很多專家都在說“密碼已死”�����,建議轉(zhuǎn)為使用更安全的MFA身份驗(yàn)證�����。
一些童鞋可能還記得���,去年七月�����,Twitter上曾經(jīng)發(fā)生一起震驚全球的比特幣騙局���。
一些全球知名人士,包括巴拉克·奧巴馬���、金·卡戴珊�����、杰夫·貝索斯�、埃隆·馬斯克等人紛紛發(fā)布推文稱想要“回饋社會”���,于是提供了一個(gè)比特幣錢包的地址����,并稱任何人只要在30分鐘內(nèi)向這個(gè)錢包打款���,就會雙倍金額奉還……
圖片源自網(wǎng)絡(luò)
分析發(fā)現(xiàn),此次詐騙得手的主要原因在于:Twitter對用戶進(jìn)行多重身份驗(yàn)證所用的推送通知服務(wù)中存在Bug��,進(jìn)而被黑客利用來盜竊賬戶進(jìn)而行騙。由此�����,我們不免要考慮一個(gè)問題:多重身份驗(yàn)證(MFA)�,這項(xiàng)技術(shù)還足夠安全嗎?
01 MFA技術(shù)有什么問題��?
很多專家都在說“密碼已死”��,建議轉(zhuǎn)為使用更安全的MFA身份驗(yàn)證����。到了2020年,PUSH2FA技術(shù)已經(jīng)發(fā)展成為一種“事實(shí)標(biāo)準(zhǔn)”���。但多年來�,大量攻擊者總在設(shè)法繞過諸如一次性密碼(OTP)�����、基于時(shí)間的滾動加密密碼�����,甚至基于手機(jī)短信的OTP驗(yàn)證碼等措施。理論上這些措施應(yīng)該很安全����,因?yàn)樽鳛檩o助驗(yàn)證措施的設(shè)備(如手機(jī))通常都被用戶自己所掌控,但實(shí)際情況遠(yuǎn)非如此��。
由于攻擊者發(fā)現(xiàn)了這個(gè)過程中一個(gè)新的薄弱環(huán)節(jié)��,最近甚至發(fā)展出一種SIM卡交換攻擊�����。為此����,攻擊者會聯(lián)系電信運(yùn)營商,誘騙他們向受害者的賬戶下添加一張新的SIM卡并成功激活�����,這樣就可以在不引起受害者警覺的情況下接受短信驗(yàn)證碼���。
不僅如此,現(xiàn)在還興起了一種類似于“中間人攻擊”的全新MFA攻擊方式。當(dāng)受害者試圖訪問社交媒體網(wǎng)站或在線銀行頁面時(shí)��,攻擊者會向受害者展示偽造的釣魚頁面��,誘騙用戶輸入自己的用戶名�����、密碼以及MFA二次驗(yàn)證代碼等信息��,進(jìn)而獲得賬戶訪問權(quán)�!
02 所以智能手機(jī)還適合用于MFA嗎?
智能手機(jī)���,通常會被認(rèn)為是一種“不安全”的設(shè)備��。手機(jī)可以連接互聯(lián)網(wǎng)��,支持藍(lán)牙通信���,可以運(yùn)行大量第三方軟件,始終開機(jī)幾乎不會關(guān)閉……正因?yàn)槿绱?�,一些廠商會建議人們不要繼續(xù)將智能手機(jī)作為MFA驗(yàn)證措施�,轉(zhuǎn)為使用各種專用的“安全令牌”硬件�����。但這種方式真的就更安全嗎�����?
圖片源自網(wǎng)絡(luò)
在花費(fèi)大量時(shí)間���、成本和人力部署這類技術(shù)前,也需要認(rèn)清這其中所蘊(yùn)含的一個(gè)重大瑕疵:這類安全令牌未必就更安全��,甚至可能還不如智能手機(jī)����!這類設(shè)備的用戶規(guī)模完全比不上智能手機(jī),因此并不像手機(jī)那么“久經(jīng)考驗(yàn)”��。此外����,一旦發(fā)現(xiàn)存在安全漏洞,往往也無法通過軟件更新的方式修補(bǔ)�,而只能直接更換令牌設(shè)備。類似事件已經(jīng)發(fā)生了:愛沙尼亞基于這類技術(shù)開發(fā)的電子身份證就因?yàn)槌霈F(xiàn)安全漏洞無法修補(bǔ)而被迫更換了750,000張身份證���。實(shí)際上�,就算安全性有足夠保證,別忘了這種設(shè)備也非常容易丟失�����。更麻煩的是�����,有時(shí)就算丟了��,用戶可能也要在幾天甚至幾周之后才能意識到����。
智能手機(jī)的攻擊面確實(shí)更大�����,不過至少它們的操作系統(tǒng)在安全性方面更有保障���。手機(jī)上的應(yīng)用程序會通過沙盒技術(shù)相互隔離���,手機(jī)廠商會定期發(fā)布安全更新����,大部分新款智能手機(jī)不僅支持生物特征身份驗(yàn)證�����,還具備內(nèi)置安全加密芯片����,這些優(yōu)勢使得智能手機(jī)作為MFA驗(yàn)證設(shè)備依然可以獲得足夠高的安全性。
使用智能手機(jī)進(jìn)行二次安全驗(yàn)證��,最大的好處在于:可以讓我們站在巨人的肩上�����。iPhone和Android操作系統(tǒng)會由業(yè)界最棒的專家和技術(shù)人員不斷修補(bǔ)和改進(jìn)完善��,他們的工作讓全球數(shù)十億臺設(shè)備變得更安全�,而相關(guān)成果對普通用戶來說完全是觸手可及的。
此外�����,安全����、可靠���、體驗(yàn)一流的MFA也離不開專門的解決方案。致力于簡化客戶身份和訪問管理(CIAM)的Akamai Identity Cloud就是這樣的一種云原生SaaS解決方案���。它提供了可快速部署的單點(diǎn)登錄(SSO)、注冊和身份驗(yàn)證功能�。借助該解決方案,企業(yè)可以在一個(gè)靈活的平臺中實(shí)現(xiàn)合規(guī)的許可和偏好管理����,跨不同用例、地區(qū)和法規(guī)進(jìn)行擴(kuò)展��,并支持?jǐn)?shù)百萬級別的用戶����。
在MFA方面,Identity Cloud提供了基于角色和基于屬性的訪問控制(RBAC和ABAC)�����,以及基于風(fēng)險(xiǎn)的多重身份驗(yàn)證(MFA)選項(xiàng)��,通過采用API優(yōu)先的架構(gòu),為UX設(shè)計(jì)和集成提供了出色的靈活性���,并通過強(qiáng)大且多樣化的身份驗(yàn)證選項(xiàng)��、先進(jìn)的密碼保護(hù)功能和獨(dú)特的范圍訪問控制���,更好地保護(hù)業(yè)務(wù)系統(tǒng)中的各類數(shù)據(jù)。
立即登錄����,閱讀全文
版權(quán)說明:
本文內(nèi)容來自于Akamai�,本站不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任�����。文章內(nèi)容系作者個(gè)人觀點(diǎn)��,不代表快出海對觀點(diǎn)贊同或支持�����。如有侵權(quán),請聯(lián)系管理員(zzx@kchuhai.com)刪除����!
閩公網(wǎng)安備 35010202001226號
