多因素身份验证是一种必要的保障措施，但它的局限性表明了为什么组织不能仅仅依靠它来防止违规行为。

有人说多因素身份验证 (MFA) 失败了，未免有些太过极端。但我们不能说它是成功的——这一点从经验上看是显而易见的。重要的问题是：为什么？

MFA是普遍推荐的，而且通常是必需的。CISA表示：“采用MFA是保护组织的一种简单方法，可以防止大量账户泄露攻击。”NIST SP 800-63-3 要求在身份验证保证级别 (AAL) 2 和 3 的系统上使用 MFA。美国行政命令 14028 要求所有美国政府机构实施 MFA。PCI DSS 要求使用 MFA 来访问持卡人数据环境。SOC 2 要求使用 MFA。英国 ICO表示：“我们希望所有组织都采取基本措施来保护其系统，例如定期检查漏洞、实施多因素身份验证……”

然而，尽管有这些建议，甚至在实施了 MFA 的地方，违规行为仍然会发生。这是为什么呢？我们一起看看国外专家怎么看！

有什么问题？

可以将 MFA 视为系统前门的第二把动态钥匙。第二把钥匙仅提供给希望进入的身份，并且只有该身份经过身份验证才能进入。每次进入都会获得不同的第二把钥匙。

原则很明确，MFA 应该能够防止访问不真实的身份。但这一原则还依赖于安全性和可用性之间的平衡。如果你提高安全性，就会降低可用性，反之亦然。你可以拥有非常非常强大的安全性，但留下的东西同样难以使用。由于安全的目的是为了实现企业盈利，这成为一个难题。

强大的安全措施可能会影响盈利业务。这在访问点尤其重要——如果员工延迟进入，他们的工作也会被延迟。如果 MFA 未达到最大强度，即使是公司自己的员工（他们只是想尽快开始工作）也会想方设法绕过它。

“简而言之，”Sectigo 高级研究员 Jason Soroko 表示，“MFA 增加了恶意行为者的难度，但这个门槛往往不足以阻止成功的攻击。”本文的主题是讨论和解决使用 MFA 可靠地阻止坏人进入，同时快速轻松地让好人进入所需的平衡 - 并质疑 MFA 是否真的需要。

不足

任何形式的身份验证的主要问题在于，它验证的是正在使用的设备，而不是试图访问的人。Mimoto 首席执行官兼联合创始人 Kris Bondi 表示：“人们经常误解，MFA 不是验证一个人，而是验证某个时间点的设备。持有该设备的人不一定就是你期望的人。”

最常见的 MFA 方法是向入境申请人的手机发送一次性代码。但手机可能会丢失和被盗（落入他人之手）、手机可能会受到恶意软件攻击（允许恶意人员获取 MFA 代码），并且电子传递信息可能会被转移（中间人攻击）。

除了这些技术弱点外，还可以看到犯罪分子持续使用的社会工程攻击手段，包括SIM 卡交换（说服运营商将电话号码转移到新设备）、网络钓鱼和 MFA 疲劳攻击（触发大量已发送但意外的 MFA 通知，直到受害者最终出于沮丧而批准其中一条）。随着新一代人工智能增加新的复杂程度、自动化规模，并将深度伪造语音引入有针对性的攻击，社会工程威胁在未来几年可能会增加。

这些弱点适用于所有基于共享一次性代码的 MFA 系统，而共享一次性代码基本上只是一个附加密码。“所有共享的秘密都面临被攻击者拦截或窃取的风险，”Soroko 说。“由应用程序生成的一次性密码必须在身份验证网页中输入，与密码一样容易受到键盘记录或虚假身份验证页面的攻击。”

除了简单地与用户的手机共享密码之外，还有更安全的方法。您可以在设备上本地生成代码（但这仍存在对设备而不是用户进行身份验证的基本问题），或者您可以使用单独的物理密钥（与手机一样，可能会丢失或被盗）。

一种常见的方法是包括或要求使用某种额外的方法将 MFA 设备与相关个人绑定在一起。最常见的方法是拥有足够的“所有权”，以迫使用户证明身份（通常通过生物识别）才能访问设备。最常见的方法是面部或指纹识别，但这两种方法都不是万无一失的。面部和指纹都会随着时间的推移而发生变化——指纹可能会留下疤痕或磨损到无法使用的程度，面部 ID 可能会被伪造（另一个问题可能会因深度伪造图像而恶化）。

“是的，MFA 确实可以提高攻击难度，但其成功与否取决于方法和环境，”Soroko 补充道。“然而，攻击者可以通过社会工程、利用‘MFA 疲劳’、中间人攻击以及 SIM 卡交换或窃取会话 cookie 等技术漏洞来绕过 MFA。”

实施强大的 MFA 只会增加实现该目标所需的复杂性，而通过投入更多技术最终解决技术问题是否可行是一个哲学问题（这实际上可能会带来新的和不同的问题）。正是这种复杂性带来了一个新问题：这种安全解决方案过于复杂，以至于许多公司懒得实施它，或者只是漠不关心地实施它。

成功绕过MFA的示例

安全的历史表明，攻击者和防御者之间存在着持续的跳跃式竞争。攻击者开发新的攻击；防御者开发防御；攻击者学习如何破坏这种攻击或转向另一种攻击；防御者发展……等等，可能无限地增加复杂性，并且没有永久的赢家。“MFA 已经使用了 20 多年，”Bondi 指出。“与任何工具一样，它存在的时间越长，坏人就越有时间对其进行创新。而且，坦率地说，许多 MFA 方法并没有随着时间的推移而发生太大的变化。”

将展示两个攻击者创新的例子：使用 Evilginx 的 AitM；以及 2023 年对米高梅度假村的黑客攻击。

邪恶力量

2023 年 12 月 7 日，CISA 和英国NCSC警告称，Star Blizzard（又名Callisto、Coldriver 和BlueCharlie）一直在使用Evilginx针对学术界、国防、政府组织、非政府组织、智库和政客进行有针对性的攻击，主要针对美国和英国，但也针对其他北约国家。 

Star Blizzard是一个复杂的俄罗斯组织，几乎可以肯定其隶属于俄罗斯联邦安全局 (FSB) 18 中心。Evilginx是一个开源的、易于获取的框架，最初是为了协助渗透测试和道德黑客服务而开发的，但已被对手广泛用于恶意目的。

CISA / NCSC 警告称：“Star Blizzard在其鱼叉式网络钓鱼活动中使用了开源框架 EvilGinx，这使他们能够收集凭证和会话 cookie，从而成功绕过双因素身份验证。”

2024年9月19日，Abnormal Security描述了“中间人攻击者”（AitM - 一种特定类型的 MitM）攻击如何与 Evilginx 配合使用。攻击者首先设置一个镜像合法网站的钓鱼网站。现在，借助gen-AI，这一过程可以更轻松、更好、更快速地完成。 

该网站可以充当等待受害者的水坑，或者可以通过社交工程诱使特定目标使用它。假设它是一个银行“网站”。用户请求登录，消息被发送到银行，用户获得 MFA 代码以实际登录（当然，攻击者会获得用户凭据）。

但 Evilginx 的目标并不是 MFA 代码。它目前充当银行和用户之间的代理。Permiso 说：“一旦通过身份验证，攻击者就会捕获会话 cookie，然后可以使用这些 cookie 在未来与银行的交互中冒充受害者，即使在 MFA 过程完成后也是如此……一旦攻击者捕获受害者的凭据和会话 cookie，他们就可以登录受害者的帐户，更改安全设置，转移资金或窃取敏感数据——所有这些都不会触发通常会警告用户未经授权访问的 MFA 警报。”

成功使用 Evilginx 会否定 MFA 代码的一次性性质。

米高梅度假村

2023年，米高梅度假村遭到黑客攻击，并于 2023年9月11日为公众所知。被 Scattered Spider攻破，然后被 AlphV（一家勒索软件即服务组织）勒索。Vx -underground未点名 Scattered Spider，但将“入侵者”描述为 AlphV 的一个子组织，暗示这两个组织之间存在关系。Vx-underground 写道：“ALPHV 勒索软件的这个特定子组织以擅长利用社会工程手段获取初始访问权限而闻名。”

Scattered Spider 和 AlphV 之间的关系更像是客户和供应商的关系：Scattered Spider 入侵了 MGM，然后使用 AlphV RaaS 勒索软件进一步从入侵中获利。我们感兴趣的是 Scattered Spider 的“社交工程天赋”；也就是说，它能够通过社交工程绕过 MGM Resorts 的 MFA。

人们普遍认为，该团伙首先获取了暗网上已有的米高梅员工凭证。然而，这些凭证本身无法通过已安装的 MFA。因此，下一阶段是社交媒体上的 OSINT。CyberArk 于 2023 年 9 月 22 日报道：“通过从高价值用户的 LinkedIn 个人资料中收集更多信息，他们希望欺骗帮助台重置用户的多因素身份验证 (MFA)。他们成功了。”

在拆除了相关的 MFA 并使用预先获得的凭证后，Scattered Spider 便可以访问 MGM Resorts。剩下的就是历史了。他们“通过在 Okta 租户中配置一个完全额外的身份提供商 (IdP)”来创建持久性，并“窃取了未知的 TB 级数据”。 

是时候使用 AlphV 勒索软件拿钱逃跑了。“Scattered Spider 加密了数百台 ESXi 服务器，这些服务器托管了数千台虚拟机，支持酒店业广泛使用的数百个系统。”

在随后提交给美国证券交易委员会的 8-K 文件中，米高梅度假村承认产生了 1 亿美元的负面影响，并额外花费了约 1000 万美元的“技术咨询服务、法律费用和其他第三方顾问的费用”。 

但需要注意的是，这次入侵和损失不是由被利用的漏洞造成的，而是由克服 MFA 并从敞开的前门进入的社会工程师造成的。

支持和反对 MFA

那么，鉴于 MFA 显然被击败，并且它只能验证设备而不验证用户，我们是否应该放弃它？

答案是肯定的“不”。问题在于我们误解了 MFA 的目的和作用。所有坚持我们必须实施 MFA 的建议和规定都诱使我们相信它是保护我们安全的灵丹妙药。这根本不是不现实。

以通过环境设计预防犯罪 (CPTED) 的概念为例。该概念由犯罪学家 C. Ray Jeffery 在 20 世纪 70 年代倡导，建筑师用它来降低犯罪活动（如入室盗窃）的可能性。

简而言之，该理论认为，一个拥有出入控制、领土加固、监视、持续维护和活动支持的空间将减少犯罪活动。它不会阻止一个决心坚定的窃贼；但由于难以进入和隐藏，大多数窃贼会简单地转移到另一个设计较差且更容易下手的目标。因此，CPTED 的目的不是消除犯罪活动，而是转移犯罪活动。

这一原则在网络领域有两层含义。首先，它认识到网络安全的主要目的不是消除网络犯罪活动，而是让犯罪空间变得难以追捕或成本过高。大多数犯罪分子都会寻找更容易入室盗窃或入侵的地方，不幸的是，他们几乎肯定会找到。但那个人不会是你。

其次，请注意 CPTED 谈论的是具有多个焦点的完整环境。访问控制：但不仅仅是前门。监视：渗透测试可能会找到薄弱的后门或破损的窗户，而内部异常检测可能会发现已经在里面的窃贼。维护：使用最新和最好的工具，保持系统更新和修补。活动支持：充足的预算、良好的管理、适当的报酬等等。

这些只是基本内容，还可以包括更多内容。但主要观点是，对于物理和网络 CPTED，需要考虑的是整个环境——而不仅仅是前门。前门很重要，需要保护。但无论保护措施有多强，它都无法击败那些靠口舌之争闯入或找到未上锁、很少使用的后窗的窃贼。 

我们应该这样看待 MFA：它是安全的重要组成部分，但只是一部分。它不会打败所有人，但可能会延迟或转移大多数人。用第二把锁加固前门是网络 CPTED 的重要组成部分，需要第二把钥匙。

由于传统的前门用户名和密码不再能延迟或转移攻击者（用户名通常是电子邮件地址，而密码太容易被网络钓鱼、嗅探、共享或猜测），我们有责任加强前门身份验证和访问，以便我们环境设计的这一部分能够在我们的整体安全防御中发挥作用。

显而易见的方法是添加一个额外的锁和一个一次性的钥匙，在使用前用户既不创建也不了解它。这种方法被称为多因素身份验证。但正如我们所见，目前的实现并非万无一失。主要方法是发送到用户设备的远程密钥生成（通常通过短信发送到移动设备）；本地应用生成的代码（例如 Google Authenticator）；以及本地保存的单独密钥生成器（例如 Yubico 的 Yubikey）。 

这些方法都解决了部分 MFA 威胁，但都无法解决所有威胁。这些方法都没有改变对设备而非用户进行身份验证的根本问题，虽然有些方法可以防止轻易拦截，但都无法抵御持续而复杂的社会工程攻击。尽管如此，MFA 仍然很重要：它可以转移或转移所有攻击者，除了最坚定的攻击者。

如果其中一名攻击者成功绕过或击败 MFA，他们就可以访问内部系统。环境设计的一部分包括内部监视（检测坏人）和活动支持（协助好人）。异常检测是企业网络的现有方法。移动威胁检测系统可以帮助防止坏人接管手机并拦截 SMS MFA 代码。

Zimperium 于 2024 年 9 月 25 日发布的《2024 年移动威胁报告》指出，82% 的网络钓鱼网站专门针对移动设备，独特的恶意软件样本比去年增加了 13%。对手机的威胁以及任何依赖手机的 MFA 的威胁都在增加，而且随着对抗性人工智能的出现，这种威胁可能会进一步恶化。

我们不应低估来自人工智能的威胁。人工智能不会带来新的威胁，但它会增加现有威胁的复杂性和规模（这些威胁已经奏效），并降低新手的进入门槛。Zimperium 美洲区副总裁 Kern Smith 评论道：“如果我想建立一个钓鱼网站，以前我必须学习一些编码并在 Google 上进行大量搜索。现在我只需使用 ChatGPT 或数十种类似的 gen-AI 工具之一，然后说，‘扫描一个可以捕获凭据并执行 XYZ 操作的网站……’无需任何重要的编码经验，我就可以开始构建有效的 MFA 攻击工具。”

正如我们所见，MFA 无法阻止坚定的攻击者。“你需要在设备上安装传感器和警报系统，这样你就能知道是否有人在试图测试边界，你就可以开始领先于这些坏人。”

Zimperium 的移动威胁防御功能可以检测并阻止网络钓鱼 URL，而其恶意软件检测功能可以减少手机上危险代码的恶意活动。

但始终值得考虑安全环境设计的维护要素。攻击者总是在创新。防御者也必须这样做。这种方法的一个例子是 2024年9月19日发布的Permiso通用身份图。该工具结合了以身份为中心的异常检测，结合了1,000多条现有规则和正在进行的机器学习，以跟踪所有环境中的所有身份。示例警报描述：MFA 默认方法降级；注册了弱身份验证方法；执行了敏感搜索查询……等等。

此次讨论的重要结论是，您不能依赖 MFA 来保证系统安全，但它是整个安全环境的重要组成部分。安全不仅仅是保护前门。它从那里开始，但必须考虑整个环境。没有 MFA 的安全不再被视为安全。 

— 欢迎关注

原文始发于微信公众号（祺印说信安）：多因素认证值得信赖的安全工具仍存在缺陷