譯者 | 陳峻

審校 | 重樓

2023年，知名網絡安全公司KnowBe4對2,600名IT專業(yè)人員的調查顯示，大型組織與中小型組織在安全實踐方面仍存在著顯著的差異。雖然只有38%的大型組織尚未通過啟用多重身份驗證（multifactor authentication，MFA）來保護其用戶賬戶，但是有高達62%的中小型組織根本沒有實施任何MFA。

不過，可喜的是，隨著無密碼方法的普及、以及應用復雜性的增長，MFA方法正在變得越來越多地被用到。后疫情時代，美國拜登政府于2021年發(fā)布了關于改善國家網絡安全的行政命令。作為跟進，Google當年也對其所有員工提出了MFA要求。之后，Microsoft for Azure的各類登錄都通過加強其身份驗證的實踐，旨在增強IT運營，并鼓勵在所有應用程序中，進行全面且持續(xù)的身份驗證。有調查表明，目前已有三分之二的普通用戶會經常使用MFA登錄，而使用MFA進行登錄保護的企業(yè)管理員更是高達90%。

有了MFA就萬無一失？

目前，大多數人都已領略了MFA在增強安全方面的優(yōu)勢。但是MFA在具體實施上卻存在著不統(tǒng)一、甚至參差不齊的問題。這往往讓業(yè)務安全經理及其用戶深感困惑。當然，有時MFA用戶也會因為增加了更多的認證因素，而擔負額外的工作量。這種天生的不便性也增加了MFA的障礙。

只要你留心，就會發(fā)現新聞中屢屢報道了各種繞過MFA的攻擊事件。例如，最近有消息稱，某團體發(fā)起了針對已安裝了Microsoft 365的小型企業(yè)的、魚叉式網絡釣魚攻擊。此外，2022 年，Okta也曾遭受了一系列網絡攻擊。這些攻擊通過感染供應鏈竊取了其存放這GitHub的源代碼。而且，其中的兩次單獨的攻擊都竊取了大量用戶憑據，并破壞了由其支持的門戶頁面。而作為身份驗證的服務供應商，Okta對該事件發(fā)生的情況，并未提供非常透明的信息。這讓外界對MFA是否被正確實施，提出了質疑。

值得注意的MFA威脅模式

在我們開始討論最常見的黑客攻擊技術之前，讓我們先來了解一些典型的MFA失敗案例。總的說來，它們可以被歸納為如下三種威脅模式：

1. MFA疲勞或推送炸彈，通過發(fā)送大量授權請求（通常表現為密集地推送SMS消息，直到用戶不堪其擾，從而批準請求，并授予攻擊者訪問權限。例如：Uber在2022年發(fā)生的安全事件就屬于此類。頗具諷刺意味的是，只要啟用使用MFA的范圍越廣，MFA疲勞攻擊的成功率就越大。Cisco Duo的Jennifer Golden曾在2022年的一篇博文中寫道：“我們所達到了MFA普及程度，反而激勵了對手繞過這種控制的斗志。
2. 攻擊者也會結合使用社會工程和網絡釣魚攻擊，來破壞系統(tǒng)的整體身份驗證流程，并誘騙用戶放棄其MFA令牌。用戶行為的變化（例如疫情后、奧運會期間開始密集使用遠程辦公的場景，就經常會被攻擊者所利用。Arctic Wolf在其最近的一篇博客中寫道：“將社會工程與MFA疲勞攻擊結合使用，會大幅提高攻擊者的得手率，畢竟這樣很容易產生一種虛假的信任感。
3. 以非MFA用戶和具有弱密碼的應用作為目標，是第三種常見的威脅模式。如前文所述，雖然MFA的采用率已顯著提高，但遠未達到普遍程度，攻擊者依然可以找到那些未受保護的系統(tǒng)和用戶，來開展相應的攻擊。例如，幾年前，Akira 勒索軟件攻擊者就使用未配置MFA的Cisco 網絡滲透到目標組織中，并利用暴力破解的方式，來獲取用戶憑據。2021年的Colonial Pipeline攻擊，大家一定還記憶猶新。當時，分析師發(fā)現是由于其泄露了未運行任何MFA的傳統(tǒng)網絡上的單一密碼所造成的。此類弱密碼一直被使用在某個十分“長壽”的應用所連接的Cisco網絡交換機中。盡管該公司在2017年的一篇博文中，早已發(fā)出了警告，但此功能仍在被持續(xù)利用。

常見的MFA攻擊方法

在上述提到的各種威脅中，通常有如下三類MFA攻擊會被使用。

1. 移動安全性差。移動智能手機是進入公司網絡的一個重要節(jié)點，攻擊者會利用諸如替換SIM卡等各種方法，來達到其目的。例如，攻擊者可以設法讓電信服務提供商的客服人員相信他們是合法的SIM卡所有者，從而能夠獲取到SMS的身份驗證消息。當然，其他方法也包括，直接攻擊蜂窩服務提供商的網絡本身。
2. 不完善的MFA身份驗證工作流。通常，企業(yè)的身份驗證工作流較為復雜，用戶可以選擇通過Web門戶、智能手機應用、以及應用程序接口（API）直接訪問并調取應用。同時，他們可以通過采用不同操作系統(tǒng)的各種端口、本地網絡或私有網絡進行連接。這些都意味著，我們在測試MFA時，都必須考慮到各種情況，并且盡量攔截通過供應鏈上的中間人、或瀏覽器里的中間人（man-in-the-browser）所發(fā)起的MFA代碼層面的攻擊。
3. 針對Cookie的攻擊，例如Cookie傳遞（pass-the-cookie）和被盜的會話Cookie。發(fā)生此類情況往往是由于網站并未強制執(zhí)行會話的非活動時間限制，從而讓攻擊者可以使用這些不完善的Cookie，來達到繞過MFA的目的。你可以通過由KnowBe4提供的鏈接，來了解更多詳細信息。

防范MFA攻擊的策略

鑒于上述漏洞，我們需要以不降低用戶體驗度為前提，構建出更加完善的MFA。以下便是一些能夠確保你的MFA策略成功實施的建議。

• 首先，請了解你要保護的資源。CISA（美國網絡安全與基礎設施安全局）在其2022年發(fā)布的情況說明書里提到：“網絡威脅攻擊者通常會以電子郵件系統(tǒng)、文件服務器和遠程訪問系統(tǒng)為目標，設法訪問組織的數據，同時會試圖破壞 Active Directory等身份服務器，以便其創(chuàng)建新的帳戶或控制現有用戶帳戶”。CISA建議你考慮將支持FIDO協議的系統(tǒng)，用于由MFA保護的最重要的部件，例如：那些最敏感的應用所使用的硬件密鑰。目前，FIDO聯盟已經發(fā)布了一系列關于企業(yè)應如何更好地實施此類方法的白皮書。對此，RSA通過鏈接，給出了深入探討，值得你仔細閱讀。
• 其次，所有身份驗證都應基于風險，并根據用戶在任何給定時刻的行為，自動且動態(tài)地調整安全防護。也就是說，那些僅使用單一訪問控制的舊方法，需要及時被替換或整合。目前，已有許多身份驗證產品能夠將MFA耦合到其自適應的身份驗證過程中。同時，與此相配套部分應該是對訪問權限的仔細評估。鑒于多數時候，用戶一旦被配置了訪問權限，就再也沒有任何后續(xù)的審核或權限的調整，IT安全人員應該“確保員工只能訪問和完成其工作職責所需的有限數據，”Abnormal Security 在其一篇博文中這樣寫道。
• 此外，請不要忽視密碼重置的過程，這往往是攻擊者的常用爆破點。Mitnick Security在今年4月份的一篇博文中提到：“令人驚訝的是，有許多網站根本沒有對其2FA的重置密碼過程予以雙重驗證，或者他們只是提供了一套不強制用戶使用MFA的機制”。
• 再次，應該通過評估，鎖定最有可能成為被攻擊目標的用戶。CISA在其報告中寫道：“每個組織都會有一些少量的、具有額外訪問權限的用戶帳戶。他們往往會成為網絡攻擊者所覬覦的高價值目標”。因此，在MFA項目的初始推行階段，我們應當重點考慮包括IT運維、系統(tǒng)管理員、律師、以及HR經理等組群的管控。
• 實際上，上述各個要點都應該成為對整體MFA工作流予以分析的一部分。當然，這些也并非什么新鮮事。早在2021年，供職于Akamai的Gerhard Giese就在其一篇博文中指出，MFA并不總能夠有效地防御撞庫攻擊（credential stuffing）。他說，IT經理需要“重新檢查現有的身份驗證工作流和登錄界面，以確保攻擊者無法通過查詢Web服務器的響應，來發(fā)現有效的憑據，以及實施針對僵尸網絡攻擊的有效管理。

綜上所述，通過全面規(guī)劃、實施和測試，MFA技術應該對內成為企業(yè)安全關鍵基礎架構的一部分，對外成為響應政府和監(jiān)管部門要求的實施動力。

譯者介紹

陳峻（Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項目實施經驗，善于對內外部資源與風險實施管控，專注傳播網絡與信息安全知識與經驗。

原文標題：How MFA gets hacked — and strategies to prevent it，作者：David Strom