多因素身份验证（MFA）面临的安全挑战与应对

多因素身份验证（MFA）解决方案已经应用了许多年，它的出现是因为传统的口令认证方式已经不能满足安全级别较高的系统认证需求，需要通过多个认证方式结合来提高安全性。虽然一些安全厂商声称通过MFA技术可以阻止99.99%的账户滥用攻击，但MFA在实际应用中的表现还远远称不上完美，攻击者总能找到绕过其防御的方法。

一、针对MFA的常见攻击方式

据Verizon研究报告估计，82%的网络攻击归咎于人为错误（凭据被盗、网络钓鱼和滥用等），而目前针对MFA绕过的常见攻击方法也充分考虑了这一点。

1.中间人（MitM）攻击

攻击者诱骗潜在的受害者访问虚假网站，然后用户输入凭据，向毫无戒备的用户触发MFA请求。一旦用户通过移动设备确认推送通知，黑客就拦截验证码，并获得账户访问权限。攻击者现在可以购买现成的网络钓鱼工具包，对MFA令牌执行中间人攻击。

2.SIM卡交换攻击

通过SMS文本发送一次性密码是传统MFA技术最常用的身份验证方法之一。在SIM卡交换攻击中，攻击者冒充真正的用户，佯称原始的SIM卡丢失或被盗，说服电信提供商补发SIM卡。一旦攻击者安装新的SIM卡，可以用新卡来完成MFA检查、重置账户凭据，从而非法访问公司资源。去年，SIM卡交换攻击造成的损失估计达到6800万美元。

3.pass-the-cookie攻击

cookie如同驾驶执照，让用户在失效期之前可以不受限制地访问资源。pass-the-cookie攻击是MitM的一种形式，攻击者采用网络钓鱼手段收集会话cookie，该cookie在用户浏览会话期间一直伴随用户。今年早些时候美国安全机构CISA表示，攻击者经常结合使用pass-the-cookie、网络钓鱼和暴力攻击等手段，对云服务账户进行破解攻击。

4.MFA疲劳

据报道，一些攻击者开始使用社会工程伎俩，向Office365用户发送大量的MFA推送通知（即通知轰炸）。面对大量通知，用户由于分心或不知所措而误以为是哪里出了岔子，或者将它们与正常的通知相混淆，因而攻击者得以越过MFA防御机制，闯入账户或系统设备。愿者上钩式网络钓鱼（consent phishing）是这种手段的另一种形式，可在默写特定情况下实现MFA安全机制绕过。

二、MFA该如何改进？

MFA只有更有效地防御黑客攻击，才有应用的意义。以下总结了三个针对MFA安全能力提升的最佳实践。

1.对现有MFA方案进行升级

组织可以采取很多措施来降低目前的MFA被网络钓鱼的可能性，包括向用户登录环节添加更多的信息和上下文，包括设备名称、全局ID和设备位置等信息，这样可以让用户对他们登录访问的对象更放心。MFA 解决方案还必须绑定到特定的URL、设备和主机，这样当遇到中间人攻击时，解决方案将不允许攻击者访问资源。

此外，可以使用成熟的加密技术来构建MFA，并对重置和绕过密码的流程进行严格的管理。同时，企业应确保会话cookie、安全令牌或种子值之类的认证信息在24小时内到期失效。

2.为MFA增加防御网络钓鱼功能

美国政府一直要求所有政府部门使用“防御网络钓鱼”的MFA。这意味着组织必须避免使用任何很容易被网络钓鱼的MFA技术，比如一次性密码、SMS文本消息、动态码以及推送通知。基于FIDO2（线上快速身份验证服务）框架的MFA方案会更加可靠，该框架让用户可以使用设备端的指纹读取器、摄像头及其他设备级/硬件安全检查机制，解锁以访问资源。由于凭据并不离开用户的设备，并不存储在任何地方，因此这消除了网络钓鱼和凭据被盗的风险。

3.加强MFA应用的安全意识

杜绝威胁的根源是解决问题的核心。例如在应对勒索攻击中，最重要的环节是要了解勒索软件是如何潜入的。同样，在对抗MFA攻击活动中，网络钓鱼才是需要解决的关键根本原因。无论组织的MFA解决方案功能多强大，所有利益相关者必须了解MFA的优缺点，以及黑客会如何绕过MFA防御机制。必须对员工进行培训，以发现和报告异常活动；员工须特别小心他们可能遇到的社会工程陷阱。此外，他们应该使用足够强壮的密码，以避免凭据被盗。

对于有条件的企业，还可以选择纵深防御方法，部署基于FIDO2的MFA，从而消除标准化MFA认证可能存在的风险。