多因素身份验证(MFA) 正在成为企业跨所有部门的所有业务的强制性安全要求。企业是否应该选择在线快速身份验证 (FIDO) 而不是一次性密码 (OTP) 作为其身份验证的方法?
基于短信(SMS)的一次性密码验证
MFA 的一种方法是基于文本或 SMS 的 OTP。美国国家科学技术研究院 (NIST) 和欧盟网络安全局 (ENISA) 指出,SMS 是所有身份验证方法中最不安全的。NIST 采取了一种谨慎的方法,将基于 SMS 的身份验证称为受限制的,这也意味着它在当今的威胁环境中不太安全。ENISA 的立场更坚定,建议企业避免使用 SMS,并建议将 FIDO2 作为首选的 MFA 机制。
为什么 SMS 对于 MFA 来说是个问题?
研究表明,通过重定向或大量拦截 SMS 消息可以降低 MFA 的时间成本和精力。SMS 信令协议中的这一弱点导致2017 年发生了银行违规事件。五年过去了,一些企业仍在使用基于 SMS 的身份验证。虽然与基于 SMS 的代码相结合的密码具有比单独使用密码更高的保护级别,但它不具有其他系统(例如 FIDO 或智能卡)提供的设备身份验证机制所固有的额外强度。
电话即令牌(Phone-As-A-Token)认证 OTP
许多供应商没有依赖不安全的基于sms的身份验证,而是利用智能手机作为软件身份验证的令牌。用于 PUSH 身份验证的电话作为令牌是目前的首选方法,因为它提供了较低的总拥有成本(TCO)以及智能手机的普及带来的更高的可访问性。然而,即使是PUSH认证或OTP认证应用程序也依然存在缺点。
首先,有些专业环境不允许使用手机,例如工厂车间、各种法律和政府办公室等。其次,存在连接问题——这些应用程序在无法访问互联网的情况下无法提供 OTP。最后,攻击者渴望利用破坏这种身份验证方法的可能性。美国安全意识培训平台KnowBe4的 Roger Grimes证明 OTP 不能抵抗网络钓鱼攻击,攻击者可以通过中间人攻击和社会工程方法(主要是网络钓鱼)拦截 OTP 身份验证。智能手机也存在感染恶意软件或越狱的危险,从而损害手机上安装的身份验证应用程序的完整性。
针对 MFA 的攻击
网络犯罪分子越来越善于通过社会工程方法来破坏 MFA。例如,Lapsus$ 犯罪集团执行了 MFA 即时轰炸。Lapsus$ 通过这种技术向最终用户的合法设备发出多个 MFA 请求,直到用户简单地接受身份验证,从而允许犯罪集团最终访问该帐户。在这种情况下,妥协的方法依赖于耗尽用户的精力,直到他们批准身份验证请求,本质上就是让攻击者访问他们的帐户。
用于防御网络钓鱼的 MFA
鉴于 PUSH OTP 和 OTP 易受网络钓鱼和社会工程攻击,美国政府和 ENISA 都发布了指南,要求企业采用防御网络钓鱼的 MFA 方法。
在最近的零信任网络安全战略中,美国管理和预算办公室 (OMB) 指出,机构工作人员、承包商和合作伙伴需要具备网络钓鱼防护的 MFA。该指南表示,防御网络钓鱼的 MFA 可以保护这些人员免受复杂的在线攻击。
FIDO 越来越受瞩目
与ENISA 的建议类似,OMB 还建议企业应考虑选择FIDO2作为首选的防御网络钓鱼的MFA 方法:
- 为了实现零信任战略的要求,OMB 表示,机构需要部署联邦政府的个人身份验证 (PIV) 凭证或支持开放网络身份验证标准,即 FIDO2 的早期迭代。
- 尽管 FIDO 身份验证变得越来越普遍,并且比 OTP 身份验证更安全,但企业可能不一定需要对已经部署的 OTP 身份验证解决方案采取“淘汰和替换”方法。一些应用程序和用户,尤其是特定法规所涵盖的应用程序和用户,确实需要以 FIDO 或基于证书的 PKI 身份验证的形式提供防御网络钓鱼的 MFA。
总而言之,安全专家认为 MFA 是减少凭据泄露的最有效方法。企业应该认识到上面讨论的问题,专注于实施身份验证方案,为员工提供更好的安全性以及增强登录体验。