在計算的早期,身份驗證很簡單,但隨著時間的推移,這種方法變得越來越複雜。例如,像 Kerberos 這樣的現代基於密碼的身份驗證系統實際上不再傳輸密碼;
但即使有了這些改進,基於用戶名和密碼的身份驗證方法仍然有一個關鍵弱點:如果有人知道了另一個用戶的密碼,他們就無法與其他用戶區分開來。真正的用戶。儘管比爾蓋茨在將近 20 年前就預測了密碼的消亡,但密碼仍然是工作和家庭中一系列服務的默認身份驗證方法。
早在 2022 年 12 月,PayPal 就警告其客戶未經授權的第三方訪問多個帳戶可能會導致個人信息洩露。該事件立即引發了對 PayPal 基本安全規定的質疑,以及為什麼在出現像 PayPal 這樣的敏感服務時默認不強制執行多重身份驗證 (MFA) 的問題。
在此類事件中,主要原因是賬戶持有人使用相同的多個站點和應用程序的 ID/密碼組合。根據最近的一個身份 調查顯示,84% 的受訪者表示他們有一個最喜歡的密碼。這種密碼噴射簡化了威脅行為者對敏感信息的訪問,尤其是在沒有額外的身份驗證層保護的情況下。 Microsoft 身份安全副總裁 Alex Weinert 在專家會議 ( TEC) 2022 強調密碼噴灑攻擊從 2018 年的 35 萬次增加到 2022 年的超過 500 萬次。他還指出,在未啟用 MFA 的情況下,妥協的可能性增加了 20 多倍。
因此,MFA 正在成為網絡安全戰略的重要組成部分,通過解決用戶名和密碼身份驗證的主要弱點使組織及其用戶受益。
隨著 Microsoft 等公司調整自己的 MFA 識別建議,很快啟用一種稱為號碼匹配的新身份驗證方法,為高危用戶實施 MFA 變得至關重要,並且受到行業領導者的強烈建議。
使用號碼匹配
根據美國網絡安全和基礎設施安全局ty Agency (CISA),對於可能無法立即實施抗網絡釣魚 MFA 的組織來說,號碼匹配是最好的臨時緩解措施。號碼匹配要求用戶將登錄屏幕中自動生成的號碼與其 Authenticator 應用程序中的號碼進行匹配。在指南,CISA 建議使用基於號碼匹配的多因素身份驗證作為對雲應用程序的額外保護。一些供應商已經在他們的 MFA 實施中包括數字匹配,雖然 Microsoft 目前沒有強制要求基於數字的多因素,但他們將於 2023 年 2 月 27 日開始推出強制要求。
在除了號碼匹配 MFA,建議管理員定期審查審計日誌和失敗的多因素身份驗證,並鼓勵工作人員報告任何異常情況,具體說明事件發生的時間,MFA 提示,供取證人員審查。
但是,始終要牢記 MFA 疲勞以及網絡釣魚等其他攻擊媒介,並遵循 CISA 關於實施抗網絡釣魚 MFA 以獲得更好的安全保護的建議。
抗網絡釣魚 MFA 實施
多因素身份驗證有多種變體,但幾乎所有變體都有一個弱點:需要人工交互。在需要人工交互的地方,可能會發生網絡釣魚。
對最有問題的 MFA 形式的常見響應和答案是抗網絡釣魚 MFA——CISA 的黃金網絡安全標準,它從等式中消除了人為因素。
最廣泛使用的防網絡釣魚身份驗證是 FIDO/WebAuthn 身份驗證,主要瀏覽器、操作系統和智能手機都支持該身份驗證。通過防網絡釣魚身份驗證,通過與外部身份驗證器(例如 USB 安全密鑰、用戶擁有的設備或憑據管理 API)相關聯的強密碼術替換密碼。基於公鑰密碼學,防釣魚MFA消除了共享代碼的使用,降低了攻擊者攔截訪問代碼並重放它們的能力。
當然,選擇此功能時需要考慮成本和預算方法論,因為令牌的實現確實需要時間,建議有多個令牌作為備份。實物代幣還要求用戶記得持有它們,而對於我們中的許多人來說,手機是更自然的物品。建議公司考慮可幫助用戶隨身攜帶令牌並使他們在需要時更容易拿到令牌的設備。
防欺騙
但從積極的方面來看,抗網絡釣魚的 MFA 實施可確保多因素無法被欺騙。在實施抗網絡釣魚 MFA 時,公司需要調查他們希望保護的應用程序是否支持這些增強的多因素實施。有些將不支持這些額外的令牌,而只會依賴應用程序令牌。
可能還存在學習曲線和實施時間,這可能導致使用基於應用程序的多因素作為臨時措施以確保保護到位,然後部署基於令牌的方法以提供額外保護。
毫無疑問,多因素身份驗證通過顯著增強安全性使組織和用戶受益。但是,始終要求每個人進行多因素身份驗證幾乎肯定會讓用戶感到沮喪並損害生產力。採取平衡的方法很重要。
最好將 MFA 理解為貴組織更廣泛的安全策略的一個方面。許多專家現在建議根據零信任原則制定安全策略並使用 Azure AD 條件訪問等工具,這為您提供了很大的靈活性,可以明智地應用 MFA。
使用 網絡攻擊數量繼續飆升並且報告 發現 20% 的公司表示網絡攻擊威脅到他們的償付能力、實施MFA 是保護企業和公司聲譽免受網絡威脅的重要一步。雖然它不是解決所有網絡漏洞的靈丹妙藥,但它是緩解威脅的必要手段。
圖片來源: Jirsak/depositphotos
Alistair Holmes Quest Software
首席解決方案架構師