曾經(jīng)只在高安全的政府和企業(yè)中采用的雙因子認(rèn)證(2FA)，如今普通人也能在網(wǎng)站和賬戶身份驗(yàn)證中廣泛使用。2FA能夠幫助減少被黑的風(fēng)險(xiǎn)，但可別就此以為2FA是絕對(duì)安全的。

[[230141]]

許多人對(duì)2FA提供的安全性過(guò)于信任，覺(jué)得2FA不可黑、不可戰(zhàn)勝，能阻擋所有高級(jí)持續(xù)性威脅(APT)，打敗網(wǎng)絡(luò)釣魚(yú)和社會(huì)工程。2FA得到了超出自身能力的過(guò)多信任，但實(shí)際上，能黑掉2FA的方法少說(shuō)也有十幾種。

1. 中間人攻擊

只要中間人攻擊者能誘騙用戶訪問(wèn)他們的流氓網(wǎng)站并彈出2FA憑證輸入頁(yè)面，用戶的2FA防護(hù)基本就玩完了。中間人攻擊者能偽造用戶使用2FA登錄的網(wǎng)站，然后誘使用戶輸入其2FA憑證。更常見(jiàn)的情形，是在用戶成功通過(guò)2FA驗(yàn)證后攻擊者直接盜走所產(chǎn)生的(非2FA)令牌。

大多數(shù)人都不知道，2FA驗(yàn)證通過(guò)后(無(wú)論驗(yàn)證因子是生物特征還是硬件令牌或智能卡)，操作系統(tǒng)就以隨后產(chǎn)生的軟令牌接管了你的訪問(wèn)授權(quán)。但該令牌是可被盜走和重用的。舉個(gè)例子，你的Windows筆記本電腦要求用指紋驗(yàn)證登錄。一旦你成功通過(guò)指紋驗(yàn)證，操作系統(tǒng)后臺(tái)往往就開(kāi)始使用NTLM或Kerberos令牌了。你的身份驗(yàn)證方式通常與你之后被賦予的訪問(wèn)權(quán)限毫無(wú)關(guān)系。想要成為優(yōu)秀計(jì)算機(jī)安全人員的人士需要知道這一點(diǎn)，要了解驗(yàn)證方式與所授予權(quán)限的無(wú)關(guān)性，這很重要。

2. 終端中間人攻擊

與中間人攻擊類似，如果黑客可將其惡意軟件植入你的計(jì)算機(jī)，他們就能修改你2FA驗(yàn)證過(guò)程用到的軟件，盜取2FA令牌保護(hù)下的秘密，或者用你已經(jīng)通過(guò)的驗(yàn)證結(jié)果來(lái)訪問(wèn)不該訪問(wèn)的東西。

早在本世紀(jì)初，銀行木馬就已經(jīng)這么干了。這些木馬潛伏在主機(jī)上，等待用戶成功通過(guò)身份驗(yàn)證，然后在后臺(tái)開(kāi)啟隱藏的流氓會(huì)話。你以為自己只是簡(jiǎn)單地查看下賬戶余額，但在后臺(tái)，木馬已經(jīng)在將你的所有存款轉(zhuǎn)賬到他們的海外賬戶了。

通過(guò)產(chǎn)生與交易數(shù)額綁定且特定于該次交易的第二2FA驗(yàn)證碼，銀行感覺(jué)自己已經(jīng)打敗了上述銀行木馬。但銀行木馬的創(chuàng)建者們馬上改變策略，開(kāi)始攔截原始交易請(qǐng)求，產(chǎn)生并提交他們自己數(shù)額更大的請(qǐng)求，再將該請(qǐng)求發(fā)給銀行。而絲毫沒(méi)有意識(shí)到新交易實(shí)乃偽造的銀行，就會(huì)以該偽造的數(shù)額產(chǎn)生第二2FA并發(fā)給提起請(qǐng)求的合法用戶。該合法用戶毫無(wú)戒心地輸入收到的第二2FA驗(yàn)證碼，完全不知道這個(gè)驗(yàn)證碼僅對(duì)要盜走他們賬戶上所有資金的隱藏流氓交易有效。

針對(duì)新的攻擊，銀行再加了一道需要用戶在輸入2FA驗(yàn)證碼之前確認(rèn)交易金額的手續(xù)。然而，現(xiàn)實(shí)是，很多銀行客戶并未對(duì)交易細(xì)節(jié)多加關(guān)注，往往瞟一眼就習(xí)慣性地直接輸入2FA碼了。很多情況下，銀行木馬依然能偷到客戶資金。

無(wú)論你采用哪種驗(yàn)證方式登錄計(jì)算機(jī)或其他設(shè)備，只要通過(guò)了身份驗(yàn)證，隱藏在你系統(tǒng)中的流氓用戶或惡意軟件就能為所欲為。它們靜待你的計(jì)算機(jī)超時(shí)，等待你打瞌睡或鎖屏的時(shí)機(jī)。即便屏幕被鎖定，你的身份驗(yàn)證和授權(quán)令牌依然有效，且能被重用。

3. 被黑的2FA軟件

終端中人攻擊的一種特殊類型，是黑了與2FA設(shè)備相關(guān)的軟件。比如說(shuō)，想要在設(shè)備上使用智能卡，設(shè)備必須安裝能識(shí)別并操作該智能卡的相關(guān)軟件。智能卡供應(yīng)商會(huì)給你安裝軟件，或者在你所用設(shè)備的操作系統(tǒng)中預(yù)裝相應(yīng)驅(qū)動(dòng)。

如果你的電腦被黑客植入了流氓軟件，合法的2FA相關(guān)軟件就會(huì)被篡改或替換掉。上面所述的智能卡例子中，該流氓軟件會(huì)要求智能卡在下一次插入時(shí)共享其上存儲(chǔ)的秘密，或者延長(zhǎng)表征身份驗(yàn)證成功的令牌在內(nèi)存中的駐留時(shí)間，以便攻擊者盜取或重放。一些案例中，流氓軟件被用于在另一臺(tái)流氓設(shè)備上完全盜取或替換掉智能卡。

4. 盜取并重放密碼生成器

很多硬件和軟件2FA令牌會(huì)生成特定于用戶和設(shè)備的一次性密碼。身份驗(yàn)證軟件和用戶設(shè)備二者同時(shí)產(chǎn)生該一次性密碼，然后將該用戶提交的密碼與身份驗(yàn)證系統(tǒng)自己產(chǎn)生的副本做比較，看是否一致。

大多數(shù)情況下，該一次性密碼是基于特定于每臺(tái)2FA設(shè)備和用戶的共享隨機(jī)“種子”值產(chǎn)生的，后續(xù)所有密碼都采用同一個(gè)算法按預(yù)設(shè)時(shí)間間隔從該種子生成。這種2FA令牌要求用戶在30秒到數(shù)分鐘內(nèi)輸入該一次性密碼，超時(shí)就要重新輸入新產(chǎn)生的那個(gè)。RSA的SecureID令牌推廣了此類2FA設(shè)備，盡管如今類似的硬件令牌少說(shuō)也有幾十上百種，而僅基于軟件的此類令牌就更多了，成百上千。

基本上，僅基于軟件的此類令牌因?yàn)檐浖菀妆缓诙踩圆蝗缙溆布姹?。硬件令牌通常需要物理接觸才能黑掉。

黑客很早以前就知道，如果能獲取到原始種子值并知道該時(shí)間同步的密碼生成算法，他們就能像真正的驗(yàn)證系統(tǒng)和2FA設(shè)備一樣產(chǎn)生并匹配該單向密碼。一些2FA設(shè)備使用了脆弱的一次性密碼生成器，給了攻擊者捕獲任意一次性密碼并產(chǎn)生后續(xù)所有密碼的機(jī)會(huì)。如果無(wú)需知道原始隨機(jī)種子值就能做到這一步，那就說(shuō)明所用密碼產(chǎn)生算法并不健壯。隨機(jī)產(chǎn)生的值不應(yīng)該被捕獲到，更不應(yīng)該能輕易用其生成后續(xù)“隨機(jī)產(chǎn)生的”值。

廣泛使用的常見(jiàn)黑客工具包含了相關(guān)功能，于是，黑客只要能搞到種子值，就能構(gòu)造出虛假的2FA設(shè)備。APT攻擊者已經(jīng)在用此類攻擊攫取利益了。其中最著名的例子就是中國(guó)黑客入侵RSA，搞到了洛克希德馬丁公司的種子值，入侵了這家美國(guó)國(guó)防承包商的系統(tǒng)。

5. 未要求使用2FA

包括流行網(wǎng)站在內(nèi)的很多服務(wù)都提供2FA但并不強(qiáng)制要求使用，這一點(diǎn)損害了設(shè)置2FA的初衷。大多數(shù)用戶以為只要啟用2FA，此后就一直都要用。但事實(shí)并非如此，大多數(shù)網(wǎng)站同時(shí)還允許用戶輸入口令、回答口令重置問(wèn)題，或者致電技術(shù)支持中心來(lái)繞過(guò)2FA的阻礙。

對(duì)于允許用戶使用多種登錄方式但不允許合法用戶要求必須使用2FA的網(wǎng)站，黑客早已精通社會(huì)工程掉這些站點(diǎn)的技術(shù)支持部門(mén)，讓他們重置用戶的口令;或者直接猜出口令重置問(wèn)題的答案。

很多口令重置問(wèn)題設(shè)置得很是侮辱智商，可以輕易猜出答案?？诹钪刂脝?wèn)題簡(jiǎn)直就是身份驗(yàn)證行業(yè)的禍根，應(yīng)該像蟑螂一樣被滅掉。

黑客同樣可以對(duì)用戶下手，社會(huì)工程出他們的口令憑證，然后用輸入口令憑證的方式登錄，壓根兒不用理會(huì)2FA。提供2FA登錄但又不要求所有登錄實(shí)例都應(yīng)用2FA，本身就損害了設(shè)置2FA的安全用意。

如果你的公司使用2FA，但不在公司所有網(wǎng)站和服務(wù)中啟用，就意味著你依然有一對(duì)登錄公司用的用戶名和口令，意味著2FA形同虛設(shè)，至少在接受你的非2FA憑證的站點(diǎn)上是這樣的。

6. 偽造身份

智能卡供應(yīng)商肯定不想讓你知道每個(gè)2FA設(shè)備/軟件都與一個(gè)用戶/設(shè)備的ID掛鉤。該ID在驗(yàn)證系統(tǒng)中應(yīng)是唯一的。在很多2FA系統(tǒng)，尤其是智能卡身份驗(yàn)證系統(tǒng)中，只要能修改一個(gè)人的ID，即便只是暫時(shí)修改，都能使用任意2FA設(shè)備，甚至是關(guān)聯(lián)到另一個(gè)人身上的2FA設(shè)備，以之作為目標(biāo)用戶通過(guò)身份驗(yàn)證。

舉個(gè)例子。假設(shè)你的智能卡關(guān)聯(lián)的是user1@example.com這個(gè)ID。手握其他任意智能卡和PIN碼，比如說(shuō)user2的黑客，能進(jìn)入身份驗(yàn)證系統(tǒng)并將user1的ID修改為user2，將user2的ID改為user1。然后，他們就能用user2的智能卡和PIN碼登錄，但系統(tǒng)卻會(huì)在審計(jì)中認(rèn)為他們是user1。只要在完事后再將ID換回來(lái)，他們便能在不知道user1的PIN碼也沒(méi)有user1智能卡的情況下，以u(píng)ser1的身份作惡，且user1毫無(wú)所覺(jué)。智能卡為內(nèi)部人2FA攻擊提供了成熟的條件。

很多2FA設(shè)備都是這樣的。用來(lái)唯一標(biāo)識(shí)用戶/設(shè)備的東西將2FA設(shè)備與該用戶/設(shè)備綁定了。如果某人能修改其他人的ID，那他就切實(shí)擁有了將該用戶/設(shè)備的ID切換給其控制下的任意其他2FA設(shè)備的能力。確實(shí)應(yīng)該像監(jiān)控口令修改一樣嚴(yán)密控制并審計(jì)ID屬性的修改。

7. 被盜生物特征

你的生物特征屬性，比如指紋和視網(wǎng)膜紋，也會(huì)被盜和重用，而且你很難否認(rèn)攻擊者對(duì)這些生物特征屬性的使用。生物特征身份還有很多其他問(wèn)題，例如相當(dāng)高的不識(shí)別率和錯(cuò)認(rèn)率，但它最大的問(wèn)題是一旦被盜就永遠(yuǎn)無(wú)法恢復(fù)了?？诹畋槐I還能改改再用，但指紋或視網(wǎng)膜紋是沒(méi)辦法輕易改變的。

8. 共享集成身份驗(yàn)證

oAuth之類共享集成身份驗(yàn)證方案，可以讓用戶只登錄一次，就可重用該憑證繼續(xù)登錄其他服務(wù)和網(wǎng)站。應(yīng)用此類身份驗(yàn)證的情形，大多會(huì)要求初始身份驗(yàn)證過(guò)程使用2FA，而后續(xù)登錄便不再要求——即便正常情況下也是需要2FA的。共享集成登錄往往使用已經(jīng)通過(guò)驗(yàn)證的令牌來(lái)登錄后續(xù)站點(diǎn)或服務(wù)。

9. 社會(huì)工程

隨著越來(lái)越多的站點(diǎn)允許或要求使用2FA，黑客也學(xué)會(huì)了如何從用戶身上套取2FA。這與上文所述的中間人攻擊或終端中人攻擊類似，但更加精妙，涉及供應(yīng)商意外要求2FA之類的情形。使用2FA未必意味著用戶本身不會(huì)被誘騙交出2FA。

10. 2FA暴力破解攻擊

2FA令牌被黑客試出來(lái)的事并非聞所未聞。如果使用2FA登錄的網(wǎng)站或服務(wù)沒(méi)做好登錄嘗試控制，攻擊者是有可能反復(fù)嘗試，直至試出所鍵入的PIN碼的。大多數(shù)2FA站點(diǎn)確實(shí)有登錄鎖定措施，但不排除有少數(shù)站點(diǎn)沒(méi)有。有人就抱怨過(guò)某著名網(wǎng)站竟然不對(duì)登錄失敗次數(shù)加以控制，當(dāng)然，該網(wǎng)站隨后修復(fù)了此漏洞。

11. 實(shí)施中的漏洞

可以說(shuō)，2FA登錄網(wǎng)站中，帶有可致2FA被繞過(guò)的漏洞的，肯定比不帶該漏洞的網(wǎng)站數(shù)量多。帶漏洞的2FA實(shí)現(xiàn)或許是安全2FA實(shí)現(xiàn)的數(shù)百倍之多。

如何防御針對(duì)2FA攻擊

2FA登錄可被成功攻擊，并不意味著你不能讓黑客的成功之路布滿荊棘。以下就是阻擋2FA攻擊的幾條建議，或許其中很多你已經(jīng)在用了：

• 給管理員和用戶普及2FA威脅及攻擊的知識(shí)。
• 詢問(wèn)你的供應(yīng)商對(duì)上述2FA威脅攻擊場(chǎng)景的解決情況。
• 確保系統(tǒng)安裝了殺毒軟件并保持更新，以檢測(cè)并防止惡意軟件及試圖繞過(guò)或盜取你2FA憑證的黑客。
• 確保你的用戶了解2FA社會(huì)工程并經(jīng)過(guò)相應(yīng)反2FA社會(huì)工程培訓(xùn)，不會(huì)隨意交出他們的2FA PIN碼或一遇到要求使用2FA設(shè)備/軟件的網(wǎng)站和電子郵件就使用。
• 只要站點(diǎn)或服務(wù)允許使用2FA，盡量用。如果能用2FA，且允許你要求必須使用2FA才能登錄，不妨開(kāi)啟該強(qiáng)制2FA功能。
• 弄清你的2FA供應(yīng)商允許使用什么東西繞過(guò)2FA。這些東西能被社會(huì)工程出來(lái)嗎?
• 問(wèn)問(wèn)你的2FA憑證提供商是否在開(kāi)發(fā)這些硬件和軟件時(shí)采用了安全開(kāi)發(fā)生命周期(SDL)編程最佳實(shí)踐。
• 保護(hù)并審計(jì)2FA所用唯一身份屬性。
• 口令重置問(wèn)題的答案不用那么老實(shí)(問(wèn)你爸爸的名字你可以回它一個(gè)你喜歡的運(yùn)動(dòng)項(xiàng)目名稱)。
• 鼓勵(lì)網(wǎng)站和服務(wù)使用動(dòng)態(tài)身份驗(yàn)證——當(dāng)?shù)卿浾?qǐng)求來(lái)自新設(shè)備或帶有其他不太自然的屬性)比如海外地理位置或不正常的時(shí)間點(diǎn))時(shí)，自動(dòng)增加登錄所需驗(yàn)證問(wèn)題或因素。

正確理解2FA登錄的優(yōu)缺點(diǎn)沒(méi)什么壞處。2FA肯定比口令之類單因子驗(yàn)證更好更安全，但也不是一勞永逸的萬(wàn)靈藥。2FA也會(huì)被黑。它們有助于抵御很多黑客攻擊，但其本身并非完美無(wú)缺?？梢苑判氖褂?FA，但千萬(wàn)別過(guò)于樂(lè)觀。