MFA不再万能,如何守护网安第一道防线?
作者: 日期:2024年10月30日 阅:944

今年2月,香港一名金融工作人员被使用深度伪造技术冒充公司首席财务官的诈骗者支付了 2500 万美金,尽管这个工作人员还通过视频通话做了“确认”……

随着网络威胁的日益复杂,类似这样的身份伪造案例越来越多,曾经被认为万能的MFA(多因素认证)已经难再应对。供应商和政府机构都在警告公司,当前很多情况下MFA系统是无效且容易受到攻击的。英国国家网络安全中心近日就建议企业要改变对MFA的看法,不应将MFA视为一劳永逸的安全措施,因为攻击者能像拦截密码一样拦截MFA密钥。

如果MFA的魔法失灵了,那我们该怎么处理身份认证呢?

MFA不可承受之重

身份认证被认为是网络安全的第一道防线,确保只有授权的用户能够访问敏感数据和资源,从而防止未经授权的访问和数据泄露。

近年来,网络攻击日益复杂和频繁,传统的身份认证方法如密码已难以提供足够的保护。Verizon的一项研究发现,80%的数据泄露事件涉及弱密码或被盗凭证,凸显了强化身份认证的重要性。为应对这一挑战,多因素认证开始广泛应用于企业和关键基础设施。美国网络安全与基础设施安全局(CISA)将MFA列为基本网络安全防护措施之一。

多因素认证通过结合两种或多种独立凭证来验证用户身份,为身份认证提供额外的安全层,旨在防止未经授权的访问。微软2020年的数据显示,启用MFA可以阻止99.9%的账户入侵尝试。缺乏MFA保护已经成为很多网络攻击的目标。

然而,MFA并非万无一失。攻击者一直在寻找新的方法来破坏MFA。英国国家网络安全中心(NCSC)指出,社会工程技术已被用于用来破坏MFA,并观察到针对启用MFA账户的攻击在过去几年中呈上升趋势。

Uber在2022年遭遇了一起针对MFA的严重网络安全事件。攻击者通过向员工发送虚假的MFA通知,结合社会工程学手段,诱骗其点击恶意链接并输入凭证,最终获得了内部系统的访问权限。可见,即使启用了MFA,员工的安全意识薄弱也可能导致身份认证被破坏。

除了社会工程攻击外,MFA还面临其他局限性。传统的基于短信的MFA容易受到SIM卡交换攻击和SS7漏洞的影响。推送通知也可能被用户误认为是垃圾信息而忽略。此外,MFA的实施与管理可能带来额外的复杂性和成本,特别是对于拥有众多用户和遗留系统的大型企业而言。

正如NCSC所建议的那样,业需要重新审视其MFA策略;不能将MFA视为一劳永逸的解决方案,而应根据组织的特点和风险状况,选择合适的身份认证方式。

总而言之,随着网络威胁的不断演进,MFA 等传统身份认证方法已经难以应对日益复杂的网络威胁,企业需要采用更先进、多层次的认证手段。

影响下一代身份认证的四项技术

在这种背景下,下一代身份认证技术正应运而生,其中人工智能、生物识别、区块链和后量子密码学等前沿技术备受关注。

人工智能在身份认证领域大有可为

机器学习算法可以通过分析海量数据,识别用户行为模式中的异常,实现实时威胁检测。例如,如果一个用户突然从一个陌生的地理位置登录,或者尝试访问平时不常访问的敏感资源,AI系统就可以标记这种行为并触发额外的验证步骤。此外,AI还可以根据用户的风险状况,动态调整认证要求,实现自适应认证。这种方法可以在提高安全性的同时,最大限度地减少对用户体验的影响。

生物识别技术的进步为身份认证带来了新的可能性

传统的生物识别方法如指纹、面部识别等已得到广泛应用,但多模态生物识别和行为生物识别有望进一步提高认证的准确性和安全性。多模态生物识别通过结合多种生物特征(如虹膜和指纹)来验证身份,大大降低了伪造的风险。行为生物识别则通过分析用户的行为模式(如击键节奏、鼠标移动轨迹等)来持续验证用户身份,即使攻击者窃取了用户的静态凭证,也难以复制其独特的行为特征。

区块链技术为身份管理提供了一种去中心化的解决方案

基于区块链的身份认证系统允许用户对自己的身份信息进行掌控,选择性地与第三方共享必要的信息,而无需依赖中心化的身份提供商。这种自主身份(Self-Sovereign Identity, SSI)模型不仅增强了隐私保护,也使身份认证过程更加透明和安全。智能合约作为区块链的重要特性,可以自动化访问控制流程,消除人为错误,提高合规性。

后量子密码学为未来的身份认证提供了安全保障

随着量子计算的发展,传统加密算法面临被破解的风险。而后量子密码学致力于开发能够抵御量子计算攻击的密码算法,如格基密码和哈希签名等。量子密钥分发(QKD)利用量子力学原理在通信双方之间建立共享的随机密钥,理论上可以实现无条件安全的通信。量子安全直接通信(QSDC)更进一步,无需共享密钥即可直接传输安全消息。这些技术的进步有望彻底改变身份认证的安全格局。

VCN有望重塑数字身份管理的格局

未来,身份认证技术将朝着更加智能、无缝、安全的方向发展。

零信任安全模型的兴起预示着身份认证的重要性将进一步提升。与传统的基于边界的安全模型不同,零信任要求对每个用户和设备进行持续的身份验证和授权,确保只有受信任的实体才能访问网络资源。在零信任架构下,身份认证不再是一次性的行为,而是贯穿整个访问生命周期的动态过程。

同时,身份认证也将变得更加无缝和透明。随着人工智能和生物识别技术的进步,未来的身份认证将能够在不影响用户体验的情况下提供更高的安全性。连续身份认证和隐形认证等新兴技术可以持续监测用户行为和环境因素,实现实时风险评估和动态访问控制。用户无需频繁输入密码或进行显式认证,系统会根据用户的行为模式和上下文信息自动判断其身份的可信度。

此外,身份认证的互操作性和标准化也将成为重要趋势随着企业IT环境日益复杂,不同的身份认证系统需要实现无缝集成和互通,一方面可以最大限度地降低与跨各种平台存储多个凭证相关的风险,另一方面还可以减少数据泄露和身份盗用的漏洞。身份联盟和联合身份管理可以允许用户使用一个身份凭证访问多个应用程序和服务,简化身份管理流程。跨域身份认证和单点登录技术则可以实现跨组织、跨平台的身份共享与协作。

然而,构建未来的身份认证生态也面临诸多挑战。隐私保护和数据安全始终是备受关注的问题。用户的生物识别数据和行为信息属于高度敏感的个人数据,一旦泄露或滥用,后果不堪设想。因此,在采用新的身份认证技术时,必须严格遵守隐私法规,并采取强有力的数据保护措施。

值得一提的是,可验证凭证网络 (Verifiable Credentials Networks,VCN)可能会在这种背景下兴起。VCN是一种去中心化的系统,通过提供去中心化的凭证发行、存储和验证框架,增强用户控制、隐私和安全性,同时降低欺诈风险。其中,可验证凭证(VC)是一种标准化的方式,用于数字化表示和共享身份信息,旨在安全、防篡改并易于验证·。VC 使用加密方法确保其中包含的信息可以被信任,并且第三方无需直接联系发行者即可进行验证。VCN代表了一种变革性的数字身份管理方法,使个人能够安全、私密地控制和分享自己的个人信息。这种方法符合日益增长的隐私问题和法规要求。

有观点认为,VCN有望重塑数字身份管理的格局,使其更加高效、安全和以用户为中心。当前,Badge 和 Cisco Duo 等合作伙伴专注于通过可验证凭证实现无密码注册,让用户能够通过生物识别进行身份验证,无需传统的 MFA 方法,如令牌或重复的身份验证。

与此同时,多因素认证(MFA)与可验证凭证(VC)网络的融合正在成为增强数字安全的重要趋势。这种融合利用了两种技术的优势,提供强大的身份验证和访问控制机制,不但能够显著降低未授权访问的风险,比如说,用户可能需要提供一个 VC并完成一 MFA 验证才能访问敏感信息或服务;还能简化用户体验:一旦用户的身份通过 VC 验证,他们可选择干扰较小的MFA方法进行身份验证,如生物识别验证或推送通知。

在网络威胁不断演变的背景下,企业需要与时俱进,积极拥抱创新技术,构建多层次、动态适应的身份认证体系。同时,身份认证的未来也离不开各方的通力合作。产业界、学术界、政府等不同主体应通力合作,携手推动身份认证相关标准和规范的建立,加强跨域互信与协作。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章