多因素身份驗證(MFA) 正在成為企業跨所有部門的所有業務的強制性安全要求。企業是否應該選擇在線快速身份驗證 (FIDO) 而不是一次性密碼 (OTP) 作為其身份驗證的方法？

基于短信（SMS）的一次性密碼驗證

MFA 的一種方法是基于文本或 SMS 的 OTP。美國國家科學技術研究院 (NIST) 和歐盟網絡安全局 (ENISA) 指出，SMS 是所有身份驗證方法中最不安全的。NIST 采取了一種謹慎的方法，將基于 SMS 的身份驗證稱為受限制的，這也意味著它在當今的威脅環境中不太安全。ENISA 的立場更堅定，建議企業避免使用 SMS，并建議將 FIDO2 作為首選的 MFA 機制。

為什么 SMS 對于 MFA 來說是個問題？

研究表明，通過重定向或大量攔截 SMS 消息可以降低 MFA 的時間成本和精力。SMS 信令協議中的這一弱點導致2017 年發生了銀行違規事件。五年過去了，一些企業仍在使用基于 SMS 的身份驗證。雖然與基于 SMS 的代碼相結合的密碼具有比單獨使用密碼更高的保護級別，但它不具有其他系統（例如 FIDO 或智能卡）提供的設備身份驗證機制所固有的額外強度。

電話即令牌(Phone-As-A-Token)認證 OTP

許多供應商沒有依賴不安全的基于sms的身份驗證，而是利用智能手機作為軟件身份驗證的令牌。用于 PUSH 身份驗證的電話作為令牌是目前的首選方法，因為它提供了較低的總擁有成本(TCO)以及智能手機的普及帶來的更高的可訪問性。然而，即使是PUSH認證或OTP認證應用程序也依然存在缺點。

首先，有些專業環境不允許使用手機，例如工廠車間、各種法律和政府辦公室等。其次，存在連接問題——這些應用程序在無法訪問互聯網的情況下無法提供 OTP。最后，攻擊者渴望利用破壞這種身份驗證方法的可能性。美國安全意識培訓平臺KnowBe4的 Roger Grimes證明 OTP 不能抵抗網絡釣魚攻擊，攻擊者可以通過中間人攻擊和社會工程方法（主要是網絡釣魚）攔截 OTP 身份驗證。智能手機也存在感染惡意軟件或越獄的危險，從而損害手機上安裝的身份驗證應用程序的完整性。

針對 MFA 的攻擊

網絡犯罪分子越來越善于通過社會工程方法來破壞 MFA。例如，Lapsus$ 犯罪集團執行了 MFA 即時轟炸。Lapsus$ 通過這種技術向最終用戶的合法設備發出多個 MFA 請求，直到用戶簡單地接受身份驗證，從而允許犯罪集團最終訪問該帳戶。在這種情況下，妥協的方法依賴于耗盡用戶的精力，直到他們批準身份驗證請求，本質上就是讓攻擊者訪問他們的帳戶。

用于防御網絡釣魚的 MFA

鑒于 PUSH OTP 和 OTP 易受網絡釣魚和社會工程攻擊，美國政府和 ENISA 都發布了指南，要求企業采用防御網絡釣魚的 MFA 方法。

在最近的零信任網絡安全戰略中，美國管理和預算辦公室 (OMB) 指出，機構工作人員、承包商和合作伙伴需要具備網絡釣魚防護的 MFA。該指南表示，防御網絡釣魚的 MFA 可以保護這些人員免受復雜的在線攻擊。

FIDO 越來越受矚目

與ENISA 的建議類似，OMB 還建議企業應考慮選擇FIDO2作為首選的防御網絡釣魚的MFA 方法：

• 為了實現零信任戰略的要求，OMB 表示，機構需要部署聯邦政府的個人身份驗證 (PIV) 憑證或支持開放網絡身份驗證標準，即 FIDO2 的早期迭代。
• 盡管 FIDO 身份驗證變得越來越普遍，并且比 OTP 身份驗證更安全，但企業可能不一定需要對已經部署的 OTP 身份驗證解決方案采取“淘汰和替換”方法。一些應用程序和用戶，尤其是特定法規所涵蓋的應用程序和用戶，確實需要以 FIDO 或基于證書的 PKI 身份驗證的形式提供防御網絡釣魚的 MFA。

總而言之，安全專家認為 MFA 是減少憑據泄露的最有效方法。企業應該認識到上面討論的問題，專注于實施身份驗證方案，為員工提供更好的安全性以及增強登錄體驗。