多因素身份驗證(MFA)面臨的安全挑戰(zhàn)與應(yīng)對
責(zé)編:gltian |2022-08-17 14:16:01多因素身份驗證(MFA)解決方案已經(jīng)應(yīng)用了許多年,它的出現(xiàn)是因為傳統(tǒng)的口令認(rèn)證方式已經(jīng)不能滿足安全級別較高的系統(tǒng)認(rèn)證需求,需要通過多個認(rèn)證方式結(jié)合來提高安全性。雖然一些安全廠商聲稱通過MFA技術(shù)可以阻止99.99%的賬戶濫用攻擊,但MFA在實際應(yīng)用中的表現(xiàn)還遠(yuǎn)遠(yuǎn)稱不上完美,攻擊者總能找到繞過其防御的方法。
針對MFA的常見攻擊方式
據(jù)Verizon研究報告估計,82%的網(wǎng)絡(luò)攻擊歸咎于人為錯誤(憑據(jù)被盜、網(wǎng)絡(luò)釣魚和濫用等),而目前針對MFA繞過的常見攻擊方法也充分考慮了這一點。
- 中間人(MitM)攻擊:攻擊者誘騙潛在的受害者訪問虛假網(wǎng)站,然后用戶輸入憑據(jù),向毫無戒備的用戶觸發(fā)MFA請求。一旦用戶通過移動設(shè)備確認(rèn)推送通知,黑客就攔截驗證碼,并獲得賬戶訪問權(quán)限。攻擊者現(xiàn)在可以購買現(xiàn)成的網(wǎng)絡(luò)釣魚工具包,對MFA令牌執(zhí)行中間人攻擊。
- SIM卡交換攻擊:通過SMS文本發(fā)送一次性密碼是傳統(tǒng)MFA技術(shù)最常用的身份驗證方法之一。在SIM卡交換攻擊中,攻擊者冒充真正的用戶,佯稱原始的SIM卡丟失或被盜,說服電信提供商補發(fā)SIM卡。一旦攻擊者安裝新的SIM卡,可以用新卡來完成MFA檢查、重置賬戶憑據(jù),從而非法訪問公司資源。去年,SIM卡交換攻擊造成的損失估計達(dá)到6800萬美元。
- pass-the-cookie攻擊:cookie如同駕駛執(zhí)照,讓用戶在失效期之前可以不受限制地訪問資源。pass-the-cookie攻擊是MitM的一種形式,攻擊者采用網(wǎng)絡(luò)釣魚手段收集會話cookie,該cookie在用戶瀏覽會話期間一直伴隨用戶。今年早些時候美國安全機構(gòu)CISA表示,攻擊者經(jīng)常結(jié)合使用pass-the-cookie、網(wǎng)絡(luò)釣魚和暴力攻擊等手段,對云服務(wù)賬戶進行破解攻擊。
- MFA疲勞:據(jù)報道,一些攻擊者開始使用社會工程伎倆,向Office365用戶發(fā)送大量的MFA推送通知(即通知轟炸)。面對大量通知,用戶由于分心或不知所措而誤以為是哪里出了岔子,或者將它們與正常的通知相混淆,因而攻擊者得以越過MFA防御機制,闖入賬戶或系統(tǒng)設(shè)備。愿者上鉤式網(wǎng)絡(luò)釣魚(consent phishing)是這種手段的另一種形式,可在默寫特定情況下實現(xiàn)MFA安全機制繞過。
MFA該如何改進?
MFA只有更有效地防御黑客攻擊,才有應(yīng)用的意義。以下總結(jié)了三個針對MFA安全能力提升的最佳實踐。
01
對現(xiàn)有MFA方案進行升級
組織可以采取很多措施來降低目前的MFA被網(wǎng)絡(luò)釣魚的可能性,包括向用戶登錄環(huán)節(jié)添加更多的信息和上下文,包括設(shè)備名稱、全局ID和設(shè)備位置等信息,這樣可以讓用戶對他們登錄訪問的對象更放心。MFA 解決方案還必須綁定到特定的URL、設(shè)備和主機,這樣當(dāng)遇到中間人攻擊時,解決方案將不允許攻擊者訪問資源。
此外,可以使用成熟的加密技術(shù)來構(gòu)建MFA,并對重置和繞過密碼的流程進行嚴(yán)格的管理。同時,企業(yè)應(yīng)確保會話cookie、安全令牌或種子值之類的認(rèn)證信息在24小時內(nèi)到期失效。
02
為MFA增加防御網(wǎng)絡(luò)釣魚功能
美國政府一直要求所有政府部門使用“防御網(wǎng)絡(luò)釣魚”的MFA。這意味著組織必須避免使用任何很容易被網(wǎng)絡(luò)釣魚的MFA技術(shù),比如一次性密碼、SMS文本消息、動態(tài)碼以及推送通知。基于FIDO2(線上快速身份驗證服務(wù))框架的MFA方案會更加可靠,該框架讓用戶可以使用設(shè)備端的指紋讀取器、攝像頭及其他設(shè)備級/硬件安全檢查機制,解鎖以訪問資源。由于憑據(jù)并不離開用戶的設(shè)備,并不存儲在任何地方,因此這消除了網(wǎng)絡(luò)釣魚和憑據(jù)被盜的風(fēng)險。
03
加強MFA應(yīng)用的安全意識
杜絕威脅的根源是解決問題的核心。例如在應(yīng)對勒索攻擊中,最重要的環(huán)節(jié)是要了解勒索軟件是如何潛入的。同樣,在對抗MFA攻擊活動中,網(wǎng)絡(luò)釣魚才是需要解決的關(guān)鍵根本原因。無論組織的MFA解決方案功能多強大,所有利益相關(guān)者必須了解MFA的優(yōu)缺點,以及黑客會如何繞過MFA防御機制。必須對員工進行培訓(xùn),以發(fā)現(xiàn)和報告異常活動;員工須特別小心他們可能遇到的社會工程陷阱。此外,他們應(yīng)該使用足夠強壯的密碼,以避免憑據(jù)被盜。
對于有條件的企業(yè),還可以選擇縱深防御方法,部署基于FIDO2的MFA,從而消除標(biāo)準(zhǔn)化MFA認(rèn)證可能存在的風(fēng)險。
來源:安全牛
- 8月6日!ISC.AI 2025北京開幕,共迎智能新紀(jì)元!
- MH-Net:基于多視角異構(gòu)圖的加密流量分類方法
- 2025年度網(wǎng)絡(luò)空間安全領(lǐng)域十大科學(xué)挑戰(zhàn)問題發(fā)布
- 分析:Palo Alto收購CyberArk的利與弊
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》