Ho iniziato a lavorare per una nuova azienda e loro usano Forticlient come VPN per utenti remoti e lavoratori da casa. Quando effettuo il login non è configurato MFA? È normale o rappresenta una falla di sicurezza?
È una buona idea, o anche accettabile? No.
È normale? Sì.
Le persone risponderanno dicendo quanto è brava la loro azienda e come sono migliori della norma. Anche sì.
Probabilmente utilizza certificati client, giusto? Questo conta come MFA (qualcosa che sai = la tua password, qualcosa che possiedi = il tuo certificato)
Molto comune. Dovresti parlarne con la tua gestione. O ti guarderanno storto o ti faranno una parata per essere attento alla sicurezza.
Tutto ciò che è accessibile pubblicamente dovrebbe avere MFA. Qualcosa che non è pubblicamente accessibile dovrebbe averlo.
È normale? Sì, così fanno la maggior parte delle squadre di ransomware.
È come dovrebbe essere? No, indica una grande negligenza.
FortiNet offre ora due metodi di MFA; o con l’app FortiToken o si può usare l’estensione NPS per Azure per collegare il server radius con MFA di Azure.
Visto che ogni framework di conformità al mondo ora richiede MFA per VPN e altri accessi… davvero non ci sono scuse per non averla ormai. Le aziende ignorano questo? Assolutamente sì… il che porta a tutte le cose compromesse usate come punto di partenza per entrare in altri sistemi o reti.
Non ci sono abbastanza informazioni qui. Esistono diverse varianti di MFA, e non sono solo un codice inviato via SMS.
Ma, dalla tua post, non sembra che tu sia nell’IT, o certamente non responsabile della VPN, quindi qual è il senso qui?
Il mio vecchio datore di lavoro ha implementato MFA dopo essere stato colpito da ransomware, era un requisito assicurativo se non erro. Lo usavamo senza MFA per anni.
Usiamo un certificato utente rilasciato dal nostro CA e la password AD dell’utente con Forticlient. Non è tecnicamente MFA, ma significa che devi essere loggato esattamente su quel dispositivo per poter connetterti. La tua configurazione è simile? (È possibile con Forticlient usare solo username e password statica?)
Sono sinceramente confuso dalla tua domanda. Sembra che tu creda che MFA sia una parte essenziale di una VPN. Non lo è.
Ho visto diverse configurazioni di FortiGate, alcune usano Duo come MFA e altre niente. Personalmente, avere MFA è una benedizione dato che gli utenti hanno le password peggiori di sempre.
Grazie per le info, apprezzo.
In effetti lavoro nell’IT, ho appena iniziato in un nuovo lavoro, ero al help desk e ora sono un amministratore IT e inizierò a lavorare su più infrastrutture IT e spero più compiti di networking. Le mie aziende precedenti avevano tutte MFA, Cisco AnyConnect e DUO. Pensavo fosse indispensabile usare MFA quando si collega a una VPN e volevo chiarire.
Non è tecnicamente MFA,
Non è forse?
Si potrebbe argomentare che stai usando più fattori per l’autenticazione: 1) password, 2) certificato installato.
Correlato anche al caso d’uso più importante di MFA: se la password viene rubata (esempio, utente riutilizza una password per sistemi meno sicuri), allora qualcuno con solo la password non ottiene accesso.
Da quello che ho testato finora, posso accedere a qualsiasi laptop tramite Forticlient usando le mie credenziali AD.