多因素身份驗證(MFA) 正在成為企業(yè)跨所有部門的所有業(yè)務(wù)的強制性安全要求。企業(yè)是否應(yīng)該選擇在線快速身份驗證 (FIDO) 而不是一次性密碼 (OTP) 作為其身份驗證的方法？

基于短信（SMS）的一次性密碼驗證

MFA 的一種方法是基于文本或 SMS 的 OTP。美國國家科學(xué)技術(shù)研究院 (NIST) 和歐盟網(wǎng)絡(luò)安全局 (ENISA) 指出，SMS 是所有身份驗證方法中最不安全的。NIST 采取了一種謹(jǐn)慎的方法，將基于 SMS 的身份驗證稱為受限制的，這也意味著它在當(dāng)今的威脅環(huán)境中不太安全。ENISA 的立場更堅定，建議企業(yè)避免使用 SMS，并建議將 FIDO2 作為首選的 MFA 機制。

為什么 SMS 對于 MFA 來說是個問題？

研究表明，通過重定向或大量攔截 SMS 消息可以降低 MFA 的時間成本和精力。SMS 信令協(xié)議中的這一弱點導(dǎo)致2017 年發(fā)生了銀行違規(guī)事件。五年過去了，一些企業(yè)仍在使用基于 SMS 的身份驗證。雖然與基于 SMS 的代碼相結(jié)合的密碼具有比單獨使用密碼更高的保護(hù)級別，但它不具有其他系統(tǒng)（例如 FIDO 或智能卡）提供的設(shè)備身份驗證機制所固有的額外強度。

電話即令牌(Phone-As-A-Token)認(rèn)證 OTP

許多供應(yīng)商沒有依賴不安全的基于sms的身份驗證，而是利用智能手機作為軟件身份驗證的令牌。用于 PUSH 身份驗證的電話作為令牌是目前的首選方法，因為它提供了較低的總擁有成本(TCO)以及智能手機的普及帶來的更高的可訪問性。然而，即使是PUSH認(rèn)證或OTP認(rèn)證應(yīng)用程序也依然存在缺點。

首先，有些專業(yè)環(huán)境不允許使用手機，例如工廠車間、各種法律和政府辦公室等。其次，存在連接問題——這些應(yīng)用程序在無法訪問互聯(lián)網(wǎng)的情況下無法提供 OTP。最后，攻擊者渴望利用破壞這種身份驗證方法的可能性。美國安全意識培訓(xùn)平臺KnowBe4的 Roger Grimes證明 OTP 不能抵抗網(wǎng)絡(luò)釣魚攻擊，攻擊者可以通過中間人攻擊和社會工程方法（主要是網(wǎng)絡(luò)釣魚）攔截 OTP 身份驗證。智能手機也存在感染惡意軟件或越獄的危險，從而損害手機上安裝的身份驗證應(yīng)用程序的完整性。

針對 MFA 的攻擊

網(wǎng)絡(luò)犯罪分子越來越善于通過社會工程方法來破壞 MFA。例如，Lapsus$ 犯罪集團(tuán)執(zhí)行了 MFA 即時轟炸。Lapsus$ 通過這種技術(shù)向最終用戶的合法設(shè)備發(fā)出多個 MFA 請求，直到用戶簡單地接受身份驗證，從而允許犯罪集團(tuán)最終訪問該帳戶。在這種情況下，妥協(xié)的方法依賴于耗盡用戶的精力，直到他們批準(zhǔn)身份驗證請求，本質(zhì)上就是讓攻擊者訪問他們的帳戶。

用于防御網(wǎng)絡(luò)釣魚的 MFA

鑒于 PUSH OTP 和 OTP 易受網(wǎng)絡(luò)釣魚和社會工程攻擊，美國政府和 ENISA 都發(fā)布了指南，要求企業(yè)采用防御網(wǎng)絡(luò)釣魚的 MFA 方法。

在最近的零信任網(wǎng)絡(luò)安全戰(zhàn)略中，美國管理和預(yù)算辦公室 (OMB) 指出，機構(gòu)工作人員、承包商和合作伙伴需要具備網(wǎng)絡(luò)釣魚防護(hù)的 MFA。該指南表示，防御網(wǎng)絡(luò)釣魚的 MFA 可以保護(hù)這些人員免受復(fù)雜的在線攻擊。

FIDO 越來越受矚目

與ENISA 的建議類似，OMB 還建議企業(yè)應(yīng)考慮選擇FIDO2作為首選的防御網(wǎng)絡(luò)釣魚的MFA 方法：

• 為了實現(xiàn)零信任戰(zhàn)略的要求，OMB 表示，機構(gòu)需要部署聯(lián)邦政府的個人身份驗證 (PIV) 憑證或支持開放網(wǎng)絡(luò)身份驗證標(biāo)準(zhǔn)，即 FIDO2 的早期迭代。
• 盡管 FIDO 身份驗證變得越來越普遍，并且比 OTP 身份驗證更安全，但企業(yè)可能不一定需要對已經(jīng)部署的 OTP 身份驗證解決方案采取“淘汰和替換”方法。一些應(yīng)用程序和用戶，尤其是特定法規(guī)所涵蓋的應(yīng)用程序和用戶，確實需要以 FIDO 或基于證書的 PKI 身份驗證的形式提供防御網(wǎng)絡(luò)釣魚的 MFA。

總而言之，安全專家認(rèn)為 MFA 是減少憑據(jù)泄露的最有效方法。企業(yè)應(yīng)該認(rèn)識到上面討論的問題，專注于實施身份驗證方案，為員工提供更好的安全性以及增強登錄體驗。