什么是MFA?

MFA是Multi-factor authentication的縮寫，譯為多因子認(rèn)證，它的出現(xiàn)是因?yàn)閭鹘y(tǒng)的用戶名+口令的認(rèn)證方式已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足安全級(jí)別較高的系統(tǒng)認(rèn)證需求。

[[318893]]

存儲(chǔ)在數(shù)據(jù)庫中的用戶名和口令，無論是否被加密，一旦數(shù)據(jù)被盜取，將會(huì)為攻擊者提供一個(gè)數(shù)據(jù)源，攻擊者可以用特定軟件快速暴力破解用戶密碼，使得系統(tǒng)被攻破造成數(shù)據(jù)泄露或資金被盜。

因此需要增加多個(gè)認(rèn)證身份憑證來提高系統(tǒng)認(rèn)證安全，這些憑證即為多因子認(rèn)證。

多因子認(rèn)證有哪些認(rèn)證憑證?

所有企業(yè)帳戶中只有11%啟用了多重身份驗(yàn)證

超過99.9%的被攻擊者入侵的Microsoft企業(yè)帳戶未使用多因素身份驗(yàn)證(MFA)。

[[318894]]

這一明顯的發(fā)現(xiàn)，盡管并不完全令人驚訝，來自于技術(shù)巨頭身份安全總監(jiān)Alex Weinert 在2月下旬于舊金山舉行的RSA 2020安全會(huì)議上所作的演講。總體而言，只有11%的Microsoft企業(yè)帳戶啟用了MFA。

根據(jù)微軟的說法，每個(gè)月平均有0.5%的帳戶被盜;到今年1月，這相當(dāng)于超過120萬個(gè)帳戶。“如果您有一個(gè)擁有10,000個(gè)用戶的組織，那么本月將威脅其中的50個(gè)，” Weinert說。

入侵有兩個(gè)因素。首先，在使用不支持MFA的舊電子郵件協(xié)議(例如SMTP，IMAP和POP)的應(yīng)用程序中缺少M(fèi)FA部署。

第二個(gè)因素涉及人們不良的密碼衛(wèi)生習(xí)慣，特別是他們對(duì)極簡單的密碼以及在公司和私人多個(gè)帳戶中重復(fù)使用密碼的偏好。

大約480,000個(gè)被盜帳戶(占總數(shù)的40%)成為密碼噴霧的受害者。使用這種自動(dòng)方法，攻擊者可以測試一些最常用的密碼，以查看它們是否可以用于闖入大量其他帳戶。

Weinert注意到他們所做的工作，并指出密碼噴射攻擊為1月份部署的帳戶中的1%打開了大門。平均而言，攻擊者會(huì)嘗試大約15個(gè)密碼。

大約相同數(shù)量的帳戶成為密碼重播攻擊(也稱為違規(guī)重播攻擊)的受害者。在這些情況下，網(wǎng)絡(luò)安全漏洞利用在數(shù)據(jù)事件中溢出的憑據(jù)列表，并在其他服務(wù)處嘗試相同的登錄組合。

幾乎所有的密碼泄露和密碼被攻擊破壞都針對(duì)通用的舊式身份驗(yàn)證協(xié)議，分別達(dá)到為99.7%和97%。如果啟用了SMTP，則泄露的可能性上升到7.2%，IMAP上升到4.3%，POP上升到1.6%。

最簡單的修復(fù)方法是什么?您猜中了–選擇強(qiáng)大而獨(dú)特的密碼短語，啟用MFA(也稱為二元身份驗(yàn)證)，并禁用舊版協(xié)議。根據(jù)微軟的說法，后一種措施將帳戶被破解的可能性降低了三分之二。