络安全实践清单

美国网络安全和基础设施安全局 (CISA) 周一在“高风险”网络安全实践的清单中添加了单因素身份验证，这些实践可能会使关键基础设施以及政府和私营部门实体面临毁灭性的网络攻击。

单因素认证是一种方法，通过使用验证自己的身份，通常是用户名和密码的组合，只有一种方式在用户的网站和远程系统签约。它被认为是低安全性的，因为它严重依赖于“将一个因素（例如密码）与用户名匹配以获取对系统的访问权限”。

但是，由于弱密码、重用密码和通用密码构成严重威胁并出现了有利可图的攻击媒介，因此使用单因素身份验证可能会导致不必要的妥协风险，并增加网络犯罪分子接管帐户的可能性。

随着最新的发展，不良做法清单现在包括——

• 使用不受支持（或生命周期终止）的软件
• 使用已知/固定/默认密码和凭据，以及
• 使用单因素身份验证对系统进行远程或管理访问

“尽管所有组织都应该避免这些不良做法，但它们在支持关键基础设施或国家关键功能的组织中尤其危险，”CISA 说。

“在支持关键基础设施或 NCF 的组织中存在这些不良做法非常危险，并增加了我们关键基础设施的风险，我们依赖这些基础设施来保障国家安全、经济稳定以及公众的生命、健康和安全，”机构指出。

此外，CISA 正在考虑在目录中添加一些其他实践，包括——

• 使用弱加密函数或密钥大小
• 扁平网络拓扑
• IT 和 OT 网络的融合
• 每个人都是管理员（缺乏最小权限）
• 利用以前受到破坏的系统而无需消毒
• 通过不受控制的网络传输敏感的、未加密/未经身份验证的流量