新一代MFA的变革与发展

多因素身份验证（MFA）解决方案已经应用了许多年，它的出现是因为传统的口令认证方式已经不能满足安全级别较高的系统认证需求，需要通过多个认证方式结合来提高安全性。在“零信任”时代，MFA技术已经成为现代企业组织加强身份安全管理的必修课。但需要注意的是，在网络安全这个领域中并没有灵丹妙药，对MFA而言也是如此。MFA并不能阻止所有的身份验证攻击，而且在很多情况下，MFA解决方案本身也会面临黑客们的攻击。

传统MFA面临的挑战

MFA是一种防止密码泄露和账户接管攻击的强大工具，但恶意攻击者已学会了如何通过社会工程伎俩轻松绕过MFA认证的控制。以下总结了一些针对传统MFA解决方案的常见攻击方法：

中间人攻击

最简单的MFA攻击绕过方法就是在受害者连接到合法网站之前，诱骗他们连接到一个虚假的中间人（Man-in-the-MiddleAttack，MitM）代理网站。攻击者诱骗潜在的受害者访问虚假网站，然后用户输入凭据，向毫无戒备的用户触发MFA请求。一旦用户通过移动设备确认推送通知，黑客就拦截验证码，并获得账户访问权限。攻击者现在可以购买现成的网络钓鱼工具包，对MFA令牌执行中间人攻击。

伪造身份验证

对于很多MFA解决方案来说，这是一种难以阻止的攻击类型之一。攻击者可以诱骗目标访问一个看起来像合法网站的虚假网站，用户通常会使用他们的MFA进行登录。但事实上，该网站只是简单地模仿了整个MFA例程，从要求用户输入他们的MFA登录，到表现得好像MFA登录已被成功接受。然后，该网站可以发布额外的、虚假的操作和请求。对于MFA提供程序来说，很难防止伪造身份验证事件的发生。

SIM卡交换攻击

通过SMS文本发送一次性密码是传统MFA技术最常用的身份验证方法之一。在SIM卡交换攻击中，攻击者冒充真正的用户，佯称原始的SIM卡丢失或被盗，说服电信提供商补发SIM卡。一旦攻击者安装新的SIM卡，可以用新卡来完成MFA检查、重置账户凭据，从而非法访问公司资源。去年，SIM卡交换攻击造成的损失估计达到6800万美元。

pass-the-cookie攻击

cookie如同驾驶执照，让用户在失效期之前可以不受限制地访问资源。pass-the-cookie攻击是MitM的一种形式，攻击者采用网络钓鱼手段收集会话cookie，该cookie在用户浏览会话期间一直伴随用户。今年早些时候美国安全机构CISA表示，攻击者经常结合使用pass-the-cookie、网络钓鱼和暴力攻击等手段，对云服务账户进行破解攻击。

恢复攻击（Recovery Attacks）

在当前MFA解决方案不可用时，几乎每个使用MFA的企业都会允许用户暂时绕过他们的MFA解决方案来登录系统或请求新的MFA解决方案。最常见的恢复方法是让用户发送一个确认URL链接到一个备用的电子邮件帐户或链接。网络钓鱼犯罪分子通常会接管用户的备用电子邮件帐户，然后启动恢复事件，将链接发送到受感染的电子邮件地址。

其他常见的恢复方法还包括“密码重置问题”，数据显示，20%的密码恢复问题可以在黑客第一次尝试时猜出来，六分之一的答案可以在一个人的社交媒体资料中找到。

存在漏洞的MFA

所有的MFA都涉及编程，而所有的编程都有漏洞。因此每个MFA解决方案都可能会有错误的代码存在。调查显示，几乎每个MFA解决方案都有一个或多个漏洞，这些漏洞最终被公开，并被用来绕过MFA解决方案。

一些存在了数十年的流行MFA解决方案甚至已经发布了几十个漏洞。即使企业所用的MFA解决方案没有任何已知的、已发布的漏洞，也并不意味着它没有漏洞。目前还没有人学会如何编写没有漏洞的代码。这是软件应用系统的本质。

物理攻击

任何与MFA相关的物理设备也都可能受到物理攻击。也就是说，有物理和无线发射连接、信号和存储设备可以被检查以揭示身份秘密。研究发现，电子显微镜已被攻击者用于在MFA解决方案和加密保护的硬盘驱动器上找到秘密加密密钥。

新一代MFA的主要特点

MFA只有更有效地防御黑客攻击，才有应用的意义。在此背景下，能够对抗攻击的新一代MFA技术将会得到更广泛的关注和应用。为了让MFA技术应用更加安全，企业需要采取很多措施来降低MFA方案被攻击的可能性，包括向用户登录环节添加更多的信息和上下文，包括设备名称、全局ID和设备位置等信息。

相比传统MFA方案，新一代MFA技术具有以下特点：

● 具有快速在线身份验证（FIDO2）机制。这是一种基于公钥密码学的全球认证标准，使用FIDO身份验证机制，用户可以利用称为“passkey”的防网络钓鱼凭据登录。Passkey可以跨设备同步，也可以绑定到平台或安全密钥，它比密码和短信OTP更安全，对使用者来说更加安全，对服务提供商来说也更容易部署和管理。

● 采用基于证书的身份验证（CBA）方式。新一代MFA方案允许用户使用客户端证书而不是密码进行身份验证。信任是由证书授权中心（CA）颁发的，自签名证书也在使用中，但不提供与受信任CA相同级别的验证。CBA方式可以与其他方法一起使用，以创建一种能够对抗网络攻击和钓鱼的MFA新方式。

● 依托公钥基础设施（PKI）体系。PKI体系是建立和管理公钥加密的所有资产的总称，它允许使用者对数据进行签名和加密的策略、流程和技术的集合，它是保障所有值得信赖的在线通信设备安全运行的基础。

● 结合零信任访问（ZTA）和用户实体行为分析（UEBA）技术。零信任技术可以进一步增强新一代MFA方案的安全弹性，包括向用户登录环节添加更多的信息和上下文，包括设备名称、全局ID和设备位置等信息，这样可以让用户对他们登录访问的对象更放心。

杜绝威胁的根源才是解决问题的核心。因此在对抗MFA攻击活动中，企业组织应该使用更成熟的技术来构建MFA，并对重置和绕过密码的流程进行严格的管理。此外，无论组织的MFA解决方案功能多强大，安全团队都需要对所有员工进行充分的安全意识培训，以及时发现和报告身份验证过程中的异常活动。

黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！

如侵权请私聊我们删文

END