CISA将单因素认证添加到不良做法列表中

周一，美国网络安全和基础设施安全局（CISA）在“风险极高”的网络安全措施短名单中增加了单因素认证，这些措施可能使关键基础设施以及政府和私营部门实体遭受毁灭性的网络攻击。

单因素身份验证是一种只使用一种验证用户身份的方法（通常是用户名和密码的组合）将用户登录到网站和远程系统的方法。它被认为是低安全性的，因为它严重依赖于“将一个因素—；如密码—；与用户名匹配以访问系统”

但是，由于弱、重用和普通密码构成了严重威胁，并产生了一个利润丰厚的攻击向量，使用单因素认证可能导致不必要的妥协风险，并增加了网络罪犯接管账户的可能性。

With the latest development, the list of bad practices now encompasses —

• 使用不受支持（或使用寿命终止）的软件
• 使用已知/固定/默认密码和凭据，以及
• 使用单因素身份验证对系统进行远程或管理访问

“尽管所有组织都应该避免这些不良做法，但在支持关键基础设施或国家关键职能的组织中，它们尤其危险，”CISA说。

该机构指出：“在支持关键基础设施或NCF的组织中，这些不良行为的存在非常危险，并增加了我们关键基础设施的风险，我们依赖这些基础设施来保障国家安全、经济稳定以及公众的生命、健康和安全。”。

Furthermore, CISA is considering adding a number of other practices to the catalog, including —

• 使用弱加密函数或密钥大小
• 平面网络拓扑
• IT和OT网络的融合
• 每个人都是管理员（缺乏最低权限）
• 在没有消毒的情况下利用以前受损的系统
• 通过非受控网络传输敏感、未加密/未经验证的流量，以及
• 身体控制不佳