多因素身份验证(MFA)继续体现企业IT安全实践中最好和最差的方面。正如Roger Grimes三年前关于双因素身份验证黑客攻击的的文章所言,MFA实现良好就是有效的,但只要IT经理一走捷径,MFA就形同虚设,可能造成灾难性后果。而且,尽管越来越多的公司逐渐采用各种MFA方法保护用户登录,其应用仍远未达到普及的程度。事实上,微软去年的调查发现,99.9%的被盗账户根本没有采用MFA,仅11%的企业账户受某种MFA方法的保护。
吉林ssl适用于网站、小程序/APP、API接口等需要进行数据传输应用场景,ssl证书未来市场广阔!成为成都创新互联的ssl证书销售渠道,可以享受市场价格4-6折优惠!如果有意向欢迎电话联系或者加微信:13518219792(备注:SSL证书合作)期待与您的合作!
对MFA推广应用而言,新冠肺炎疫情即是推手也是阻碍。疫情彻底改变了诸多企业用户的日常计算模式,封城和远程办公潮为扩大MFA部署提供了机会——尽管同时也为黑客提供了新的网络钓鱼诱饵。
标普全球市场财智(S&P Global Market Intelligence)451 Research 高级研究分析师Garrett Bekker表示,由于太多人远程办公,部署MFA的企业数量从去年调查时的约一半提升到今年调查时的61%。然而,大多数企业的MFA应用仍然有限。不过,MFA已经成为企业今后的首要任务了,优先级比VPN还高。
最新版的威瑞森《数据泄露调查报告》中,美国特勤局网络入侵响应主管Bernard Wilson称:“疫情期间沦为网络攻击受害者的企业中,忽视MFA和虚拟专用网实现的企业占了大部分。”
除了新冠肺炎疫情,还有其他因素在推动MFA普及:
然而,最近的攻击和事件显示,在实现双因素和多因素身份验证方面,安全人员还有很多工作要做。恶意黑客掌握了多条利用MFA漏洞的途径。
(1) 基于短信的中间人攻击。
MFA需要解决的最大问题存在于其最常见的一种实现方式:通过短信发送一次性密码。
黑客很容易入侵用户智能手机,暂时将手机号分配到其控制的手机上。可以通过结合RSA SecureID硬件令牌和公共网络摄像头来利用这一弱点。尽管这种方式可能颇为极端,但短信入侵一直在损害MFA登录的总体可用性。
实现此类攻击的方法还有很多。其中一种是贿赂收买手机客服代理来重新分配手机号。另一种方式是利用商业服务获得手机账户访问权。只要支付16美元的服务费,黑客就可以从路由指定号码的所有短信,轻松拿下手机账户。
(2) 供应链攻击。
近期最臭名昭著的软件供应链攻击是SolarWinds攻击。该攻击致使各种各样的代码组件遭到感染,目标公司在毫无所觉的情况下就下载了带后门的组件。防止此类攻击的方法也很多,其中包括运行时源代码扫描。
正如Gartner分析师在2021年1月的一篇博客文章中所指出的,“注意,SolarWinds攻击之所以被发现,是因为一名警报安全人员想知道为什么某员工要用第二部手机注册多因子身份验证。这意味着攻击者的目标是利用身份作为攻击途径,尤其是MFA。”
此类攻击一直是个问题,今年4月Codecov的Bash Uploader工具中就发现了这样的问题。由于Docker镜像安全松懈,黑客成功篡改了身份验证凭据。该工具修改了代码中插入的环境变量,而想要追踪这一问题就得跟踪命令与控制服务器的目标IP地址。
(3) 利用被盗MFA绕过身份验证工作流。
Liferay DXP v7.3中MFA模块的拒绝服务漏洞是又一个MFA弱点例证。这个最近发现的漏洞可使任意注册用户通过修改用户一次性口令通过身份验证,造成目标用户无法登录。该漏洞现已修复。
(4) cookie传递攻击。
这种攻击利用浏览器cookie和在cookie中存储身份验证信息的网站。一开始,这种方法是为了方便用户,让用户可以保持应用登录状态。但如果黑客可以抽取这些数据,他们就能拿下你的账户。
(5) 服务器端伪造。
尽管不完全是MFA问题,但Hafnium或许是近年来最大的漏洞利用,利用了包括服务器端伪造和任意文件写入漏洞在内的一系列攻击,完全绕过了微软Exchange服务器的身份验证机制。该攻击涉及Exchange服务器存在的四个零日漏洞。微软为此发布了一系列补丁。
这些不过是著名漏洞利用案例中的一部分,表明我们需要恰当而安全地实现MFA。451 Research的Bekker称:“MFA实现不好就像戴了副廉价墨镜,根本起不到什么防护作用。而且,MFA未能在企业普及的最大问题,就是其糟糕的用户体验。”
他还指出了另一个问题,“MFA仍然是个二元选择,就好像夜总会的保安:一旦进入企业网络内部,你就可以为所欲为,没人会知道你到底在干什么。MFA如果要起到应有的作用,就必须配合零信任和持续的身份验证技术。”许多安全供应商如今将MFA与自适应身份验证产品结合到一起,但其实现过于复杂。
账户恢复选项也值得进一步讨论。很多企业为普通账户登录设置了牢固的MFA防护,但如果用户忘记了自己的口令,可以通过发送短信密码开启账户恢复过程。这就是黑客可以趁虚而入的地方了。
阿卡迈行业战略顾问Gerhard Giese在去年的一篇文章中指出了这一点,描述了MFA未必总能防止凭证填充的情况。他说,IT经理需要“重新审查自己的身份验证工作流和登录界面,确保攻击者不会通过查询Web服务器的响应来发现有效凭证,还应实现机器人管理解决方案,让攻击者没那么容易突破。”
今年年初的时候,美国计算机应急响应小组发布了关于潜在MFA漏洞的警报,其中提到了网络钓鱼和登录凭证暴力破解,还建议对包括账户恢复在内的所有身份验证活动实施MFA,以及改善特权访问的安全状况。
MFA技术应该成为企业安全关键基础设施的一部分。近期的攻击案例,以及来自政府和私营产业领域专家的敦促,应为MFA的明智实现提供更多动力。
网站标题:五种攻击方法拿下双因素验证
分享网址:http://www.mswzjz.com/qtweb/news1/183501.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联