多重身份验证(MFA)正在成为所有部门所有企业的强制性安全要求。企业是否应该选择在线快速身份验证(FIDO)而不是一次性密码(OTP)作为身份验证方法?基于文本消息(SMS)的一次性密码一种验证MFA的方法是基于文本或SMS的OTP。根据美国国家科学技术研究院(NIST)和欧盟网络安全局(ENISA)的说法,SMS是所有身份验证方法中最不安全的。NIST采取了一种谨慎的方法,将基于SMS的身份验证称为受限,这也意味着它在当今的威胁环境中不太安全。ENISA的立场更加坚定,建议企业避免使用SMS,并推荐FIDO2作为首选的MFA机制。为什么SMS是MFA的问题?研究表明,可以通过重定向或批量拦截SMS消息来减少MFA的时间成本和工作量。SMS信号协议的这一弱点导致了2017年的银行违规行为。五年过去了,一些企业仍在使用基于SMS的身份验证。虽然密码与基于SMS的代码相结合可提供比单独使用密码更高级别的保护,但它不具有其他系统(如FIDO或智能卡)提供的设备身份验证机制所固有的额外强度。Phone-As-A-A-Token身份验证OTP许多供应商不再依赖不安全的基于SMS的身份验证,而是利??用智能手机作为软件身份验证的令牌。用于PUSH身份验证的电话即令牌是目前的首选方法,因为它提供了更低的总拥有成本(TCO)和更高的可访问性,因为智能手机无处不在。然而,即使是PUSH认证或OTP认证应用程序仍然存在缺点。首先,有些专业环境不允许使用手机,例如工厂车间、各种法律和政府办公室等。其次,存在连接问题——这些应用程序无法在无法访问互联网的情况下提供OTP。最后,攻击者渴望利用破坏这种身份验证方法的可能性。美国安全意识培训平台KnowBe4的RogerGrimes证明OTP不能免疫钓鱼攻击,攻击者可以通过中间人攻击和社会工程手段(主要是钓鱼)拦截OTP认证。智能手机也有被恶意软件感染或越狱的风险,从而损害安装在手机上的身份验证应用程序的完整性。针对MFA的攻击网络罪犯越来越善于使用社会工程方法来破坏MFA。比如Lapsus$犯罪集团进行MFA即时轰炸。Lapsus$使用此技术向最终用户的合法设备发出多个MFA请求,直到用户简单地接受身份验证,从而允许犯罪集团最终获得对该帐户的访问权限。在这种情况下,妥协的方法依赖于耗尽用户直到他们批准身份验证请求,实质上是让攻击者访问他们的帐户。用于网络钓鱼防护的MFA鉴于PUSHOTP和OTP容易受到网络钓鱼和社会工程攻击,美国政府和ENISA已发布指南,要求企业采用抵御网络钓鱼的MFA方法。美国管理和预算办公室(OMB)在其最近的零信任网络安全战略中表示,机构工作人员、承包商和合作伙伴需要具有网络钓鱼保护功能的MFA。该指南称,针对网络钓鱼的MFA可以保护这些人免受复杂的在线攻击。FIDO获得牵引力与ENISA的建议类似,OMB还建议企业应考虑将FIDO2作为首选的网络钓鱼防御MFA方法:为实现零信任战略,OMB表示机构需要部署联邦政府个人身份验证(PIV)凭证或支持OpenWeb身份验证标准,FIDO2的早期迭代。尽管FIDO身份验证比OTP身份验证变得更加普遍和安全,但企业可能不一定需要对已部署的OTP身份验证解决方案采取“推倒重来”的方法。某些应用程序和用户,尤其是特定法规涵盖的应用程序和用户,确实需要MFA以FIDO或基于证书的PKI身份验证的形式提供网络钓鱼保护。总而言之,安全专家一致认为MFA是减少凭据泄露的最有效方法。企业应该意识到上面讨论的问题,并专注于实施身份验证方案,为员工提供更好的安全性并增强登录体验。
