為什么依賴多因素身份驗證是一種危險的策略 - 網安 - 專業的網絡安全產業、社區、知識平臺

美國網絡安全和基礎設施安全局(CISA)和美國聯邦調查局(FBI)網絡部門最近在聯合發布的一份網絡安全咨詢(CSA)報告中警告說，一些獲得國家支持的網絡行為者利用默認的多因素身份驗證協議獲得了網絡訪問權限。

自從發生俄烏沖突以來，已經看到Conti、Anonymous等黑客組織承諾為支持某一方進行網絡攻擊。保險公司很快將此類網絡攻擊歸類為戰爭行為，引發了保險豁免條款的變化，以反映沖突地區以外“溢出損害”風險的上升。由于勒索軟件現在占網絡保險索賠的75%，越來越多的網絡攻擊團伙宣布他們的攻擊行為與俄烏沖突無關，希望保險公司繼續為受害方的贖金提供賠償。

除此之外，像黑客組織Lapsus$這樣的新進入者正在使用低技術方法來獲取員工憑證，并通過Telegram宣傳他們聯系受害者的方式，企業面臨的網絡攻擊風險、影響和頻率都在增加。這種情況正在推動更多企業改變其網絡安全彈性戰略。企業與其花費數十萬美元購買在勒索軟件或業務中斷情況下可能無法支付的保險單，不如投資網絡安全防御措施，并從一開始就對網絡攻擊進行防范。

多因素身份驗證(MFA) ??不會阻止密碼網絡釣魚或欺詐

許多企業使用多因素身份驗證(MFA)??來防止黑客訪問他們的網絡。但只是依靠多因素身份驗證(MFA)是不夠的。因為多因素身份驗證(MFA)意味著涉及第二、第三甚至第四因素的身份驗證。

在用戶輸入第一個因素(通常是密碼)之后，他們會收到發送到他們某個設備的令牌，然后他們必須單擊該令牌才能接受，或者復制并粘貼以實施身份驗證。但這僅在用戶可以依賴第一個因素時才有效。

問題是第一個因素實際上從一開始就受到了影響。在現實世界中，當員工上班時，他們通過鑰匙或門禁卡進入企業的辦公大樓、電梯和房間。但在數字世界中，企業的做法則相反。要求員工設置自己的密鑰(密碼)以訪問企業網絡和基礎設施。

在這樣做的過程中，企業有效地將其訪問控制權移交給了員工，并使自己面臨諸如密碼釣魚、丟失、盜竊、重用、未經授權的共享和欺詐等人為責任。在失去訪問控制之后，企業首先應該考慮在默認情況下所有密碼都會被泄露，這意味著多因素身份驗證(MFA)無法再保證合法訪問。多因素身份驗證(MFA)在這里提供的只是一種虛假的安全感。

在沒有訪問控制措施的情況下，多因素身份驗證(MFA)漏洞利用的例子很多。早在2021年5月，一些獲得國家支持的網絡行為者就通過利用默認的多因素身份驗證(MFA)協議來控制其網絡，從而獲得了對其他政府和企業的訪問權限。

除此之外，黑客組織Lapsus$通過在凌晨向第三方支持提供商的員工的電話重復發送多因素身份驗證(MFA)批準請求，直到他們為了重新入睡批準了請求，從而侵入了Okta公司內部系統。

多因素身份驗證(MFA)并不會阻止勒索軟件

依靠沒有訪問控制措施的多因素身份驗證(MFA)不僅危險，而且與SSO、IAM或PAM等用戶單一訪問解決方案結合使用時風險更大。Lapsus$最近實施的網絡攻擊行為暴露了企業將所有數據集中在一處面臨的問題。

在2月中旬的一次違規事件中，Lapsus$從Nvidia公司竊取了1TB的數據，其中包括Nvidia公司71000多名員工的用戶名和密碼。而Lapsus$最近在Sitel公司的運營環境中發現一個名為DomAdmins-LastPass.xlsx的Excel文檔之后，其漏洞影響了依賴Okta驗證訪問權限的客戶。

在這種情況下，失去這一切的可能性對任何企業來說都是一場噩夢，暴露了集中訪問的局限性，并使得一旦系統受到破壞，唯一用戶控制的想法就變得多余了。

停止混淆識別和身份驗證

為了真正建立網絡彈性，企業需要吸取現實世界中的教訓，并停止混淆身份和訪問權限。這種區別在物理世界中是很明顯的。例如，當有人從銀行提取大筆款項或參加考試以證明身份時，就會被要求出示身份證件，這就是所謂的身份證明。但是當他回家或去公司上班時，大門卻不會認出他并為他開門;如果他有密鑰就可以進入，而這就是所謂的身份驗證。

人們只需要擁有正確的鑰匙就可以打開大門。就像沒有人能夠只使用一把鑰匙打開他們的房屋、汽車、辦公室的門一樣，每個系統都應該有一個不同的密碼，他們不需要知道或記住。為了有效地收回對系統訪問的控制權，企業只需要應用這些原則。

在實踐中，對所有系統訪問進行分段并將加密的密碼分發給員工，將完全消除人為錯誤的可能性，因為沒有人創建、查看或鍵入密碼。解決訪問管理問題的原因不僅可以幫助企業重新獲得對其訪問和數據的命令和控制權，還可以節省大量時間來培訓員工了解無效的密碼策略。

雖然當企業控制和分割他們的訪問權限時，投資多因素身份驗證是有意義的，但僅靠它肯定不能保護網絡的安全。為了保護他們的業務，企業應該關注將密碼創建、分發、使用和到期的整個過程集成到他們的管理過程中，就像他們在現實世界中所采取的安全措施那樣，而不用改變基礎設施。這將增強他們的網絡防御能力并阻止支付巨額贖金。