多因素身份驗(yàn)證(MFA) 正在成為企業(yè)跨所有部門(mén)的所有業(yè)務(wù)的強(qiáng)制性安全要求。企業(yè)是否應(yīng)該選擇在線快速身份驗(yàn)證 (FIDO) 而不是一次性密碼 (OTP) 作為其身份驗(yàn)證的方法？

基于短信（SMS）的一次性密碼驗(yàn)證

MFA 的一種方法是基于文本或 SMS 的 OTP。美國(guó)國(guó)家科學(xué)技術(shù)研究院 (NIST) 和歐盟網(wǎng)絡(luò)安全局 (ENISA) 指出，SMS 是所有身份驗(yàn)證方法中最不安全的。NIST 采取了一種謹(jǐn)慎的方法，將基于 SMS 的身份驗(yàn)證稱為受限制的，這也意味著它在當(dāng)今的威脅環(huán)境中不太安全。ENISA 的立場(chǎng)更堅(jiān)定，建議企業(yè)避免使用 SMS，并建議將 FIDO2 作為首選的 MFA 機(jī)制。

為什么 SMS 對(duì)于 MFA 來(lái)說(shuō)是個(gè)問(wèn)題？

研究表明，通過(guò)重定向或大量攔截 SMS 消息可以降低 MFA 的時(shí)間成本和精力。SMS 信令協(xié)議中的這一弱點(diǎn)導(dǎo)致2017 年發(fā)生了銀行違規(guī)事件。五年過(guò)去了，一些企業(yè)仍在使用基于 SMS 的身份驗(yàn)證。雖然與基于 SMS 的代碼相結(jié)合的密碼具有比單獨(dú)使用密碼更高的保護(hù)級(jí)別，但它不具有其他系統(tǒng)（例如 FIDO 或智能卡）提供的設(shè)備身份驗(yàn)證機(jī)制所固有的額外強(qiáng)度。

電話即令牌(Phone-As-A-Token)認(rèn)證 OTP

許多供應(yīng)商沒(méi)有依賴不安全的基于sms的身份驗(yàn)證，而是利用智能手機(jī)作為軟件身份驗(yàn)證的令牌。用于 PUSH 身份驗(yàn)證的電話作為令牌是目前的首選方法，因?yàn)樗峁┝溯^低的總擁有成本(TCO)以及智能手機(jī)的普及帶來(lái)的更高的可訪問(wèn)性。然而，即使是PUSH認(rèn)證或OTP認(rèn)證應(yīng)用程序也依然存在缺點(diǎn)。

首先，有些專業(yè)環(huán)境不允許使用手機(jī)，例如工廠車間、各種法律和政府辦公室等。其次，存在連接問(wèn)題——這些應(yīng)用程序在無(wú)法訪問(wèn)互聯(lián)網(wǎng)的情況下無(wú)法提供 OTP。最后，攻擊者渴望利用破壞這種身份驗(yàn)證方法的可能性。美國(guó)安全意識(shí)培訓(xùn)平臺(tái)KnowBe4的 Roger Grimes證明 OTP 不能抵抗網(wǎng)絡(luò)釣魚(yú)攻擊，攻擊者可以通過(guò)中間人攻擊和社會(huì)工程方法（主要是網(wǎng)絡(luò)釣魚(yú)）攔截 OTP 身份驗(yàn)證。智能手機(jī)也存在感染惡意軟件或越獄的危險(xiǎn)，從而損害手機(jī)上安裝的身份驗(yàn)證應(yīng)用程序的完整性。

針對(duì) MFA 的攻擊

網(wǎng)絡(luò)犯罪分子越來(lái)越善于通過(guò)社會(huì)工程方法來(lái)破壞 MFA。例如，Lapsus$ 犯罪集團(tuán)執(zhí)行了 MFA 即時(shí)轟炸。Lapsus$ 通過(guò)這種技術(shù)向最終用戶的合法設(shè)備發(fā)出多個(gè) MFA 請(qǐng)求，直到用戶簡(jiǎn)單地接受身份驗(yàn)證，從而允許犯罪集團(tuán)最終訪問(wèn)該帳戶。在這種情況下，妥協(xié)的方法依賴于耗盡用戶的精力，直到他們批準(zhǔn)身份驗(yàn)證請(qǐng)求，本質(zhì)上就是讓攻擊者訪問(wèn)他們的帳戶。

用于防御網(wǎng)絡(luò)釣魚(yú)的 MFA

鑒于 PUSH OTP 和 OTP 易受網(wǎng)絡(luò)釣魚(yú)和社會(huì)工程攻擊，美國(guó)政府和 ENISA 都發(fā)布了指南，要求企業(yè)采用防御網(wǎng)絡(luò)釣魚(yú)的 MFA 方法。

在最近的零信任網(wǎng)絡(luò)安全戰(zhàn)略中，美國(guó)管理和預(yù)算辦公室 (OMB) 指出，機(jī)構(gòu)工作人員、承包商和合作伙伴需要具備網(wǎng)絡(luò)釣魚(yú)防護(hù)的 MFA。該指南表示，防御網(wǎng)絡(luò)釣魚(yú)的 MFA 可以保護(hù)這些人員免受復(fù)雜的在線攻擊。

FIDO 越來(lái)越受矚目

與ENISA 的建議類似，OMB 還建議企業(yè)應(yīng)考慮選擇FIDO2作為首選的防御網(wǎng)絡(luò)釣魚(yú)的MFA 方法：

• 為了實(shí)現(xiàn)零信任戰(zhàn)略的要求，OMB 表示，機(jī)構(gòu)需要部署聯(lián)邦政府的個(gè)人身份驗(yàn)證 (PIV) 憑證或支持開(kāi)放網(wǎng)絡(luò)身份驗(yàn)證標(biāo)準(zhǔn)，即 FIDO2 的早期迭代。
• 盡管 FIDO 身份驗(yàn)證變得越來(lái)越普遍，并且比 OTP 身份驗(yàn)證更安全，但企業(yè)可能不一定需要對(duì)已經(jīng)部署的 OTP 身份驗(yàn)證解決方案采取“淘汰和替換”方法。一些應(yīng)用程序和用戶，尤其是特定法規(guī)所涵蓋的應(yīng)用程序和用戶，確實(shí)需要以 FIDO 或基于證書(shū)的 PKI 身份驗(yàn)證的形式提供防御網(wǎng)絡(luò)釣魚(yú)的 MFA。

總而言之，安全專家認(rèn)為 MFA 是減少憑據(jù)泄露的最有效方法。企業(yè)應(yīng)該認(rèn)識(shí)到上面討論的問(wèn)題，專注于實(shí)施身份驗(yàn)證方案，為員工提供更好的安全性以及增強(qiáng)登錄體驗(yàn)。