解决帐户接管问题: 为什么 MFA 只是第一步
多重身份验证 (MFA) 并不能解决账户被接管的威胁。 确实,这增加了障碍,但是坚定的攻击者已经找到了巧妙的方法来绕过所有可用的身份验证因素。 我们不应该将 MFA 视为解决身份验证问题,而应该将其视为扩大攻击面:每个因素都会引入新的依赖系统、新的错误和漏洞来源以及新的社会工程机会。 不幸的是,许多安全组织将 MFA 视为我们曾经认为的网络边界,即解决各种攻击的堡垒。 零信任安全支持者揭露的安全边界谬误允许攻击者利用网络内部的漏洞进行横向移动并提升权限。 同样,MFA 解决了账户接管的谬论,却阻止了安全组织认识到 MFA 的弱点以及许多剩余的系统漏洞,这些漏洞会使用户账户面临犯罪分子的接管。 通过研究攻击者如何绕过 MFA,本白皮书表明,MFA 使某些其他安全措施变得更加重要,即机器人缓解、JavaScript 供应链保护和上下文风险监控,这些技术增强了 MFA 的安全优势,同时减少了它给用户带来的摩擦。
MFA 的驱动因素
尽管存在缺陷,MFA 仍将继续存在,这是有充分理由的;纯密码身份验证显然已经失败了。
我们人类根本无法记住长串的随机字符。 因此,我们走捷径;我们选择容易记住、可预测的密码,在不同的应用中重复使用密码,在便签上写下密码。 虽然企业通过对密码长度和复杂性提出要求来降低这种风险,但人类的记忆是有限的;即使面对复杂性要求,我们还是找到了可预测的方法:只将首字母大写,在相似的字母数字字符的位置插入特殊字符($代表S),在密码末尾添加可猜测的数字,如123。 (参见有关密码可预测性的研究结果。)
我们人类也存在一些缺陷,这些缺陷使我们容易受到社会工程的攻击。 当攻击者利用我们的信任、顺从的愿望、对权威的尊重以及帮助的意愿时,我们就会放弃密码。 事实证明,如果你问他们,他们有时会主动透露他们的密码,你可以在这段有趣的《吉米·坎摩尔秀》视频中欣赏到这一点。
鉴于基于密码的身份验证的这些弱点,政府机构和行业协会正在推动采用 MFA。 2021年5月,拜登总统发布行政命令,要求联邦机构在180天内采用MFA,网络安全和基础设施安全局(CISA)正在向私营企业推广MFA 。 支付卡行业安全标准委员会通过其数据安全标准 v4.0要求各组织必须在 2025 年 3 月 31 日之前对所有信用卡持有人数据的访问实施 MFA。
由于 MFA 相对于纯密码身份验证的明显优势推动了其采用,安全专家需要更加关注 MFA 的缺点,以及它如何扩大攻击面并产生新的漏洞,使攻击者能够绕过身份验证控制。
MFA 的攻击面扩大了
MFA 被定义为在身份验证过程中应用两个或多个因素。 所谓因素,是指通过以下方式来证明您就是您所说的那个人:
- 知识:您知道的某些信息,例如密码或个人识别码 (PIN)
- 拥有物:您拥有的某物,例如移动设备、智能卡、硬件令牌或 USB 驱动器
- 内在性:你的某些身份,通过指纹、面部扫描和虹膜图案等生物识别技术确定
实现 MFA 的方法多种多样,其中许多方法要么打开新的攻击面,要么使应用暴露于仅密码身份验证的相同漏洞。
基于短信的 MFA
实现 MFA 的方法多种多样,其中许多方法要么打开新的攻击面,要么使应用暴露于仅密码身份验证的相同漏洞。
MFA 最广泛的实现是利用短信向用户发送一次性密码 (OTP),原则上可以证明用户拥有智能手机。 一般来说,用户会使用用户名和密码发起登录,从而触发应用程序发送短信。 然后,用户查看 OTP 并将其输入到应用程序中,完成身份验证并生成在一定时间内有效的会话令牌。
基于短信的身份验证仍然存在的漏洞
通过短信实施占有因素无法弥补几个关键漏洞。 由于用户在应用中输入了 OTP 和密码,并且应用通过其使用的相同通信通道将 OTP 发送回应用,因此,已经破坏应用、设备或网络的攻击者将能够访问密码、OTP 和会话令牌。
攻击端点
攻击者使用许多成熟且仍然流行的技术,通过恶意软件感染设备来接管设备,从而发动浏览器中间人 (MitB) 攻击。 在浏览器中运行代码使攻击者能够获取他们可以代表用户进行身份验证的密码和 OTP。 或者,攻击者可以允许身份验证完成,然后窃取会话标识符,该标识符可用于绕过身份验证并访问用户的帐户。 (有关恶意软件感染端点的最新趋势,请参阅 F5 实验室有关BlackGuard Infostealer 的报告。)
入侵应用程序
通过感染应用,攻击者可以大规模接管用户的帐户。 除了通过恶意软件破坏公司的基础设施之外,犯罪分子还可以通过破坏组成应用应用的任何代码库来获取应用数据,这种策略称为供给方攻击。
在软件供应链攻击中,攻击者通常以向目标组织提供软件组件(库、框架、服务)的可信第三方供应商或开源存储库为目标。 攻击者将恶意软件注入组件,然后将其集成到应用中。 这种攻击可能有效,因为并非每个供应商和开源团队都具备实施安全编码实践所需的技能和资源。
Web 和移动应用特别容易受到供应链攻击,因为它们通常包含数十个第三方脚本,其中许多脚本由标签管理器动态添加到页面中。 这些脚本经常更改且没有通知,无法通过组织的代码安全检查。 如果攻击者能够破坏其中任何一个脚本,他们就能够完全控制应用,这意味着他们可以读取用户输入、访问浏览器内存中的数据或劫持用户旅程,从而在没有任何警告的情况下将他们引导至恶意应用程序。
这些供应链攻击,例如 Magecart,已经导致数十万个凭证的安全漏洞。 与 MitB 攻击非常相似,这些供应链攻击可以针对任何将证明所有权的令牌输入到应用中的 MFA 解决方案,这是大多数使用 OTP 的实现的典型特征。 由于恶意代码正在读取用户输入,它可以窃取静态密码和 OTP,以及应用收集的任何其他个人或财务信息。
聆听网络
由于基于 SMS 的身份验证、密码、OTP 和会话令牌通过相同的网络连接传输,因此这种形式的 MFA 仍然容易受到使用典型攻击媒介(例如 DNS 中毒、ARP 中毒和恶意无线接入点)的中间人(MitM) 攻击。
社会工程学
针对基于 SMS 的 MFA 最常见和最成功的攻击之一是使用社会工程学通过实时网络钓鱼代理 (RTPP) 建立 MitM 攻击。
在这次攻击中,欺诈者使用网络钓鱼电子邮件诱骗用户访问攻击者控制的网站,用户在该网站中输入其凭据。 到目前为止,这种策略与窃取凭证的网络钓鱼攻击相同,但绕过 MFA 需要额外的步骤。 当用户在应用程序中输入用户名和密码时,攻击者会将这些凭据转发给目标应用,然后目标应用程序向用户发出第二因素请求。 用户很可能会批准该请求,因为他们认为他们正在向受信任的应用进行身份验证;用户单击批准按钮或尽职尽责地在应用程序中输入令牌。无论哪种情况,攻击者都会获得对应用的访问权限。 (有关此次攻击的演示,请观看 Kevin Mitnick 的这段视频。)
由于自动化程度高以及用户容易陷入网络钓鱼诈骗的倾向,RTPP 攻击可以大规模成功。 (有关实时网络钓鱼代理增长的更多数据,请参阅F5 实验室网络钓鱼和欺诈报告。)
基于短信的身份验证的新漏洞
除了无法弥补现有的纯密码身份验证的许多漏洞之外,使用短信作为第二因素还会使应用暴露于其他攻击媒介。
实体设备被盗
针对基于所有权的身份验证最明显的攻击可能是物理设备的盗窃。 即使手机已被锁定,盗窃手机的犯罪分子也可能获得通知中显示的 OTP。 许多手机盗窃的受害者发现他们的银行账户中的资金丢失了。
SIM(用户识别模块)交换
犯罪分子无需实际拥有手机即可获取通过短信发送的 OTP。 SIM 卡交换(也称为 SIM 卡劫持或 SIM 卡移植)使攻击者能够绕过基于 SMS 的身份验证,这是面向客户的应用程序中最流行的 MFA 形式。 在 SIM 卡交换攻击中,欺诈者利用电信服务提供商将电话号码转移到另一台设备的功能,这一功能在手机丢失或被盗时非常有用。
诈骗者首先通过在线研究、网络钓鱼或社会工程收集受害者的个人信息。 利用这些信息,攻击者说服电话公司将受害者的电话号码转移到欺诈者的 SIM 卡上。 或者攻击者可能使用撞库攻击、暴力猜测或字典攻击来侵入用户在服务提供商的帐户。
通过控制受害者的电话服务,欺诈者将收到所有发给受害者的短信和语音电话。 这使得欺诈者可以拦截任何通过文本发送的安全令牌。
硬件令牌设备
硬件令牌设备是一种专用设备,通常很小,可显示 OTP,用户可将其输入到应用中进行身份验证。 这些设备提供了一种证明所有权的方法,而无需应用与用户进行通信,从而消除了基于短信的身份验证的主要漏洞之一。
该设备并不依赖于在用户每次登录时向用户发送 OTP,而是基于初始种子值和算法生成 OTP 流。 种子值本身在设置时在设备和身份验证服务之间共享。 种子值通过计数器进行增强,该计数器可以随着事件(例如登录请求)或时间长度(例如 60 秒)而增加。 我们分别将它们称为基于事件的 OTP(EOTP)和基于时间的 OTP(TOTP)。 EOTP 和 TOTP 都是基于哈希的 OTP(HOTP),因为计数器和种子一起传递给哈希函数,该函数会生成一个明显随机的数字串,如果正确实施,则不会显示出可预测的模式。
通过避免通过文本发送 OTP,硬件令牌使得在 OTP 通过 SIM 卡交换等方式到达用户之前捕获 OTP 变得不可能。 然而,由于用户必须将 OTP 输入应用程序,应用程序使用与密码相同的通信通道将 OTP 传输到身份验证服务,因此基于 SMS 的身份验证的大多数其他漏洞仍然存在。 攻击者可以通过破坏端点、网络或应用来获取密码和 OTP,其方式与通过文本传递的 OTP 相同。
针对基于 SMS 的身份验证最常见的攻击是实时网络钓鱼代理,它对硬件设备上生成的 OTP 也同样有效,因为无论 OTP 出现在手机还是专用设备上,用户都会被欺骗将 OTP 输入虚假网站。
虽然硬件设备消除了攻击者在发送给用户的过程中捕获 OTP 的可能性,但设备依赖的种子值可能受到损害。 攻击者可以通过获取设备的物理访问权限(参见《12 种以上破解 MFA 的方法》中提到的电子显微镜攻击)、破坏身份验证服务使用的数据库或拦截设备与身份验证服务之间商定种子值的设置过程来访问种子值。
身份验证器应用
身份验证器应用程序的功能与硬件令牌非常相似,可以根据初始种子和算法生成 OTP 流,从而无需通过易受攻击的通道传达种子,但它们还可以更进一步利用备用通道来传达 OTP。 在这种情况下,在成功验证用户名和密码后,身份验证服务会向身份验证器应用程序发送推送通知,提示用户批准请求。 经批准后,身份验证器应用程序会将 OTP 直接发送到身份验证服务,而无需用户将其输入到应用中。 身份验证器应用程序和身份验证服务之间的通信通过不同的连接进行。
使用备用通信渠道意味着攻击者无法通过破坏应用来访问 OTP,因为 OTP 从未输入到应用中。 通过破坏网络连接来收集密码和 OTP 也更加困难,因为密码和 OTP 是通过不同的安全通道传送的。 然而,如果应用本身和身份验证器应用程序在同一设备上运行,那么入侵端点可能使攻击者能够访问密码和 OTP。 (请参阅 F5 Labs有关危害 Google Authenticator 的恶意软件的报告。)
不幸的是,身份验证器应用程序无法阻止使用实时网络钓鱼代理。 用户仍然会通过钓鱼短信被欺骗,在虚假网站上输入用户名和密码。 输入凭证后,应用将向身份验证器应用程序触发请求。由于用户相信他们正在登录受信任的应用,因此用户很可能会批准该请求,从而完成身份验证。 虽然攻击者永远看不到 OTP,但攻击者的代理现在可以控制经过身份验证的会话,从而使攻击者可以访问用户的帐户。 (有关 RTPP 和推送通知身份验证的更多信息,请参阅 Hacker News 中有关网络钓鱼平台的文章。)
此外,身份验证器应用程序的易用性为攻击者通过社会工程学击败 MFA 提供了另一种手段。 在MFA 轰炸或 MFA 疲劳攻击中,攻击者通过发送多个欺诈性代码请求来诱骗目标向其提供身份验证代码。 攻击者通常使用自动化工具生成大量请求,用过多的通知或消息让受害者不知所措,要求他们输入身份验证码。
虽然 MFA 轰炸可能会诱骗用户通过短信或硬件设备输入 OTP,但它对身份验证器应用程序特别有效,因为用户只需按一下按钮就可以轻松地停止大量请求。
生物特征认证
实现生物特征认证的方法比基于持有物的认证方法还要多。 不仅存在多种触发身份验证请求并将数据传回身份验证服务的方法,而且还存在从指纹到虹膜扫描等多种形式的生物识别技术。 执行扫描所需的硬件可能并入运行应用的设备中,例如笔记本电脑上的指纹读取器相机,或者需要单独的硬件。 生物特征读取器可能由操作系统或专门的应用。 鉴于实施过程中的这些变化,很难对每个漏洞进行建模。 然而,重要的是要认识到,尽管生物识别身份验证享有更高的安全性,但生物识别身份验证仍然存在非常明显的漏洞。
事实上,绕过持有因素的流行方法之一,实时网络钓鱼代理,也可以用于绕过生物识别技术。 一旦用户登录到攻击者控制的应用,认为它是一个受信任的应用,该应用将使用凭据代表用户登录应用,从而触发生物特征认证请求。 只要用户相信他们正在进入真正的应用进行身份验证,他们就可能会继续进行生物特征身份验证,从而让攻击者访问该帐户。 (W3C 创建的 FIDO2 标准WebAuthn包含防网络钓鱼功能,尽管它尚未被网络应用广泛采用。)
是否可以通过破坏端点、应用或网络来破解生物特征认证取决于具体的实施方案。 如果生物特征认证系统与应用在同一设备上运行,则端点受到攻击可能会破坏认证。 在应用管理生物特征认证过程的范围内,入侵应用程序可能会破坏认证。 由于生物特征认证信息是通过应用所使用的同一通信通道发送的,因此网络攻击可能会破坏认证。 简而言之,生物识别认证需要针对实施的详细威胁建模。
生物特征认证存在明显的复制和欺骗漏洞。 以指纹为例。 我们把它们留在各处,几乎在我们触摸的每个光滑表面上。 我们把它们留在门把手上、餐馆里、垃圾桶里。 从这些表面收集指纹很简单;我们在警匪剧中已经无数次看到过这种场景。 使用从 3D 打印机到小熊软糖的任何工具来复制指纹也同样轻而易举。
对于其他形式的生物识别技术,安全研究人员和供应商之间正在进行一场竞赛,前者揭示生物识别技术如何被欺骗,后者开发反欺骗技术。 3D 面具已经欺骗了机场的面部识别系统,尽管这些面具可以通过活体检查和其他方法检测到。 同样,攻击者使用深度伪造语音合成的语音记录来绕过语音识别系统,尽管可能可以通过录音设备添加的细微扭曲来检测到这些欺骗行为。 甚至虹膜图像也可以通过美容隐形眼镜或义眼复制和欺骗,尽管各种反欺骗技术(包括人体组织和合成材料之间的光线区别)可以检测到欺骗。 简而言之,生物识别读取器的安全性将取决于当前的防欺骗和反欺骗技术的状态。
即使我们过着隐士的生活并避免身体接触表面,攻击者也可能窃取我们的生物特征数据。 通过恶意软件、社会工程学和利用未修补的漏洞,攻击者窃取了数十亿的用户名和密码。 如果攻击者能够攻破存储我们密码的数据库,他们肯定会攻破存储我们生物特征的数据库。 一旦一次泄露导致我们的生物特征被泄露,我们可能就无法安全地使用它进行身份验证,这取决于是否可以检测到其欺骗行为。
事实上,我们无法轻易改变生物识别技术所测量的特征,这加剧了复制和欺骗的安全风险。 当攻击者窃取密码时,我们可以更改它。 如果攻击者窃取了 OPT 加密狗或手机,我们可以更换它并重置种子。 然而,如果攻击者获得了我们的指纹、掌纹、面部图像或任何其他生物特征,并学会如何有效地欺骗它们,我们就无法在不遭受巨大痛苦的情况下改变这些身体特征。
提高 MFA 的安全性
虽然 MFA 是对单因素、基于密码的身份验证的改进,但它仍然存在漏洞,至少在目前流行的实施形式中是如此。 因此,不要将 MFA 视为安全之旅的终点,而应将其视为一个新的开始。 应用程序安全最佳实践仍然与以往一样重要,包括威胁建模、代码审查、漏洞扫描、渗透测试和红队。 在威胁建模中,查看身份验证和会话管理过程的各个方面,考虑许多攻击点,从身份存储到物理、网络和数据安全。 网络攻击可能会针对最薄弱的环节。 具体来说,MFA 的漏洞指出了几个需要更多关注的关键关注领域:缓解自动化、防范 JavaScript 供应链攻击以及考虑风险环境。
从你的网络中删除机器人
犯罪分子依靠机器人来扩大对 MFA 的几次关键攻击,包括撞库攻击、实时网络钓鱼代理和 MFA 轰炸,这意味着减轻机器人的威胁是保护所有形式的 MFA 的关键。
根据OWASP的定义,在撞库攻击攻击中,犯罪分子从之前的漏洞中获取被盗凭证(通常是通过在暗网上购买),然后根据其他应用的登录信息测试这些凭证。 由于数十亿的凭证已因违规而暴露,犯罪分子通过使用机器人自动测试来最大化他们的回报,以便他们可以测试大量的凭证。 美国联邦调查局、美国证券交易委员会以及纽约州总检察长已就撞库攻击的金融风险发出警告,而由 130 多个监管机构组成的协会全球隐私大会则将撞库攻击视为全球隐私威胁。
防止撞库攻击对于 MFA 和仅密码身份验证同样重要。 MFA 的全部意义在于使用多个因素,但如果您无法保护第一个因素,那么您就只剩下一个因素。 一旦攻击者发现了用户的密码,双因素身份验证就会变成单因素身份验证,纵深防御就会失效。
此外,缓解机器人威胁至关重要,因为犯罪分子使用机器人进行的攻击不仅仅是密码。 事实上,机器人是发起成功的实时网络钓鱼代理攻击的关键工具,而实时网络钓鱼代理攻击是击败 MFA 的最常见机制。 每当用户成为网络钓鱼电子邮件的受害者时,诱使他们在虚假网站上输入其凭据,攻击者就需要将这些凭据转发到目标应用以生成 MFA 请求,无论该请求涉及 SMS、身份验证器应用程序还是复杂的生物识别技术。 为了快速大规模地转发请求,犯罪分子需要自动化该过程,这意味着请求将从机器人转发到应用。 (有关使用机器人绕过 OTP 的服务概述,请参阅 Krebs on Security 文章《一次性密码拦截机器人的兴起》。 ) 这意味着,通过阻止不必要的机器人提交凭证,组织可以削弱实时网络钓鱼代理的有效性,并更有效地保护所有权和固有身份验证因素。
犯罪分子使用机器人攻击 MFA 的另一种明显方式是通过 MFA 轰炸。 在这种情况下,轰炸意味着生成大量登录请求以触发大量身份验证请求,以至于用户会错误地遵守请求或只是为了停止烦恼。 为了向许多用户生成足够多的请求,从而使攻击有利可图,犯罪分子需要实现自动化,这又意味着到达您网站的登录请求将由机器人创建。
正如这些例子所示,几乎任何针对 MFA 的攻击都将依赖机器人才能大规模成功,这意味着实施 MFA 的组织需要认真对待机器人缓解措施。
不幸的是,许多组织未能认识到机器人的复杂性以及犯罪分子频繁重新装备机器人以绕过检测的决心。 相反,太多企业依赖不再起作用的机器人缓解技术,包括 CAPTCHA、IP 地址拒绝列表和 HTTP 标头指纹。
除了惹恼真正的客户之外,CAPTCHA 对机器人保护几乎没有任何作用,因为机器人可以使用依赖机器学习和点击农场的低成本 CAPTCHA 解决服务来绕过这些难题。 只要在网上搜索CAPTCHA 解决服务,您就会发现至少有十几种在价格和速度上相互竞争的服务。 要想详细了解这些服务,请阅读 F5 情报主管 Dan Woods 的文章,标题为《我曾是一名人类 CAPTCHA 解答者》 。 更有趣的是, ChatGPT通过社会工程手段让一个人代替它解决 CAPTCHA,成功绕过了 CAPTCHA。
对于依赖基于 WAF 的 IP 拒绝列表来缓解机器人威胁的组织来说,这项任务同样艰巨。 有一些服务可以为机器人创建者提供数千万个住宅 IP 地址,旨在绕过机器人检测。 这些服务被宣传为轮换住宅代理;机器人向代理发送 HTTP 请求,就像许多企业浏览器通过转发代理发送请求一样,并且该服务不断轮换用于向网站或 API 发送请求的公共 IP 地址。过去,机器人通常使用数据中心代理,通常来自云服务,这些代理众所周知且易于识别。 然而,这些新的代理服务使用与您的客户来自同一地理区域的住宅 IP 地址。 由于互联网服务提供商 (ISP) 的 NAT 作用,每个 IP 地址可能同时代表一个机器人或一个有效客户,因此如果不拒绝真正的客户,阻止所有这些 IP 地址是不可行的。 (有关这些服务如何获取这些 IP 地址的研究,请参阅论文《你的手机是我的代理》 。)
同样,尝试根据标题顺序的差异来检测机器人也不再有效,因为机器人已经发现了其中的窍门。 事实上,包括stealth-puppeteer和undetected-chromedriver在内的几个开源项目都完成了正确标头顺序的工作,使得在使用这些流行的自动化框架时可以轻松绕过检测。
如今,检测高级机器人需要先进的信号收集、全天候监控、机器学习以及对机器人重组的快速反应。 如果没有专门的机器人管理解决方案,即无法快速检测和应对重组的防御措施,机器人将使犯罪分子能够有效地扩大对 MFA 的攻击。
防范 JavaScript 供应链攻击
几乎任何形式的 MFA 在应用受到攻击时都会失败。 如果攻击者将代码插入到应用中,游戏就结束了。 攻击者可以捕获凭据和其他 MFA 输入,通过窃取会话标识符来接管会话,或者直接从应用中窃取数据。 由于现代 Web应用通常由20 多个 JavaScript 文件组成,这些文件大多来自第三方且未经组织的应用安全团队审查,因此通过 JavaScript 供应链攻击导致应用受损的风险比通常意识到的要高。
现有的客户端安全协议过于静态,无法保护当今的动态 Web 应用程序。 内容安全策略 (CSP) 可以限制脚本的操作,以防止 JavaScript 供应链攻击,但是,如果第三方供应商以违反 CSP 限制的方式动态更新脚本,则 CSP 很容易破坏网站的功能。 尽管您可能希望脚本在违反安全策略时失败,但生产中的失败可能会对客户产生巨大影响。 (请参阅CSP 为何失败? ) 另一种Web 安全协议子资源完整性 (SRI) 对于第三方动态内容来说甚至更不可行,因为它要求每次脚本更改时都使用哈希值更新脚本标签,而如果更改在没有通知的情况下发生,则这是不可能的。 事实上,SRI 旨在防止大多数现代应用所依赖的脚本更新类型。
如果没有明确的控制措施来消除 JavaScript 供应链漏洞,组织就需要发挥创造力,找到至少可以监控风险的方法。 组织可以更好地记录其站点上的脚本,并根据变化的来源和频率对风险进行排名。 通过标签管理器添加的脚本应定期审查以评估风险。 可以获得监控工具,使用合成监控、报告模式下的 CSP 或在浏览器中运行的基于 JavaScript 的代理来跟踪脚本的行为。
由于第三方脚本变化频率如此之高,且没有安全审查的机会,因此对于组织来说,持续监控其应用是否存在可疑行为(例如脚本读取敏感数据并将其泄露到不受信任的域)非常重要。 如果不监控 JavaScript 供应链攻击,任何形式的 MFA 都无法保证用户的安全。
识别已知的良好用户并质疑可疑行为
MFA 的目的应该是提高安全性,而不是让客户承受无意义的安全负担。 通过根据情境风险调整登录要求,组织可以避免使用 MFA 要求不断惩罚有价值的回头客,而是通过延长用户会话来简化他们的旅程,并以个性化、轻松的体验欢迎他们,就像 TSA 通过 TSA PreCheck 加快受信任旅行者的速度一样。
背景风险有多个维度:
- 地理: 根据 IP 地址,用户是否从其常用区域登录?
- ASN(自治系统编号): 根据 IP 地址,用户是否从与平常相同的 ISP 登录,也许与其家、工作地点或最喜欢的咖啡馆相关的 ISP?
- 设备: 用户是否像平常一样从同一设备登录?
- 时间/日期: 用户是否像平常一样在一天中的同一时间或一周中的同一天登录,比如早上进行银行业务,晚上进行游戏?
- 行为: 用户是否以与平常相同的速度打字、以相同的模式移动鼠标、以类似的方式复制和粘贴?
- 功能: 用户是否使用与平常相同的功能?
如果用户有良好行为记录,并且在同一地点、同一设备、同一时间以相似的行为使用其惯常功能访问网站,则甚至可能不需要要求用户登录;而是进行持续的静默身份验证以延长会话,以方便用户。 如果情况偏离正常情况,表明风险更高,您可以向应用添加自适应策略,以分步提高安全性需求:要求密码登录、要求 2FA、标记帐户以供审核、通过短信或电子邮件提醒用户有关登录的信息,或锁定帐户以强制用户联系支持人员。
通常,会话长度是一个固定的时间段,而不考虑上下文风险,这使得任何拥有会话令牌的人都可以继续访问用户被授权的数据,而忽略了会话劫持的风险。 更安全的方法是遵循零信任原则:假设违规并持续监控。 如果会话中的上下文发生变化,则提前结束会话并要求进行额外的身份验证,严格程度取决于上下文变化的程度和数据的敏感度。
结论
正如“安全是一场旅程”这句老话所说,MFA 在这条道路上创造了几个岔路,提供了额外的选项,如果正确实施,这些选项可以以有意义的方式增强安全性。 然而,无论有多少因素、实施得如何、成本有多高,任何形式的 MFA 都无法让我们跳过到达目的地的旅程。 我们肯定会看到更多有关密码消亡的宣言,更多炒作认为新的 MFA 技术将一劳永逸地确保身份验证的安全,但坚定的攻击者仍然有办法绕过新技术。
在您更好地保护关键应用的道路上,F5 是您最好的合作伙伴。 F5 的分布式云服务包括用于缓解机器人攻击的机器人防御、用于监控 JavaScript 供应链攻击的客户端防御,以及用于识别回访用户并量化上下文风险的身份验证智能。 借助F5的支持,您可以确保MFA的安全性,同时优化客户体验。 了解有关F5 分布式云服务的更多信息,并注册与我们的团队交谈。
