很多專家都在說(shuō)“密碼已死”,建議轉(zhuǎn)為使用更安全的MFA身份驗(yàn)證���。
一些童鞋可能還記得���,去年七月,Twitter上曾經(jīng)發(fā)生一起震驚全球的比特幣騙局���。
一些全球知名人士�����,包括巴拉克·奧巴馬����、金·卡戴珊�����、杰夫·貝索斯、埃隆·馬斯克等人紛紛發(fā)布推文稱想要“回饋社會(huì)”�,于是提供了一個(gè)比特幣錢包的地址,并稱任何人只要在30分鐘內(nèi)向這個(gè)錢包打款���,就會(huì)雙倍金額奉還……
圖片源自網(wǎng)絡(luò)
分析發(fā)現(xiàn)���,此次詐騙得手的主要原因在于:Twitter對(duì)用戶進(jìn)行多重身份驗(yàn)證所用的推送通知服務(wù)中存在Bug,進(jìn)而被黑客利用來(lái)盜竊賬戶進(jìn)而行騙���。由此,我們不免要考慮一個(gè)問題:多重身份驗(yàn)證(MFA)��,這項(xiàng)技術(shù)還足夠安全嗎��?
01 MFA技術(shù)有什么問題�?
很多專家都在說(shuō)“密碼已死”,建議轉(zhuǎn)為使用更安全的MFA身份驗(yàn)證���。到了2020年���,PUSH2FA技術(shù)已經(jīng)發(fā)展成為一種“事實(shí)標(biāo)準(zhǔn)”。但多年來(lái),大量攻擊者總在設(shè)法繞過諸如一次性密碼(OTP)��、基于時(shí)間的滾動(dòng)加密密碼�����,甚至基于手機(jī)短信的OTP驗(yàn)證碼等措施�����。理論上這些措施應(yīng)該很安全����,因?yàn)樽鳛檩o助驗(yàn)證措施的設(shè)備(如手機(jī))通常都被用戶自己所掌控,但實(shí)際情況遠(yuǎn)非如此�。
由于攻擊者發(fā)現(xiàn)了這個(gè)過程中一個(gè)新的薄弱環(huán)節(jié),最近甚至發(fā)展出一種SIM卡交換攻擊�。為此,攻擊者會(huì)聯(lián)系電信運(yùn)營(yíng)商��,誘騙他們向受害者的賬戶下添加一張新的SIM卡并成功激活�����,這樣就可以在不引起受害者警覺的情況下接受短信驗(yàn)證碼���。
不僅如此����,現(xiàn)在還興起了一種類似于“中間人攻擊”的全新MFA攻擊方式。當(dāng)受害者試圖訪問社交媒體網(wǎng)站或在線銀行頁(yè)面時(shí)�,攻擊者會(huì)向受害者展示偽造的釣魚頁(yè)面,誘騙用戶輸入自己的用戶名���、密碼以及MFA二次驗(yàn)證代碼等信息���,進(jìn)而獲得賬戶訪問權(quán)!
02 所以智能手機(jī)還適合用于MFA嗎�����?
智能手機(jī)���,通常會(huì)被認(rèn)為是一種“不安全”的設(shè)備。手機(jī)可以連接互聯(lián)網(wǎng)�����,支持藍(lán)牙通信���,可以運(yùn)行大量第三方軟件��,始終開機(jī)幾乎不會(huì)關(guān)閉……正因?yàn)槿绱?�,一些廠商會(huì)建議人們不要繼續(xù)將智能手機(jī)作為MFA驗(yàn)證措施���,轉(zhuǎn)為使用各種專用的“安全令牌”硬件��。但這種方式真的就更安全嗎�?
圖片源自網(wǎng)絡(luò)
在花費(fèi)大量時(shí)間�����、成本和人力部署這類技術(shù)前���,也需要認(rèn)清這其中所蘊(yùn)含的一個(gè)重大瑕疵:這類安全令牌未必就更安全�����,甚至可能還不如智能手機(jī)��!這類設(shè)備的用戶規(guī)模完全比不上智能手機(jī)����,因此并不像手機(jī)那么“久經(jīng)考驗(yàn)”。此外���,一旦發(fā)現(xiàn)存在安全漏洞���,往往也無(wú)法通過軟件更新的方式修補(bǔ),而只能直接更換令牌設(shè)備�����。類似事件已經(jīng)發(fā)生了:愛沙尼亞基于這類技術(shù)開發(fā)的電子身份證就因?yàn)槌霈F(xiàn)安全漏洞無(wú)法修補(bǔ)而被迫更換了750,000張身份證����。實(shí)際上,就算安全性有足夠保證��,別忘了這種設(shè)備也非常容易丟失��。更麻煩的是���,有時(shí)就算丟了,用戶可能也要在幾天甚至幾周之后才能意識(shí)到��。
智能手機(jī)的攻擊面確實(shí)更大��,不過至少它們的操作系統(tǒng)在安全性方面更有保障。手機(jī)上的應(yīng)用程序會(huì)通過沙盒技術(shù)相互隔離�����,手機(jī)廠商會(huì)定期發(fā)布安全更新��,大部分新款智能手機(jī)不僅支持生物特征身份驗(yàn)證���,還具備內(nèi)置安全加密芯片��,這些優(yōu)勢(shì)使得智能手機(jī)作為MFA驗(yàn)證設(shè)備依然可以獲得足夠高的安全性���。
使用智能手機(jī)進(jìn)行二次安全驗(yàn)證,最大的好處在于:可以讓我們站在巨人的肩上��。iPhone和Android操作系統(tǒng)會(huì)由業(yè)界最棒的專家和技術(shù)人員不斷修補(bǔ)和改進(jìn)完善�,他們的工作讓全球數(shù)十億臺(tái)設(shè)備變得更安全,而相關(guān)成果對(duì)普通用戶來(lái)說(shuō)完全是觸手可及的�。
此外,安全���、可靠�����、體驗(yàn)一流的MFA也離不開專門的解決方案�����。致力于簡(jiǎn)化客戶身份和訪問管理(CIAM)的Akamai Identity Cloud就是這樣的一種云原生SaaS解決方案�����。它提供了可快速部署的單點(diǎn)登錄(SSO)���、注冊(cè)和身份驗(yàn)證功能���。借助該解決方案,企業(yè)可以在一個(gè)靈活的平臺(tái)中實(shí)現(xiàn)合規(guī)的許可和偏好管理���,跨不同用例��、地區(qū)和法規(guī)進(jìn)行擴(kuò)展��,并支持?jǐn)?shù)百萬(wàn)級(jí)別的用戶�。
在MFA方面���,Identity Cloud提供了基于角色和基于屬性的訪問控制(RBAC和ABAC)���,以及基于風(fēng)險(xiǎn)的多重身份驗(yàn)證(MFA)選項(xiàng),通過采用API優(yōu)先的架構(gòu)���,為UX設(shè)計(jì)和集成提供了出色的靈活性���,并通過強(qiáng)大且多樣化的身份驗(yàn)證選項(xiàng)、先進(jìn)的密碼保護(hù)功能和獨(dú)特的范圍訪問控制�����,更好地保護(hù)業(yè)務(wù)系統(tǒng)中的各類數(shù)據(jù)�����。
立即登錄��,閱讀全文
版權(quán)說(shuō)明:
本文內(nèi)容來(lái)自于Akamai���,本站不擁有所有權(quán)���,不承擔(dān)相關(guān)法律責(zé)任���。文章內(nèi)容系作者個(gè)人觀點(diǎn),不代表快出海對(duì)觀點(diǎn)贊同或支持�。如有侵權(quán),請(qǐng)聯(lián)系管理員(zzx@kchuhai.com)刪除�����!
閩公網(wǎng)安備 35010202001226號(hào)
