CISA признало однофакторную аутентификацию плохой практикой

В июне нынешнего года, Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) запустило новый проект под названием Bad Practices («Плохие практики»), представляющий собой каталог нерекомендуемых практик, методов и конфигураций кибербезопасности.

Сначала список включал только две записи, но в недавно обновленной версии руководства представители CISA добавили новую «плохую практику», а именно использование однофакторной аутентификации для систем удаленного или административного доступа.

«Однофакторная аутентификация — распространенный метод аутентификации с низким уровнем безопасности. Требуется сопоставить только один фактор, например пароль, с именем пользователя, чтобы получить доступ к системе», — сообщили представители агентства.

CISA рекомендует организациям ознакомиться со своим руководством по внедрению строгой аутентификации, где многофакторная аутентификация является рекомендуемым методом защиты не только учетных записей, подключенных к интернету, но и учетных записей любого типа.

В настоящее время каталог «плохих практик» CISA включает: использование неподдерживаемого (или устаревшего) программного обеспечения, использование распространенных/встроенных/стандартных паролей и учетных данных, а также использование однофакторной аутентификации для удаленного или административного доступа к системам.

Другие плохие методы, которые специалисты CISA в настоящее время рассматривают для добавления в свой каталог, включают: использование слабых криптографических функций или размеров ключей, применение плоских сетевых топологий, объединение IT- и OT-сетей, наделение всех пользователей правами администратора, утилизация ранее скомпрометированных систем без очистки, передачу конфиденциального, незашифрованного/не прошедшего проверку подлинности трафика по неконтролируемым сетям и плохой физический контроль.