根据访问管理提供商 Cerby 的报告,企业级认证仍然是社交媒体世界的一个阿基琉斯之踵,但在其他安全领域有所改善。
小火箭安卓版官网Cerby 的研究发现,在其调查的五个主要平台Twitter、Facebook、Instagram、TikTok 和 YouTube 中,企业级认证和授权技术的支持不足是最大的关注点。Cerby 提到,支持跨环境授权技术,例如简单云身份管理SCIM和安全声明标记语言SAML,将大大增强社交媒体网络的安全性。
报告指出:“没有这些标准,政治人物和企业会面临多种安全风险,包括凭据重用攻击。2022 年到 2023 年得分不变,凸显出这些平台在企业级安全控制方面的失调。”
对于其他类型的安全控制措施而言,情况则相对乐观。Facebook、YouTube 和 Twitter 均支持 FIDO2 框架,这是一种开放标准,使用诸如智能手机或硬件安全密钥之类的认证器来提供双因素认证这比通过短信发送的时间敏感验证码有了明显改善。
在访问权限管理方面,Cerby 研究的社交网络都表现良好,所有公司评分均在五分制中达到了不低于三分的水平。该报告采用六分制对社交平台在六个不同标准上的表现进行评分,其中零分表示没有支持和加入特定功能的计划,五分表示完全成熟的支持。
在美国和欧盟即将举行重要选举之际,社交媒体安全的整体乐观前景不应让组织用户和平台自身放松警惕,需持续改进。
报告强调:“社交平台在企业级认证和授权方面仍面临重大进展需求。这些平台通常都属于非标准应用类别,需要更支持诸如SAML和SCIM等通用安全标准,使政治家和企业在几乎没有IT和安全团队监督的情况下在动荡的水域中航行。”
Cerby 为希望安全使用社交媒体的政治领袖和企业提供了三大主要建议。首先,应使用与企业身份提供商集成的密码管理器,以减少重用或弱密码带来的风险。其次,应该使用最强的双因素认证方法该公司建议使用如 YubiKey 的硬件安全密钥。最后,将社交媒体平台与现有的单点登录SSO平台,如 Azure Active Directory 或 Okta 整合,可以帮助集中管理凭据和访问令牌。
