多因素认证(MFA)解决方案已经应用多年,它的出现是因为传统的密码认证方式已经不能满足更高安全级别的系统认证需求需要结合多种认证方式来提高安全性。虽然一些安全厂商声称通过MFA技术可以阻止99.99%的账户滥用攻击,但MFA在实际应用中的表现还远远不够完美,攻击者总能找到绕过其防御的方法。针对MFA的常见攻击手段根据Verizon的一份研究报告,估计82%的网络攻击是人为错误造成的(凭据盗窃、钓鱼、滥用等),目前针对MFA绕过的常见攻击手段也充分利用考虑到这一点。中间人(MitM)攻击:攻击者诱使潜在受害者访问虚假网站,然后用户输入其凭据,向毫无戒心的用户触发MFA请求。一旦用户通过移动设备确认推送通知,黑客就会拦截验证码并获得对帐户的访问权限。攻击者现在可以购买现成的网络钓鱼工具包来对MFA令牌执行中间人攻击。SIM交换攻击:通过SMS文本发送一次性密码是传统MFA技术最常用的身份验证方法之一。在SIM卡换卡攻击中,攻击者冒充真实用户,假装原来的SIM卡丢失或被盗,说服电信运营商补发SIM卡。一旦攻击者安装了新的SIM卡,新卡可用于完成MFA检查、重置帐户凭据,并获得对公司资源的未授权访问权限。去年,SIM交换攻击造成的损失估计为6800万美元。pass-the-cookie攻击:cookie就像驾照,允许用户在过期日期之前不受限制地访问资源。传递cookie攻击是MitM的一种形式,攻击者使用网络钓鱼技术来收集会话cookie,该cookie在用户的整个浏览会话中都存在。今年早些时候,美国安全机构CISA表示,攻击者经常结合使用传递cookie、网络钓鱼和暴力破解攻击来破解云服务帐户。MFA疲劳:据报道,一些攻击者开始使用社会工程技巧向Office365用户发送大量MFA推送通知(即通知轰炸)。用户被通知分散注意力或不知所措,错误地认为出了什么问题,或者将它们与正常通知混淆,从而使攻击者能够绕过MFA防御并侵入帐户或系统设备。同意网络钓鱼是这种方法的另一种形式,它可以在特定情况下绕过MFA安全机制。MFA如何改进?只有当MFA能够更有效地抵御黑客攻击时,才能应用它。下面总结了三个提升MFA安全能力的最佳实践。1.升级现有的MFA解决方案组织可以采取很多措施来降低当前MFA被钓鱼的可能性,包括在用户登录链接中添加更多信息和上下文,包括设备名称、全局ID和设备位置等信息,这让用户对他们登录访问的内容更有信心。MFA解决方案还必须绑定到特定的URL、设备和主机,以便在发生中间人攻击时,该解决方案将不允许攻击者访问资源。此外,MFA可以使用经过验证的密码学来构建,并具有用于重置和绕过密码的严格管理流程。同时,企业应确保会话cookie、安全令牌或种子值等身份验证信息在24小时内过期。2.为MFA增加反钓鱼功能美国政府一直要求所有政府部门使用“反钓鱼”MFA。这意味着组织必须避免使用任何容易被钓鱼的MFA技术,例如一次性密码、SMS文本消息、动态代码和推送通知。基于FIDO2(在线快速身份验证服务)框架的MFA解决方案将更加可靠,它允许用户使用设备上的指纹读取器、摄像头和其他设备级/硬件安全检查来解锁对资源的访问。这消除了网络钓鱼和凭据盗窃的风险,因为凭据不会离开用户的设备,也不会存储在任何地方。3、加强MFA应用的安全意识,消除威胁源是解决问题的核心。例如,在应对勒索软件攻击时,最重要的环节是了解勒索软件是如何潜入的。同样,在打击MFA活动中,网络钓鱼是需要解决的关键根源。无论组织的MFA解决方案多么强大,所有利益相关者都必须了解MFA的优缺点以及黑客如何绕过MFA防御。必须对员工进行发现和报告异常活动的培训;员工必须特别警惕他们可能遇到的社会工程陷阱。此外,他们应该使用足够强大的密码以避免凭证被盗。对于有条件的企业,还可以选择纵深防御方式,部署基于FIDO2的MFA,从而消除标准化MFA认证可能带来的风险。
