多因素身份驗證（MFA）解決方案已經(jīng)應(yīng)用了許多年，它的出現(xiàn)是因為傳統(tǒng)的口令認(rèn)證方式已經(jīng)不能滿足安全級別較高的系統(tǒng)認(rèn)證需求，需要通過多個認(rèn)證方式結(jié)合來提高安全性。雖然一些安全廠商聲稱通過MFA技術(shù)可以阻止99.99%的賬戶濫用攻擊，但MFA在實際應(yīng)用中的表現(xiàn)還遠(yuǎn)遠(yuǎn)稱不上完美，攻擊者總能找到繞過其防御的方法。

針對MFA的常見攻擊方式

據(jù)Verizon研究報告估計，82%的網(wǎng)絡(luò)攻擊歸咎于人為錯誤（憑據(jù)被盜、網(wǎng)絡(luò)釣魚和濫用等），而目前針對MFA繞過的常見攻擊方法也充分考慮了這一點。

• 中間人（MitM）攻擊：攻擊者誘騙潛在的受害者訪問虛假網(wǎng)站，然后用戶輸入憑據(jù)，向毫無戒備的用戶觸發(fā)MFA請求。一旦用戶通過移動設(shè)備確認(rèn)推送通知，黑客就攔截驗證碼，并獲得賬戶訪問權(quán)限。攻擊者現(xiàn)在可以購買現(xiàn)成的網(wǎng)絡(luò)釣魚工具包，對MFA令牌執(zhí)行中間人攻擊。
• SIM卡交換攻擊：通過SMS文本發(fā)送一次性密碼是傳統(tǒng)MFA技術(shù)最常用的身份驗證方法之一。在SIM卡交換攻擊中，攻擊者冒充真正的用戶，佯稱原始的SIM卡丟失或被盜，說服電信提供商補(bǔ)發(fā)SIM卡。一旦攻擊者安裝新的SIM卡，可以用新卡來完成MFA檢查、重置賬戶憑據(jù)，從而非法訪問公司資源。去年，SIM卡交換攻擊造成的損失估計達(dá)到6800萬美元。
• pass-the-cookie攻擊：cookie如同駕駛執(zhí)照，讓用戶在失效期之前可以不受限制地訪問資源。pass-the-cookie攻擊是MitM的一種形式，攻擊者采用網(wǎng)絡(luò)釣魚手段收集會話cookie，該cookie在用戶瀏覽會話期間一直伴隨用戶。今年早些時候美國安全機(jī)構(gòu)CISA表示，攻擊者經(jīng)常結(jié)合使用pass-the-cookie、網(wǎng)絡(luò)釣魚和暴力攻擊等手段，對云服務(wù)賬戶進(jìn)行破解攻擊。
• MFA疲勞：據(jù)報道，一些攻擊者開始使用社會工程伎倆，向Office365用戶發(fā)送大量的MFA推送通知（即通知轟炸）。面對大量通知，用戶由于分心或不知所措而誤以為是哪里出了岔子，或者將它們與正常的通知相混淆，因而攻擊者得以越過MFA防御機(jī)制，闖入賬戶或系統(tǒng)設(shè)備。愿者上鉤式網(wǎng)絡(luò)釣魚（consent phishing）是這種手段的另一種形式，可在默寫特定情況下實現(xiàn)MFA安全機(jī)制繞過。

MFA該如何改進(jìn)？

MFA只有更有效地防御黑客攻擊，才有應(yīng)用的意義。以下總結(jié)了三個針對MFA安全能力提升的最佳實踐。

1、對現(xiàn)有MFA方案進(jìn)行升級

組織可以采取很多措施來降低目前的MFA被網(wǎng)絡(luò)釣魚的可能性，包括向用戶登錄環(huán)節(jié)添加更多的信息和上下文，包括設(shè)備名稱、全局ID和設(shè)備位置等信息，這樣可以讓用戶對他們登錄訪問的對象更放心。MFA 解決方案還必須綁定到特定的URL、設(shè)備和主機(jī)，這樣當(dāng)遇到中間人攻擊時，解決方案將不允許攻擊者訪問資源。

此外，可以使用成熟的加密技術(shù)來構(gòu)建MFA，并對重置和繞過密碼的流程進(jìn)行嚴(yán)格的管理。同時，企業(yè)應(yīng)確保會話cookie、安全令牌或種子值之類的認(rèn)證信息在24小時內(nèi)到期失效。

2、為MFA增加防御網(wǎng)絡(luò)釣魚功能

美國政府一直要求所有政府部門使用“防御網(wǎng)絡(luò)釣魚”的MFA。這意味著組織必須避免使用任何很容易被網(wǎng)絡(luò)釣魚的MFA技術(shù)，比如一次性密碼、SMS文本消息、動態(tài)碼以及推送通知。基于FIDO2（線上快速身份驗證服務(wù)）框架的MFA方案會更加可靠，該框架讓用戶可以使用設(shè)備端的指紋讀取器、攝像頭及其他設(shè)備級/硬件安全檢查機(jī)制，解鎖以訪問資源。由于憑據(jù)并不離開用戶的設(shè)備，并不存儲在任何地方，因此這消除了網(wǎng)絡(luò)釣魚和憑據(jù)被盜的風(fēng)險。

3、加強(qiáng)MFA應(yīng)用的安全意識

杜絕威脅的根源是解決問題的核心。例如在應(yīng)對勒索攻擊中，最重要的環(huán)節(jié)是要了解勒索軟件是如何潛入的。同樣，在對抗MFA攻擊活動中，網(wǎng)絡(luò)釣魚才是需要解決的關(guān)鍵根本原因。無論組織的MFA解決方案功能多強(qiáng)大，所有利益相關(guān)者必須了解MFA的優(yōu)缺點，以及黑客會如何繞過MFA防御機(jī)制。必須對員工進(jìn)行培訓(xùn)，以發(fā)現(xiàn)和報告異常活動；員工須特別小心他們可能遇到的社會工程陷阱。此外，他們應(yīng)該使用足夠強(qiáng)壯的密碼，以避免憑據(jù)被盜。

對于有條件的企業(yè)，還可以選擇縱深防御方法，部署基于FIDO2的MFA，從而消除標(biāo)準(zhǔn)化MFA認(rèn)證可能存在的風(fēng)險。