多因素身份驗證(MFA)解決方案已經(jīng)應用了許多年，它的出現(xiàn)是因為傳統(tǒng)的口令認證方式已經(jīng)不能滿足安全級別較高的系統(tǒng)認證需求，需要通過多個認證方式結(jié)合來提高安全性。在“零信任”時代，MFA技術(shù)已經(jīng)成為現(xiàn)代企業(yè)組織加強身份安全管理的必修課。但需要注意的是，在網(wǎng)絡(luò)安全這個領(lǐng)域中并沒有靈丹妙藥，對MFA而言也是如此。MFA并不能阻止所有的身份驗證攻擊，而且在很多情況下，MFA解決方案本身也會面臨黑客們的攻擊。

傳統(tǒng)MFA面臨的挑戰(zhàn)

MFA是一種防止密碼泄露和賬戶接管攻擊的強大工具，但惡意攻擊者已學會了如何通過社會工程伎倆輕松繞過MFA認證的控制。以下總結(jié)了一些針對傳統(tǒng)MFA解決方案的常見攻擊方法：

1、中間人攻擊

最簡單的MFA攻擊繞過方法就是在受害者連接到合法網(wǎng)站之前，誘騙他們連接到一個虛假的中間人(Man-in-the-MiddleAttack，MitM)代理網(wǎng)站。攻擊者誘騙潛在的受害者訪問虛假網(wǎng)站，然后用戶輸入憑據(jù)，向毫無戒備的用戶觸發(fā)MFA請求。一旦用戶通過移動設(shè)備確認推送通知，黑客就攔截驗證碼，并獲得賬戶訪問權(quán)限。攻擊者現(xiàn)在可以購買現(xiàn)成的網(wǎng)絡(luò)釣魚工具包，對MFA令牌執(zhí)行中間人攻擊。

2、偽造身份驗證

對于很多MFA解決方案來說，這是一種難以阻止的攻擊類型之一。攻擊者可以誘騙目標訪問一個看起來像合法網(wǎng)站的虛假網(wǎng)站，用戶通常會使用他們的MFA進行登錄。但事實上，該網(wǎng)站只是簡單地模仿了整個MFA例程，從要求用戶輸入他們的MFA登錄，到表現(xiàn)得好像MFA登錄已被成功接受。然后，該網(wǎng)站可以發(fā)布額外的、虛假的操作和請求。對于MFA提供程序來說，很難防止偽造身份驗證事件的發(fā)生。

3、SIM卡交換攻擊

通過SMS文本發(fā)送一次性密碼是傳統(tǒng)MFA技術(shù)最常用的身份驗證方法之一。在SIM卡交換攻擊中，攻擊者冒充真正的用戶，佯稱原始的SIM卡丟失或被盜，說服電信提供商補發(fā)SIM卡。一旦攻擊者安裝新的SIM卡，可以用新卡來完成MFA檢查、重置賬戶憑據(jù)，從而非法訪問公司資源。去年，SIM卡交換攻擊造成的損失估計達到6800萬美元。

4、pass-the-cookie攻擊

cookie如同駕駛執(zhí)照，讓用戶在失效期之前可以不受限制地訪問資源。pass-the-cookie攻擊是MitM的一種形式，攻擊者采用網(wǎng)絡(luò)釣魚手段收集會話cookie，該cookie在用戶瀏覽會話期間一直伴隨用戶。今年早些時候美國安全機構(gòu)CISA表示，攻擊者經(jīng)常結(jié)合使用pass-the-cookie、網(wǎng)絡(luò)釣魚和暴力攻擊等手段，對云服務(wù)賬戶進行破解攻擊。

5、恢復攻擊(Recovery Attacks)

在當前MFA解決方案不可用時，幾乎每個使用MFA的企業(yè)都會允許用戶暫時繞過他們的MFA解決方案來登錄系統(tǒng)或請求新的MFA解決方案。最常見的恢復方法是讓用戶發(fā)送一個確認URL鏈接到一個備用的電子郵件帳戶或鏈接。網(wǎng)絡(luò)釣魚犯罪分子通常會接管用戶的備用電子郵件帳戶，然后啟動恢復事件，將鏈接發(fā)送到受感染的電子郵件地址。

其他常見的恢復方法還包括“密碼重置問題”，數(shù)據(jù)顯示，20%的密碼恢復問題可以在黑客第一次嘗試時猜出來，六分之一的答案可以在一個人的社交媒體資料中找到。

6、存在漏洞的MFA

所有的MFA都涉及編程，而所有的編程都有漏洞。因此每個MFA解決方案都可能會有錯誤的代碼存在。調(diào)查顯示，幾乎每個MFA解決方案都有一個或多個漏洞，這些漏洞最終被公開，并被用來繞過MFA解決方案。

一些存在了數(shù)十年的流行MFA解決方案甚至已經(jīng)發(fā)布了幾十個漏洞。即使企業(yè)所用的MFA解決方案沒有任何已知的、已發(fā)布的漏洞，也并不意味著它沒有漏洞。目前還沒有人學會如何編寫沒有漏洞的代碼。這是軟件應用系統(tǒng)的本質(zhì)。

7、物理攻擊

任何與MFA相關(guān)的物理設(shè)備也都可能受到物理攻擊。也就是說，有物理和無線發(fā)射連接、信號和存儲設(shè)備可以被檢查以揭示身份秘密。研究發(fā)現(xiàn)，電子顯微鏡已被攻擊者用于在MFA解決方案和加密保護的硬盤驅(qū)動器上找到秘密加密密鑰。

新一代MFA的主要特點

MFA只有更有效地防御黑客攻擊，才有應用的意義。在此背景下，能夠?qū)构舻男乱淮鶰FA技術(shù)將會得到更廣泛的關(guān)注和應用。為了讓MFA技術(shù)應用更加安全，企業(yè)需要采取很多措施來降低MFA方案被攻擊的可能性，包括向用戶登錄環(huán)節(jié)添加更多的信息和上下文，包括設(shè)備名稱、全局ID和設(shè)備位置等信息。

相比傳統(tǒng)MFA方案，新一代MFA技術(shù)具有以下特點：

● 具有快速在線身份驗證(FIDO2)機制。這是一種基于公鑰密碼學的全球認證標準，使用FIDO身份驗證機制，用戶可以利用稱為“passkey”的防網(wǎng)絡(luò)釣魚憑據(jù)登錄。Passkey可以跨設(shè)備同步，也可以綁定到平臺或安全密鑰，它比密碼和短信OTP更安全，對使用者來說更加安全，對服務(wù)提供商來說也更容易部署和管理。

● 采用基于證書的身份驗證(CBA)方式。新一代MFA方案允許用戶使用客戶端證書而不是密碼進行身份驗證。信任是由證書授權(quán)中心(CA)頒發(fā)的，自簽名證書也在使用中，但不提供與受信任CA相同級別的驗證。CBA方式可以與其他方法一起使用，以創(chuàng)建一種能夠?qū)咕W(wǎng)絡(luò)攻擊和釣魚的MFA新方式。

● 依托公鑰基礎(chǔ)設(shè)施(PKI)體系。PKI體系是建立和管理公鑰加密的所有資產(chǎn)的總稱，它允許使用者對數(shù)據(jù)進行簽名和加密的策略、流程和技術(shù)的集合，它是保障所有值得信賴的在線通信設(shè)備安全運行的基礎(chǔ)。

● 結(jié)合零信任訪問(ZTA)和用戶實體行為分析(UEBA)技術(shù)。零信任技術(shù)可以進一步增強新一代MFA方案的安全彈性，包括向用戶登錄環(huán)節(jié)添加更多的信息和上下文，包括設(shè)備名稱、全局ID和設(shè)備位置等信息，這樣可以讓用戶對他們登錄訪問的對象更放心。

杜絕威脅的根源才是解決問題的核心。因此在對抗MFA攻擊活動中，企業(yè)組織應該使用更成熟的技術(shù)來構(gòu)建MFA，并對重置和繞過密碼的流程進行嚴格的管理。此外，無論組織的MFA解決方案功能多強大，安全團隊都需要對所有員工進行充分的安全意識培訓，以及時發(fā)現(xiàn)和報告身份驗證過程中的異?；顒?。

參考鏈接：

https://www.helpnetsecurity.com/2024/01/19/mfa-bypass/。

https://blog.knowbe4.com/many-ways-to-hack-mfa。

https://www.securityinfowatch.com/cybersecurity/information-security/breach-detection/article/21229613/how-hackers-bypass-mfa-and-ways-to-stop-them。