订阅我们的每日和每周新闻通讯,获取有关行业领先人工智能报道的最新更新和独家内容。了解更多
长期以来,多因素身份验证(MFA)——通过推送通知、身份验证器应用程序或其他辅助步骤——被认为是解决日益严重的网络安全问题的答案。
但黑客狡猾而狡诈,他们不断想出新的方法来突破MFA的堡垒。
如今的企业需要更强大的防御——虽然专家表示MFA仍然至关重要,但它应该只是身份验证过程中的一个很小的部分。
IDC安全与信任部门集团副总裁弗兰克·迪克森表示:“传统的MFA方法,如短信和推送通知,已被证明容易受到各种攻击,使其几乎与单独使用密码一样容易受到攻击。日益普遍的复杂威胁要求转向更强大的身份验证方法。”
曾经被认为可靠的依靠密码的做法现在似乎已经过时。
无论它们包含什么数字、字母、特殊字符或数字组合,它们都变得很容易被窃取,因为用户粗心大意、懒惰、轻信或过度信任。
CTM insights创始人兼管理合伙人卢·斯坦伯格表示:“传统密码只是共享的秘密,与数千年前罗马哨兵要求秘密密码的程度并没有什么不同(‘站住,谁在那里?密码是什么?’)。”
思科身份安全产品副总裁马特·考菲尔德告诉VentureBeat:“一旦这些密码被盗,游戏就结束了。”
随着更多企业在20世纪90年代中期到2000年代初开始上网,MFA变得更加主流,它似乎是传统密码的解决方案。但随着数字化转型、向云端的迁移以及数十甚至数百个SaaS应用程序的采用,企业比以往任何时候都更加脆弱。它们不再安全地隐藏在防火墙和数据中心后面。它们缺乏控制和透明度。
考菲尔德说:“MFA在很长一段时间内改变了游戏规则。但我们在过去5年中发现,随着这些最近的身份攻击,MFA很容易被攻破。”
对MFA最大的威胁之一是社会工程学或更个性化的心理策略。由于人们在社交媒体或领英上将自己在线展示得如此之多,攻击者可以自由地研究世界上任何一个人。
考菲尔德表示,由于越来越复杂的AI工具,隐蔽的威胁行为者可以“大规模”地策划攻击活动。他们最初会使用网络钓鱼来访问用户的首要凭据,然后利用基于AI的联络方式来欺骗用户分享第二个凭据或采取允许攻击者进入其帐户的操作。
或者,攻击者会向用户的辅助MFA短信或推送通知方法发送垃圾邮件,导致“MFA疲劳”,最终用户会屈服并点击“允许”。威胁行为者还会诱导受害者,使情况看起来很紧急,或者欺骗他们认为他们收到了来自IT帮助台的合法消息。
与此同时,在中间人攻击中,攻击者可以在用户和提供者之间的传输过程中拦截代码。威胁行为者还可以部署模拟登录页面的工具,欺骗用户提供密码和MFA代码。
MFA的弊端促使许多企业采用无密码方法,如密钥、设备指纹、地理位置或生物识别技术。
制造广泛使用的YubiKey设备的Yubico标准和联盟副总裁德里克·汉森解释说,使用密钥,用户通过存储在他们的计算机或设备上的加密安全“密钥”进行身份验证。
各方必须提供身份证明并传达他们启动身份验证的意图。用户可以使用生物识别传感器(如指纹或面部识别)、PIN码或图案登录应用程序和网站。
汉森说:“用户不需要回忆或手动输入可能被遗忘、被盗或被拦截的长字符序列。”这减轻了用户在网络钓鱼攻击期间做出正确选择而不交出凭据的负担。
Bitwarden无密码主管安德斯·阿贝格解释说:“设备指纹或地理位置等方法可以补充传统的MFA。这些方法根据用户行为和上下文(如位置、设备或网络)调整安全要求,从而减少摩擦,同时保持高安全性。”
考菲尔德同意,设备和生物识别技术的组合使用正在上升。在初始登录和验证时,用户会出示他们的面部以及护照或驾驶执照等物理身份证明,系统会执行3D映射,这是一种“活体检测”。一旦照片ID与政府数据库确认,系统就会注册设备和指纹或其他生物识别信息。
考菲尔德说:“你有设备、你的脸、你的指纹。设备信任部分作为防止网络钓鱼和基于AI的网络钓鱼攻击的新银弹变得更加普遍。我称之为MFA的第二波。第一波是银弹,直到它不再是。”
然而,这些方法也不是完全万无一失的。黑客可以使用深度伪造或简单地窃取合法用户的照片来绕过生物识别工具。
斯坦伯格说:“生物识别技术比密码更强大,但一旦被泄露,就无法更改。你可以更改密码,但你有没有试过更改指纹?”
考菲尔德指出,组织正在整合分析工具并积累大量数据——但他们没有利用这些数据来加强网络安全。
考菲尔德说:“这些工具会生成大量遥测数据”,例如谁在登录、从哪里登录以及使用什么设备。但他们随后“将所有这些数据发送到黑洞中”。
他说,即使在事后,高级分析也可以帮助进行身份威胁检测和分析,即使在攻击者绕过MFA时提供“权宜之计或安全措施”。
数据隐私公司Baffle的联合创始人兼首席执行官阿米什·迪瓦蒂亚表示,最终,企业必须制定一个安全策略。个人身份信息(PII)和其他机密数据必须受到加密保护(屏蔽、令牌化或加密)。
迪瓦蒂亚说:“即使你遭受数据泄露,加密保护的数据对攻击者来说也是无用的。”事实上,他指出,GDPR和其他数据隐私法不要求公司在加密保护的数据泄露时通知受影响的各方,因为数据本身仍然安全。
迪瓦蒂亚说:“安全措施只是意味着,当你的一个或多个网络安全防御措施失效时,你的数据仍然安全。”
尽管如此,这并不意味着MFA将完全消失。
迪克森说:“在整个计划中,身份验证的层次结构从MFA开始,因为弱MFA仍然比没有MFA好,这一点不应该被忽视。”
正如考菲尔德指出的那样,它被称为多因素身份验证是有原因的——“多”可以指任何东西。它最终可以是密码、推送通知、指纹扫描、设备的物理拥有、生物识别或硬件和RSA令牌(以及接下来出现的任何东西)的混合。
他说:“MFA将继续存在,只是现在的定义是‘你的MFA有多好?’它是基本的、成熟的还是优化的?然而,最终,他强调:“永远不会有一个单一因素本身是完全安全的。”
