多因素身份验证(MFA)面临的安全挑战与应对
日期:2022年08月16日 阅:88
多因素身份验证(MFA)解决方案已经应用了许多年,它的出现是因为传统的口令认证方式已经不能满足安全级别较高的系统认证需求,需要通过多个认证方式结合来提高安全性。虽然一些安全厂商声称通过MFA技术可以阻止99.99%的账户滥用攻击,但MFA在实际应用中的表现还远远称不上完美,攻击者总能找到绕过其防御的方法。
针对MFA的常见攻击方式
据Verizon研究报告估计,82%的网络攻击归咎于人为错误(凭据被盗、网络钓鱼和滥用等),而目前针对MFA绕过的常见攻击方法也充分考虑了这一点。
MFA该如何改进?
MFA只有更有效地防御黑客攻击,才有应用的意义。以下总结了三个针对MFA安全能力提升的最佳实践。
01
对现有MFA方案进行升级
组织可以采取很多措施来降低目前的MFA被网络钓鱼的可能性,包括向用户登录环节添加更多的信息和上下文,包括设备名称、全局ID和设备位置等信息,这样可以让用户对他们登录访问的对象更放心。MFA 解决方案还必须绑定到特定的URL、设备和主机,这样当遇到中间人攻击时,解决方案将不允许攻击者访问资源。
此外,可以使用成熟的加密技术来构建MFA,并对重置和绕过密码的流程进行严格的管理。同时,企业应确保会话cookie、安全令牌或种子值之类的认证信息在24小时内到期失效。
02
为MFA增加防御网络钓鱼功能
美国政府一直要求所有政府部门使用“防御网络钓鱼”的MFA。这意味着组织必须避免使用任何很容易被网络钓鱼的MFA技术,比如一次性密码、SMS文本消息、动态码以及推送通知。基于FIDO2(线上快速身份验证服务)框架的MFA方案会更加可靠,该框架让用户可以使用设备端的指纹读取器、摄像头及其他设备级/硬件安全检查机制,解锁以访问资源。由于凭据并不离开用户的设备,并不存储在任何地方,因此这消除了网络钓鱼和凭据被盗的风险。
03
加强MFA应用的安全意识
杜绝威胁的根源是解决问题的核心。例如在应对勒索攻击中,最重要的环节是要了解勒索软件是如何潜入的。同样,在对抗MFA攻击活动中,网络钓鱼才是需要解决的关键根本原因。无论组织的MFA解决方案功能多强大,所有利益相关者必须了解MFA的优缺点,以及黑客会如何绕过MFA防御机制。必须对员工进行培训,以发现和报告异常活动;员工须特别小心他们可能遇到的社会工程陷阱。此外,他们应该使用足够强壮的密码,以避免凭据被盗。
对于有条件的企业,还可以选择纵深防御方法,部署基于FIDO2的MFA,从而消除标准化MFA认证可能存在的风险。
文章来源:安全牛编译整理