面对着 MFA 所带来的安全问题我们需要采取措施

多年来，MFA的身份确认方案早已广泛采用，它的出现是因为传统的口令认证方式已经不能满足安全级别较高的系统认证需求，需要通过多个认证方式结合来提高安全性。虽然一些安全厂商声称通过MFA技术可以阻止99.99%的账户滥用攻击，但MFA在实际应用中的表现还远远称不上完美，攻击者总能找到绕过其防御的方法。

MFA疲劳：据报道，一些攻击者开始使用社会工程伎俩，向Office365用户发送大量的MFA推送通知（即通知轰炸）。面对大量通知，用户由于分心或不知所措而误以为是哪里出了岔子，或者将它们与正常的通知相混淆，因而攻击者得以越过MFA防御机制，闯入账户或系统设备。愿者上钩式网络钓鱼（consent phishing）是这种手段的另一种形式，可在某些特定情况下实现MFA安全机制绕过。

1、对现有MFA方案进行升级

组织可以采取很多措施来降低目前的MFA被网络钓鱼的可能性，包括向用户登录环节添加更多的信息和上下文，包括设备名称、全局ID和设备位置等信息，这样可以让用户对他们登录访问的对象更放心。MFA 解决方案还必须绑定到特定的URL、设备和主机，这样以便当处理遇到恶意软件中间人攻击请求时，解决方案将不允许恶意软件攻击者访问第三方平台的资源。

2、为MFA增加防御网络钓鱼功能

美国政府一直要求所有政府部门使用“防御网络钓鱼”的MFA。这意味着组织必须避免使用任何很容易被网络钓鱼的MFA技术，比如一次性密码、SMS文本消息、动态码以及推送通知。基于FIDO2（线上快速身份验证服务）框架的MFA方案会更加可靠，该框架让用户可以使用设备端的指纹读取器、摄像头及其他设备级/硬件安全检查机制，解锁以访问资源。由于凭据并不离开用户的设备，并不存储在任何地方，因此这消除了网络钓鱼和凭据被盗的风险。此外，它还允许您通过远程管理来控制您的计算机，从而提高了安全性。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!