多因素身份驗證（MFA）面臨的安全挑戰與應對

多因素身份驗證（MFA）解決方案已經應用了許多年，它的出現是因為傳統的口令認證方式已經不能滿足安全級別較高的系統認證需求，需要通過多個認證方式結合來提高安全性。雖然一些安全廠商聲稱通過MFA技術可以阻止99.99%的賬戶濫用攻擊，但MFA在實際應用中的表現還遠遠稱不上完美，攻擊者總能找到繞過其防御的方法。

一、針對MFA的常見攻擊方式

據Verizon研究報告估計，82%的網絡攻擊歸咎于人為錯誤（憑據被盜、網絡釣魚和濫用等），而目前針對MFA繞過的常見攻擊方法也充分考慮了這一點。

1.中間人（MitM）攻擊

攻擊者誘騙潛在的受害者訪問虛假網站，然后用戶輸入憑據，向毫無戒備的用戶觸發MFA請求。一旦用戶通過移動設備確認推送通知，黑客就攔截驗證碼，并獲得賬戶訪問權限。攻擊者現在可以購買現成的網絡釣魚工具包，對MFA令牌執行中間人攻擊。

2.SIM卡交換攻擊

通過SMS文本發送一次性密碼是傳統MFA技術最常用的身份驗證方法之一。在SIM卡交換攻擊中，攻擊者冒充真正的用戶，佯稱原始的SIM卡丟失或被盜，說服電信提供商補發SIM卡。一旦攻擊者安裝新的SIM卡，可以用新卡來完成MFA檢查、重置賬戶憑據，從而非法訪問公司資源。去年，SIM卡交換攻擊造成的損失估計達到6800萬美元。

3.pass-the-cookie攻擊

cookie如同駕駛執照，讓用戶在失效期之前可以不受限制地訪問資源。pass-the-cookie攻擊是MitM的一種形式，攻擊者采用網絡釣魚手段收集會話cookie，該cookie在用戶瀏覽會話期間一直伴隨用戶。今年早些時候美國安全機構CISA表示，攻擊者經常結合使用pass-the-cookie、網絡釣魚和暴力攻擊等手段，對云服務賬戶進行破解攻擊。

4.MFA疲勞

據報道，一些攻擊者開始使用社會工程伎倆，向Office365用戶發送大量的MFA推送通知（即通知轟炸）。面對大量通知，用戶由于分心或不知所措而誤以為是哪里出了岔子，或者將它們與正常的通知相混淆，因而攻擊者得以越過MFA防御機制，闖入賬戶或系統設備。愿者上鉤式網絡釣魚（consent phishing）是這種手段的另一種形式，可在默寫特定情況下實現MFA安全機制繞過。

二、MFA該如何改進？

MFA只有更有效地防御黑客攻擊，才有應用的意義。以下總結了三個針對MFA安全能力提升的最佳實踐。

1.對現有MFA方案進行升級

組織可以采取很多措施來降低目前的MFA被網絡釣魚的可能性，包括向用戶登錄環節添加更多的信息和上下文，包括設備名稱、全局ID和設備位置等信息，這樣可以讓用戶對他們登錄訪問的對象更放心。MFA 解決方案還必須綁定到特定的URL、設備和主機，這樣當遇到中間人攻擊時，解決方案將不允許攻擊者訪問資源。

此外，可以使用成熟的加密技術來構建MFA，并對重置和繞過密碼的流程進行嚴格的管理。同時，企業應確保會話cookie、安全令牌或種子值之類的認證信息在24小時內到期失效。

2.為MFA增加防御網絡釣魚功能

美國政府一直要求所有政府部門使用“防御網絡釣魚”的MFA。這意味著組織必須避免使用任何很容易被網絡釣魚的MFA技術，比如一次性密碼、SMS文本消息、動態碼以及推送通知。基于FIDO2（線上快速身份驗證服務）框架的MFA方案會更加可靠，該框架讓用戶可以使用設備端的指紋讀取器、攝像頭及其他設備級/硬件安全檢查機制，解鎖以訪問資源。由于憑據并不離開用戶的設備，并不存儲在任何地方，因此這消除了網絡釣魚和憑據被盜的風險。

3.加強MFA應用的安全意識

杜絕威脅的根源是解決問題的核心。例如在應對勒索攻擊中，最重要的環節是要了解勒索軟件是如何潛入的。同樣，在對抗MFA攻擊活動中，網絡釣魚才是需要解決的關鍵根本原因。無論組織的MFA解決方案功能多強大，所有利益相關者必須了解MFA的優缺點，以及黑客會如何繞過MFA防御機制。必須對員工進行培訓，以發現和報告異常活動；員工須特別小心他們可能遇到的社會工程陷阱。此外，他們應該使用足夠強壯的密碼，以避免憑據被盜。

對于有條件的企業，還可以選擇縱深防御方法，部署基于FIDO2的MFA，從而消除標準化MFA認證可能存在的風險。