我们正在通过 Azure AD 向整个组织的所有员工部署 TOTP 令牌。我们强烈建议所有员工将 Microsoft Authenticator 用作默认令牌,而那些拥有公司发放的移动设备的员工已经通过 MDM 将其推送出去。我们还鼓励所有其他人在他们的个人移动设备上安装 Microsoft Authenticator(或类似产品)。我们几乎完成了部署,但已经有人来找我们说他们丢失了令牌,或者经常把令牌忘在家里。目前我们正在暂时禁用 MFA,或发布新令牌。
作为 IT 部门,我们的存在是为了满足组织的需求,我们没有权力因为人们没有代币而阻止他们工作。我们的大多数用户都在养老院照顾弱势群体,所以我们不能直接把他们送回家。如果他们在工作,他们需要访问我们的系统,就是这样。
我们最近遭受了几次网络钓鱼攻击,如果使用 MFA,这些攻击很可能会被阻止,这加速了我们的部署。IT 团队一致认为,我们绝不会因为任何一位用户的无知、无能或健忘而降低我们的安全标准……但我们必须平衡这一点,履行我们对我们工作人员所照顾的弱势群体的义务。
关于如何做得更好,您有什么建议或提示吗?您的组织如何解决这些问题?
编辑:我忘了说 IT 部门位于总部,而我们 80% 的员工都位于偏远地区,许多员工开车 1 小时或更长时间才能到达。除非用户在总部工作,否则我们不能简单地按需为他们提供新令牌。
答案1
这就是我使用允许备份的 TOTP 软件的原因。我个人使用 Aegis (https://play.google.com/store/apps/details?id=com.beemdevelopment.aegis) 因为有这个选项。如果设备丢失或损坏,它有一个选项可以导出备份并将备份移动到另一部手机。
否则,您将无法使用允许一次性代码的最终服务。
答案2
通常,处理用户丢失或忘记物理令牌的情况的方法是同时实施多种身份验证方法。
例如:
- 将“硬”令牌与“软”令牌一起实现。如果用户没有“硬”令牌,则使用“软”令牌
- 让用户注册其他身份验证方法(例如短信)
很难说得更具体,因为确切的技术实现各不相同,而且根据当前环境和要求可能非常复杂。但我们的想法是让用户有其他方式进行身份验证