歪招盛行,多元素身份验证岌岌可危
发布时间:2022-04-10 03:43:04 所属栏目:安全 来源:互联网
导读:多因素身份验证(MFA)是防止账户接管的最有效核心防御措施之一。除了要求提供用户名和密码,MFA还要求用户必须使用额外的验证因素:指纹、物理安全密钥,或者一次性密码;否则就不能登录账户。本文中的任何内容都不应解读为在说MFA不重要。 也就是说,某些形式
|
多因素身份验证(MFA)是防止账户接管的最有效核心防御措施之一。除了要求提供用户名和密码,MFA还要求用户必须使用额外的验证因素:指纹、物理安全密钥,或者一次性密码;否则就不能登录账户。本文中的任何内容都不应解读为在说MFA不重要。 也就是说,某些形式的MFA比其他形式更为强大。而最近发生的安全事件表明,强度较低的MFA对一些黑客而言不过是小菜一碟,很轻松就能绕过。过去几个月以来,Lapsus$数据勒索团伙这样的脚本小子群体和俄罗斯菁英黑客国家队(比如SolarWinds软件供应链安全事件背后的黑客组织Cozy Bear)都成功击败了MFA防护措施。 MFA消息轰炸 最强大的几种MFA形式基于名为FIDO2的框架,这是由多家主流公司结成的联盟所开发的一个框架,旨在平衡安全和使用简单性。借助这个框架,用户可以选择使用内置于其设备中的指纹读取器或摄像头,或者专用安全密钥,来确认自己有权访问某个账户。基于FIDO2的MFA形式相对较新,所以普通消费者和大型企业使用的很多服务都尚未采纳此类MFA。 这些服务使用的是不那么强大的老旧MFA形式。其中包括通过短信发送或由Google Authenticator等移动应用生成的一次性密码,或者发送到移动设备的推送消息。在登录时,除了有效密码,用户还必须在登录界面输入一次性密码,或者按一下手机屏上显示的按钮。 最近的报道揭示,就是这最后一种身份验证形式会被攻击者绕过。安全公司Mandiant表示,俄罗斯对外情报局麾下精英黑客团队Cozy Bear(亦称Nobelium、APT29和Dukes)就在使用这一技术。 Mandiant研究人员写道:“很多MFA提供商允许用户接受手机应用推送通知或接听电话,然后按个按键,以此作为第二个验证因素。Nobelium黑客组织利用这一点,向最终用户的合法设备发出多个MFA请求,直到用户接受身份验证,最终获得对其账户的访问权限。” 这些方法包括: 发送大量MFA请求,寄希望于目标用户烦不胜烦而最终接受。 每天发送一两条MFA消息。这种方法通常不怎么引起注意,但“仍然很有可能诱使目标用户接受MFA请求”。 给目标用户打电话,装作是公司一员,告诉目标用户说按公司流程需要发送一条MFA请求。 Grover称:“这些仅仅是举个例子,要知道,密集轰炸可不是唯一的形式。” 在Twitter帖子中,他写道:“红队早几年就这么干了,各种玩法都试过。有幸拥有红队的公司都得益于此。但现实世界中的攻击者改进这种攻击方法的速度超过了大多数公司的防御措施改善速度。” 其他研究人员很快指出,MFA消息轰炸技术不是什么新鲜事物。 红队专业人士Greg Linares就发推表示:“Lapsus$可没发明‘MFA消息轰炸’。别再给他们冠上‘MFA消息轰炸创造者’的名号了。现实世界里,这种攻击方法早在Lapsus$闯出名号前2年就有人用了。” 再次重申,任何形式的MFA都好过不用MFA。就算短信发送一次性密码是唯一可用的MFA措施,这种措施再怎么错漏和麻烦都比不用MFA要安全得多。本文中没有任何一句话有MFA不值得拥有的意思。 但很明显,仅靠MFA是不够的,没有哪家企业能单靠MFA构筑完整防线。考虑到Cozy Bear的无限资源和一流技术,这家黑客组织能够发现其中漏洞毫不令人意外。而随着青少年都能使用相同的技术来入侵Nvidia、Okta和微软等大公司,人们终于开始认识到正确使用MFA的重要性。 著名网络安全记者Brian Krebs在其创办的KrebsOnSecurity上写道:“尽管人们可能会将LAPSUS$视为不成熟的追名逐利的黑客团伙,但每位企业安全负责人都应该关注其所用战术。” MFA消息轰炸或许不是那么新鲜,但已不再是企业可以忽视的安全问题。 (编辑:东莞站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐