多因素身份验证(MFA)是当今最流行、最有效的网络安全措施之一。然而尽管这种防御措施很强大,但它们并不完美。黑客可以通过多种方式绕过MFA,因此认识到这些弱点以防范它们很重要。
一些安全专家声称MFA可以阻止80%至90%的网络攻击,但这可能会让用户觉得比实际情况更安全。即使这个数字属实,考虑到网络犯罪的绝对规模和数量,10%还是大有空间。以下是网络犯罪分子绕过MFA的几种方式。
1. 网络钓鱼
不出所料,网络钓鱼是绕过MFA的最常见的方式之一。作为最成功的黑客技术,网络钓鱼是一种比较简单而有效的获取敏感信息的方法,包括人们使用的身份验证器信息。
网络犯罪分子可以诱骗用户泄露其验证电子邮件及其他凭据,就像网络钓鱼让用户泄露密码一样。在其他情况下,黑客会建立看起来像合法登录页面的虚假网站或代理服务器。用户在输入详细信息(包括MFA代码)时,会在不知情的情况下向网络罪犯泄露所有这些信息。
2. MFA疲劳
MFA疲劳是另一种常见的方法。这类攻击针对使用推送通知的MFA系统。犯罪分子会企图在短时间内多次登录,并向用户发送大量消息,要求他们验证登录尝试。最终,管理员会不小心点击身份验证按钮,或者出于沮丧而允许验证。
人容易犯错误,容易备感沮丧,所以如果网络犯罪分子在足够短的时间内发出足够多的请求,他们很可能会得逞。正由于这类攻击简单又有效,微软在2022年8月看到了4万多起MFA疲劳攻击。
3.SIM卡劫持或交换
许多MFA系统使用短信验证,黑客可以通过访问用户的移动设备来绕过MFA。这有两种主要方法:SIM卡劫持和SIM卡交换。
在SIM卡劫持攻击中,网络犯罪分子在目标手机上安装间谍软件,通常通过恶意短信来投递间谍软件。然后,他们可以看到用户在登录账户时输入的MFA详细信息。SIM卡交换攻击是指联系攻击目标的移动运营商以冒充用户,并让运营商寄发新的SIM卡,黑客可以用新卡来获取短信验证信息。
4. 会话劫持
会话劫持是一种不太常见但仍然有效的技术。在这类攻击中,网络犯罪分子通过中间人攻击拦截用户的互联网活动。一旦他们充分利用了不安全连接,就可以窃取会话cookie。
只要用户登录,会话cookie就会临时存储活动,包括用户输入的任何MFA凭据。一旦他们关闭浏览器,这些cookie就会自动删除自己,但如果黑客在会话结束前拦截会话,cookie自动删除与否并不重要。犯罪分子会得到需要的所有信息。
5. 蛮力攻击
黑客还可以通过蛮力破解一些MFA系统。MFA使得大多数这类攻击都不那么有效,原因是即使网络犯罪分子破解了用户的密码,他们也需要另一个验证步骤才能进入。然而,犯罪分子也可以蛮力破解验证码。
一些MFA系统向用户发送一个四位数的PIN来验证其身份。今天的密码破解工具可以立即破解一个四位数的密码,即使密码结合使用数字和字母。因此,如果MFA系统依赖一次性密码(OTP),尤其是短密码,那么它很容易被蛮力破解。
幸运的是,有一些方法可以使MFA系统更强大。一旦企业知道了黑客如何绕过MFA解决方案,它们就可以采取措施来防范这些攻击。
1.使用合适类别的MFA
最重要的措施之一是使用更强大的验证方法。基于SIM的OTP和推送通知很容易受到SIM卡劫持和MFA疲劳的影响,所以它们并不理想。相比之下,生物特征识别技术、基于位置的验证以及结合多个因素的技术来得更安全。
基于硬件的MFA是最安全的方案之一。它们结合使用PIN和插入USB端口的物理设备,用户同时需要PIN和卡来验证其身份。黑客能够同时访问PIN和卡值得怀疑,因此该策略对于敏感应用程序来说是理想策略。
2.使用基于时间的OTP
给OTP设定时间限制也是一个好主意。一些MFA系统只接受30秒到90秒内的OTP,超过该时间的任何尝试都需要新的验证码。使用这样的时间限制后,黑客用来执行蛮力攻击或使用通过网络钓鱼获得的信息的时间会短得多。
记住,基于时间的OTP仍然不完美。动作够快的黑客可以绕过它们。然而,这个措施大大加大了难度,因此最好尽可能启用这种限制。
3.限制和监视登录尝试
企业还可以通过其他方式限制MFA尝试。一些公司使用位置数据来检查用户是否在通常访问帐户的地方访问,比如家里或工作场所。除此之外的任何地方都会触发进一步的验证步骤。
用户还应该限制登录尝试的次数。尝试两三次后锁定帐户可以防止蛮力攻击和MFA疲劳攻击。组织应该监视这类登录尝试,以发现可疑活动,并在必要时发送警报。
4.加强社会工程攻击方面的培训
反网络钓鱼培训是防止MFA绕过的另一个重要步骤。多达82%的数据泄露事件是人为错误造成的,因此社会工程攻击是MFA面临的最大威胁之一。然而,如果员工能发现这些企图,它们就不会那么有威胁了。
所有员工都应该接受全面定期的网络钓鱼技术培训,学会如何识别发现它们。内部人员的安全意识越强,他们被这类攻击欺骗的可能性就越小。
MFA是一个至关重要的安全措施,特别是考虑到糟糕的密码管理司空见惯。然而,光有MFA还不够。
黑客仍然可以绕过MFA,因此企业必须考虑改进其他访问控制措施,以尽量减小被攻破的可能性。这些措施有望加强MFA的保护,确保只有经过验证的内部人员才能访问敏感信息。
参考及来源:https://hackernoon.com/how-hackers-bypass-multifactor-authentication