多因素身份驗證（MFA）解決方案已經應用了許多年，它的出現是因為傳統(tǒng)的口令認證方式已經不能滿足安全級別較高的系統(tǒng)認證需求，需要通過多個認證方式結合來提高安全性。雖然一些安全廠商聲稱通過MFA技術可以阻止99.99%的賬戶濫用攻擊，但MFA在實際應用中的表現還遠遠稱不上完美，攻擊者總能找到繞過其防御的方法。

　　針對MFA的常見攻擊方式

　　據Verizon研究報告估計，82%的網絡攻擊歸咎于人為錯誤（憑據被盜、網絡釣魚和濫用等），而目前針對MFA繞過的常見攻擊方法也充分考慮了這一點。

　　中間人（MitM）攻擊：攻擊者誘騙潛在的受害者訪問虛假網站，然后用戶輸入憑據，向毫無戒備的用戶觸發(fā)MFA請求。一旦用戶通過移動設備確認推送通知，黑客就攔截驗證碼，并獲得賬戶訪問權限。攻擊者現在可以購買現成的網絡釣魚工具包，對MFA令牌執(zhí)行中間人攻擊。

　　SIM卡交換攻擊：通過SMS文本發(fā)送一次性密碼是傳統(tǒng)MFA技術最常用的身份驗證方法之一。在SIM卡交換攻擊中，攻擊者冒充真正的用戶，佯稱原始的SIM卡丟失或被盜，說服電信提供商補發(fā)SIM卡。一旦攻擊者安裝新的SIM卡，可以用新卡來完成MFA檢查、重置賬戶憑據，從而非法訪問公司資源。去年，SIM卡交換攻擊造成的損失估計達到6800萬美元。

　　pass-the-cookie攻擊：cookie如同駕駛執(zhí)照，讓用戶在失效期之前可以不受限制地訪問資源。pass-the-cookie攻擊是MitM的一種形式，攻擊者采用網絡釣魚手段收集會話cookie，該cookie在用戶瀏覽會話期間一直伴隨用戶。今年早些時候美國安全機構CISA表示，攻擊者經常結合使用pass-the-cookie、網絡釣魚和暴力攻擊等手段，對云服務賬戶進行破解攻擊。

　　MFA疲勞：據報道，一些攻擊者開始使用社會工程伎倆，向Office365用戶發(fā)送大量的MFA推送通知（即通知轟炸）。面對大量通知，用戶由于分心或不知所措而誤以為是哪里出了岔子，或者將它們與正常的通知相混淆，因而攻擊者得以越過MFA防御機制，闖入賬戶或系統(tǒng)設備。愿者上鉤式網絡釣魚（consent phishing）是這種手段的另一種形式，可在默寫特定情況下實現MFA安全機制繞過。

　　MFA該如何改進？

　　MFA只有更有效地防御黑客攻擊，才有應用的意義。以下總結了三個針對MFA安全能力提升的最佳實踐。

　　01 對現有MFA方案進行升級

　　組織可以采取很多措施來降低目前的MFA被網絡釣魚的可能性，包括向用戶登錄環(huán)節(jié)添加更多的信息和上下文，包括設備名稱、全局ID和設備位置等信息，這樣可以讓用戶對他們登錄訪問的對象更放心。MFA 解決方案還必須綁定到特定的URL、設備和主機，這樣當遇到中間人攻擊時，解決方案將不允許攻擊者訪問資源。

　　此外，可以使用成熟的加密技術來構建MFA，并對重置和繞過密碼的流程進行嚴格的管理。同時，企業(yè)應確保會話cookie、安全令牌或種子值之類的認證信息在24小時內到期失效。

　　02 為MFA增加防御網絡釣魚功能

　　美國政府一直要求所有政府部門使用“防御網絡釣魚”的MFA。這意味著組織必須避免使用任何很容易被網絡釣魚的MFA技術，比如一次性密碼、SMS文本消息、動態(tài)碼以及推送通知?；贔IDO2（線上快速身份驗證服務）框架的MFA方案會更加可靠，該框架讓用戶可以使用設備端的指紋讀取器、攝像頭及其他設備級/硬件安全檢查機制，解鎖以訪問資源。由于憑據并不離開用戶的設備，并不存儲在任何地方，因此這消除了網絡釣魚和憑據被盜的風險。

　　03 加強MFA應用的安全意識

　　杜絕威脅的根源是解決問題的核心。例如在應對勒索攻擊中，最重要的環(huán)節(jié)是要了解勒索軟件是如何潛入的。同樣，在對抗MFA攻擊活動中，網絡釣魚才是需要解決的關鍵根本原因。無論組織的MFA解決方案功能多強大，所有利益相關者必須了解MFA的優(yōu)缺點，以及黑客會如何繞過MFA防御機制。必須對員工進行培訓，以發(fā)現和報告異?；顒?；員工須特別小心他們可能遇到的社會工程陷阱。此外，他們應該使用足夠強壯的密碼，以避免憑據被盜。

　　對于有條件的企業(yè)，還可以選擇縱深防御方法，部署基于FIDO2的MFA，從而消除標準化MFA認證可能存在的風險。

更多信息可以來這里獲取==>>電子技術應用-AET<<