多因素身份驗證(MFA)解決方案已經應用了許多年，它的出現是因為傳統的口令認證方式已經不能滿足安全級別較高的系統認證需求，需要通過多個認證方式結合來提高安全性。在“零信任”時代，MFA技術已經成為現代企業組織加強身份安全管理的必修課。但需要注意的是，在網絡安全這個領域中并沒有靈丹妙藥，對MFA而言也是如此。MFA并不能阻止所有的身份驗證攻擊，而且在很多情況下，MFA解決方案本身也會面臨黑客們的攻擊。

傳統MFA面臨的挑戰

MFA是一種防止密碼泄露和賬戶接管攻擊的強大工具，但惡意攻擊者已學會了如何通過社會工程伎倆輕松繞過MFA認證的控制。以下總結了一些針對傳統MFA解決方案的常見攻擊方法：

1、中間人攻擊

最簡單的MFA攻擊繞過方法就是在受害者連接到合法網站之前，誘騙他們連接到一個虛假的中間人(Man-in-the-MiddleAttack，MitM)代理網站。攻擊者誘騙潛在的受害者訪問虛假網站，然后用戶輸入憑據，向毫無戒備的用戶觸發MFA請求。一旦用戶通過移動設備確認推送通知，黑客就攔截驗證碼，并獲得賬戶訪問權限。攻擊者現在可以購買現成的網絡釣魚工具包，對MFA令牌執行中間人攻擊。

2、偽造身份驗證

對于很多MFA解決方案來說，這是一種難以阻止的攻擊類型之一。攻擊者可以誘騙目標訪問一個看起來像合法網站的虛假網站，用戶通常會使用他們的MFA進行登錄。但事實上，該網站只是簡單地模仿了整個MFA例程，從要求用戶輸入他們的MFA登錄，到表現得好像MFA登錄已被成功接受。然后，該網站可以發布額外的、虛假的操作和請求。對于MFA提供程序來說，很難防止偽造身份驗證事件的發生。

3、SIM卡交換攻擊

通過SMS文本發送一次性密碼是傳統MFA技術最常用的身份驗證方法之一。在SIM卡交換攻擊中，攻擊者冒充真正的用戶，佯稱原始的SIM卡丟失或被盜，說服電信提供商補發SIM卡。一旦攻擊者安裝新的SIM卡，可以用新卡來完成MFA檢查、重置賬戶憑據，從而非法訪問公司資源。去年，SIM卡交換攻擊造成的損失估計達到6800萬美元。

4、pass-the-cookie攻擊

cookie如同駕駛執照，讓用戶在失效期之前可以不受限制地訪問資源。pass-the-cookie攻擊是MitM的一種形式，攻擊者采用網絡釣魚手段收集會話cookie，該cookie在用戶瀏覽會話期間一直伴隨用戶。今年早些時候美國安全機構CISA表示，攻擊者經常結合使用pass-the-cookie、網絡釣魚和暴力攻擊等手段，對云服務賬戶進行破解攻擊。

5、恢復攻擊(Recovery Attacks)

在當前MFA解決方案不可用時，幾乎每個使用MFA的企業都會允許用戶暫時繞過他們的MFA解決方案來登錄系統或請求新的MFA解決方案。最常見的恢復方法是讓用戶發送一個確認URL鏈接到一個備用的電子郵件帳戶或鏈接。網絡釣魚犯罪分子通常會接管用戶的備用電子郵件帳戶，然后啟動恢復事件，將鏈接發送到受感染的電子郵件地址。

其他常見的恢復方法還包括“密碼重置問題”，數據顯示，20%的密碼恢復問題可以在黑客第一次嘗試時猜出來，六分之一的答案可以在一個人的社交媒體資料中找到。

6、存在漏洞的MFA

所有的MFA都涉及編程，而所有的編程都有漏洞。因此每個MFA解決方案都可能會有錯誤的代碼存在。調查顯示，幾乎每個MFA解決方案都有一個或多個漏洞，這些漏洞最終被公開，并被用來繞過MFA解決方案。

一些存在了數十年的流行MFA解決方案甚至已經發布了幾十個漏洞。即使企業所用的MFA解決方案沒有任何已知的、已發布的漏洞，也并不意味著它沒有漏洞。目前還沒有人學會如何編寫沒有漏洞的代碼。這是軟件應用系統的本質。

7、物理攻擊

任何與MFA相關的物理設備也都可能受到物理攻擊。也就是說，有物理和無線發射連接、信號和存儲設備可以被檢查以揭示身份秘密。研究發現，電子顯微鏡已被攻擊者用于在MFA解決方案和加密保護的硬盤驅動器上找到秘密加密密鑰。

新一代MFA的主要特點

MFA只有更有效地防御黑客攻擊，才有應用的意義。在此背景下，能夠對抗攻擊的新一代MFA技術將會得到更廣泛的關注和應用。為了讓MFA技術應用更加安全，企業需要采取很多措施來降低MFA方案被攻擊的可能性，包括向用戶登錄環節添加更多的信息和上下文，包括設備名稱、全局ID和設備位置等信息。

相比傳統MFA方案，新一代MFA技術具有以下特點：

● 具有快速在線身份驗證(FIDO2)機制。這是一種基于公鑰密碼學的全球認證標準，使用FIDO身份驗證機制，用戶可以利用稱為“passkey”的防網絡釣魚憑據登錄。Passkey可以跨設備同步，也可以綁定到平臺或安全密鑰，它比密碼和短信OTP更安全，對使用者來說更加安全，對服務提供商來說也更容易部署和管理。

● 采用基于證書的身份驗證(CBA)方式。新一代MFA方案允許用戶使用客戶端證書而不是密碼進行身份驗證。信任是由證書授權中心(CA)頒發的，自簽名證書也在使用中，但不提供與受信任CA相同級別的驗證。CBA方式可以與其他方法一起使用，以創建一種能夠對抗網絡攻擊和釣魚的MFA新方式。

● 依托公鑰基礎設施(PKI)體系。PKI體系是建立和管理公鑰加密的所有資產的總稱，它允許使用者對數據進行簽名和加密的策略、流程和技術的集合，它是保障所有值得信賴的在線通信設備安全運行的基礎。

● 結合零信任訪問(ZTA)和用戶實體行為分析(UEBA)技術。零信任技術可以進一步增強新一代MFA方案的安全彈性，包括向用戶登錄環節添加更多的信息和上下文，包括設備名稱、全局ID和設備位置等信息，這樣可以讓用戶對他們登錄訪問的對象更放心。

杜絕威脅的根源才是解決問題的核心。因此在對抗MFA攻擊活動中，企業組織應該使用更成熟的技術來構建MFA，并對重置和繞過密碼的流程進行嚴格的管理。此外，無論組織的MFA解決方案功能多強大，安全團隊都需要對所有員工進行充分的安全意識培訓，以及時發現和報告身份驗證過程中的異常活動。

參考鏈接：

https://www.helpnetsecurity.com/2024/01/19/mfa-bypass/。

https://blog.knowbe4.com/many-ways-to-hack-mfa。

https://www.securityinfowatch.com/cybersecurity/information-security/breach-detection/article/21229613/how-hackers-bypass-mfa-and-ways-to-stop-them。