| 羅心妤/東海大學資訊管理學系 |
多重要素驗證[1]的介紹
多重要素驗證(Multi-factor authentication,MFA),又譯多因子認證,是一種身分驗證的方法,它要求使用者要通過兩個或以上的驗證要素後才能獲得授權。MFA透過將使用者訪問權與多種因素結合,讓常見的網路威脅變得難以成功,因此被認為是保護帳號與憑證的最佳安全方法之一。目前主要的MFA身份驗證類型分別為:
- 知識資訊(Something you know):例如使用者名稱、密碼
- 持有資訊(Something you have):例如獨立的裝置、身分證、提款
- 生物資訊(Something you are):例如臉部辨識、指紋辨識
- 位置資訊(Somewhere you are):例如IP位址或地理資訊
MFA需要符合兩種以上「不同類型」的驗證方法,假設使用指紋辨識與臉部辨識登入,則因為皆屬於「生物資訊」而不符合MFA,最熟悉的方式莫過於在ATM提款時需要放入銀行卡片(Things you have)與輸入提款密碼(Things you know)。
MFA的優勢
- 減少網路釣魚和身份盜用:MFA需要兩種以上的驗證分法,使駭客更難破解與發動攻擊。
- 對抗疲勞密碼:使用者為了方便記憶,會設置簡單、易猜測的密碼,或是於不同帳號中重複使用相同密碼,在無形中增加了安全風險。有鑑於此,許多應用程式開始規定複雜的密碼設置標準,迫使密碼已不再是「Something you know」。MFA的驗證機制不僅可以防止密碼疲勞,也增加了安全緩衝,即使得到了使用者重複的密碼,也無法通過第二階段認證。
- 簡化安全驗證過程:一次性密碼(one-time password,OTP)通過簡訊或語音發送時間敏感、唯一且隨機的代碼,從而保護基於Web的服務、私人憑證和資料。 隨著愈漸頻繁的線上交易, MFA將安全性與應用程式的便利性結合,使客戶能夠簡化登錄,同時保持高安全標準。
意想不到的新攻擊法:MFA疲勞攻擊
雖然駭客可以使用多種方法繞過MFA,但大多數都是通過惡意軟體或是網絡釣魚攻擊。然而,一種運用社會工程(social engineering)的新方法在近幾個月開始蠻橫地蔓延,那就是「MFA疲勞攻擊」,亦稱為MFA提示轟炸。
MFA疲勞攻擊的第一步是獲取使用者的基本登入資訊,例如:電子郵件和密碼。一旦攻擊者通過了第一個登入步驟,第二步便是反覆傳送身份驗證確認訊息,希望另一端的人「按錯」或在訊息轟炸下屈服。雖然MFA疲勞攻擊不能保證成功,但做為相對簡單的攻擊手法,它可以很容易地規模化擴大攻擊範圍,加大成功的機率。
駭客組織Lapsus$運用類似手法在2022年攻破了微軟、思科、Okta和Uber等多家國際知名企業[2]。Lapsus$竊取的內容並非皆為企業核心資訊,不會造成過大的實質虧損,然而由此風波所引起的「信任危機」,其傷害將難以估計,此事件也讓數千家組織處於高度警戒狀態。
如何防止MFA疲勞攻擊
1.向客戶提供足夠的資訊、更改太過簡單的驗證要素[3]
根據微軟的研究,大約1%的使用者會在第一次嘗試時接受簡單的批准請求。因此在驗證中增加「上下文資訊」來吸引使用者目光便能降低「按錯」的機率。例如,在確認通知中放入IP登錄位置的地圖資訊,有助於使用者了解登入的來源。此外,針對此類攻擊更有效的方法是調整驗證方式,例如以輸入螢幕上的一次性密碼,以主動輸入內容替代被動按下選項。
2.增加認證時的限制[4]
MFA疲勞利用了「人性」在MFA的關鍵弱點,因此只要在登入時設立一些機制便能防範。例如:限制使用者的嘗試驗證次數、增加時間限制,便可以有效制止疲勞攻擊。
3.緩解登入疲勞-零信任、零密碼
除了源於駭客惡意訊息轟炸的「疲勞」,使用者在日常生活中頻繁收到驗證通知也會造成警覺性「疲勞」。擺脫欺詐性提示的關鍵步驟將是迎接「零密碼」,若是密碼不存在,便不會出現盜取密碼後的MFA疲勞攻擊。科技巨頭Apple、Google和Microsoft在今年五月[5](2022)承諾擴大對FIDO標準[6]的支持,以加快無密碼登錄的可用性。
結語
隨著快速攀升的網路攻擊數量以及層出不窮的重大資訊洩漏事件,資訊安全的議題越來越受到重視,在開發新服務或新產品的同時,如何降低其中的資訊安全風險儼然成為重要的考慮因素。
企業可以採用雙管齊下的做法,一方面教育使用者資安知識,例如:如何應對攻擊;另一方面設計兼具簡單快速及安全穩定的驗證方式,抑或是讓產品採用更安全的機制。然而,完美的傳輸機制或安全協定不可能存在,企業必須透過不斷消除網路安全鏈中的關鍵弱點或已知問題,來探討出更合適於環境的新做法。
[1] Seth Rosenblatt, Jason Cipriani (2015). Two-factor authentication: What you need to know (FAQ) 檢自:https://www.cnet.com/news/privacy/two-factor-authentication-what-you-need-to-know-faq/ (Nov. 7, 2022)
[2] VERGE STAFF (2022). Lapsus$ cyberattacks: the latest news on the hacking group 檢自:https://www.theverge.com/22998479/lapsus-hacking-group-cyberattacks-news-updates (Nov. 7, 2022)
[3] Alex Weinert (2022). Defend your users from MFA fatigue attacks 檢自:https://techcommunity.microsoft.com/t5/microsoft-entra-azure-ad-blog/defend-your-users-from-mfa-fatigue-attacks/ba-p/2365677 (Nov. 7, 2022)
[4] Joe Köller (2022). MFA Fatigue: Everything You Need to Know About the New Hacking Strategy 檢自:https://www.tenfold-security.com/en/mfa-fatigue/ (Nov. 7, 2022)
[5] PRESS RELEASE OF APPLE (2022). Apple, Google, and Microsoft commit to expanded support for FIDO standard to accelerate availability of passwordless signins 檢自:https://www.apple.com/newsroom/2022/05/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard/ (Nov. 7, 2022)
[6] FIDO Alliance Specifications Overview (2022). 檢自:https://fidoalliance.org/specifications/
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
