2023年,著名网络安全公司KnowBe4对2600名IT专业人士进行的一项调查仍然显示,大型组织和中小型企业之间的安全实践存在巨大差异。
虽然只有 38% 的大型组织尚未实施多重身份验证 ( MFA ) 来保护其用户帐户,但比例更高的中小型企业 (62%) 尚未采用任何形式的 MFA。
不过,趋势是积极的:随着无密码方法的日益普及和应用程序的复杂性不断增加,MFA 的使用正在变得广泛。
例如,2021年,美国拜登政府发布了一项改善国家网络安全的行政命令,随后谷歌对所有员工引入了强制性的MFA要求。
随后,微软加强了在Azure上的身份验证实践,推动持续、全面的身份验证。
如今,根据一项调查,三分之二的日常用户经常使用 MFA,90% 的企业管理员采用它来保护访问。
MFA 安全:机遇与挑战
现在大多数人都认识到 MFA 在提高安全性方面的好处。
然而,这项技术的实施仍然参差不齐,导致安全管理者和用户感到困惑。
添加身份验证因素会增加用户的工作量,从而对 MFA 的传播造成额外的障碍。
尽管如此,规避 MFA 的尝试却越来越频繁。
例如,最近的鱼叉式网络钓鱼攻击针对使用 Microsoft 365 的小型企业,2022 年Okta成为破坏源代码和窃取用户凭据的攻击的受害者。
这些事件对 MFA 的正确实施提出了质疑。
MFA 面临的主要威胁
在 MFA 实施中的常见错误中,三种攻击模式最为突出:
1. MFA 疲劳或推送轰炸:此方法包括发送大量权限请求(通常以推送通知的形式),直到不堪重负的用户向攻击者授予访问权限。2022年Uber发生的安全事件就是一个典型的例子。
2.社会工程和网络钓鱼:攻击者将社会工程技术与网络钓鱼攻击相结合,利用远程办公等用户行为的变化来操纵用户并窃取他们的 MFA 令牌。
3. 针对没有 MFA 的用户和系统:尽管 MFA 的采用有所增加,但它仍然不普遍。攻击者利用这一漏洞来攻击具有弱密码的用户和系统,2021 年的 Colonial Pipeline 攻击就证明了这一点。
防御 MFA 攻击的策略
为了在不影响用户体验的情况下提高 MFA 安全性,您可以采用以下几种策略:
1. 评估关键资源:了解要保护哪些资源至关重要。CISA建议对最关键的组件(例如硬件密钥)使用与FIDO协议兼容的系统。
2. 基于风险的身份验证:安全保护应根据用户行为动态调整。持续评估访问权限、限制对工作所需数据的访问也很重要。
3. 改进密码重置流程:通常,密码重置代表着一个漏洞。重置过程集成双因素身份验证至关重要。
4. 识别面临风险的用户:有必要识别和保护具有高访问权限的用户,他们往往是有针对性的攻击的目标。
综上所述,MFA的精准规划和实施对于保障企业安全、应对当前和未来的威胁、遵守政府和行业法规至关重要。
原文始发于微信公众号(网络研究观):多重身份验证 (MFA)已被黑客突破了其防御
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论