多重身份验证 (MFA)已被黑客突破了其防御

2023年，著名网络安全公司KnowBe4对2600名IT专业人士进行的一项调查仍然显示，大型组织和中小型企业之间的安全实践存在巨大差异。

虽然只有 38% 的大型组织尚未实施多重身份验证 ( MFA ) 来保护其用户帐户，但比例更高的中小型企业 (62%) 尚未采用任何形式的 MFA。

不过，趋势是积极的：随着无密码方法的日益普及和应用程序的复杂性不断增加，MFA 的使用正在变得广泛。

例如，2021年，美国拜登政府发布了一项改善国家网络安全的行政命令，随后谷歌对所有员工引入了强制性的MFA要求。

随后，微软加强了在Azure上的身份验证实践，推动持续、全面的身份验证。

如今，根据一项调查，三分之二的日常用户经常使用 MFA，90% 的企业管理员采用它来保护访问。

MFA 安全：机遇与挑战

现在大多数人都认识到 MFA 在提高安全性方面的好处。

然而，这项技术的实施仍然参差不齐，导致安全管理者和用户感到困惑。

添加身份验证因素会增加用户的工作量，从而对 MFA 的传播造成额外的障碍。

尽管如此，规避 MFA 的尝试却越来越频繁。

例如，最近的鱼叉式网络钓鱼攻击针对使用 Microsoft 365 的小型企业，2022 年Okta成为破坏源代码和窃取用户凭据的攻击的受害者。

这些事件对 MFA 的正确实施提出了质疑。

MFA 面临的主要威胁

在 MFA 实施中的常见错误中，三种攻击模式最为突出：

1. MFA 疲劳或推送轰炸：此方法包括发送大量权限请求（通常以推送通知的形式），直到不堪重负的用户向攻击者授予访问权限。2022年Uber发生的安全事件就是一个典型的例子。

2.社会工程和网络钓鱼：攻击者将社会工程技术与网络钓鱼攻击相结合，利用远程办公等用户行为的变化来操纵用户并窃取他们的 MFA 令牌。

3. 针对没有 MFA 的用户和系统：尽管 MFA 的采用有所增加，但它仍然不普遍。攻击者利用这一漏洞来攻击具有弱密码的用户和系统，2021 年的 Colonial Pipeline 攻击就证明了这一点。

防御 MFA 攻击的策略

为了在不影响用户体验的情况下提高 MFA 安全性，您可以采用以下几种策略：

1. 评估关键资源：了解要保护哪些资源至关重要。CISA建议对最关键的组件（例如硬件密钥）使用与FIDO协议兼容的系统。

2. 基于风险的身份验证：安全保护应根据用户行为动态调整。持续评估访问权限、限制对工作所需数据的访问也很重要。

3. 改进密码重置流程：通常，密码重置代表着一个漏洞。重置过程集成双因素身份验证至关重要。

4. 识别面临风险的用户：有必要识别和保护具有高访问权限的用户，他们往往是有针对性的攻击的目标。

综上所述，MFA的精准规划和实施对于保障企业安全、应对当前和未来的威胁、遵守政府和行业法规至关重要。