MFA头

什么是多因素身份验证及其工作原理?

多因素身份验证总是比单因素身份验证更可取,但它 不是unhackable. 这是为什么.

获取白皮书


多因素认证已定义

多因素身份验证(多因素身份验证, MFA)是指用户或设备提供与特定数字身份相关的两种或两种以上不同类型的控制证明的过程, 以便获得对相关权限的访问权限, 权利, 特权, 和会员. 双因素身份验证(2FA)意味着成功的身份验证只需要两个证明, 是MFA的一个子集.  

没有一个MFA解决方案是不可破解的

大多数使用MFA的公司仍然被成功入侵.——罗杰·格莱姆斯,2018年

MFA背景

与普遍的看法相反, 所有多因素身份验证机制都可能被破坏, 在某些情况下, 就像送传统的一样简单 彩票app下载 电子邮件. 

数十年来对单因素认证方法的成功攻击, 比如登录名和密码, 正在推动越来越大规模的安全运动, 多因素身份验证(MFA)解决方案,适用于企业环境和网站. 这一趋势的例证是过去几年的事实, 最受欢迎的网站和服务, 包括谷歌所拥有的, 微软, 脸谱网, 和推特, 为客户提供MFA解决方案. 许多网站和服务现在既提供传统的登录名/密码解决方案,又提供更安全的登录名/密码解决方案, MFA选项.

一些大公司喜欢 谷歌 通过将用户基础从单因素身份验证转移到多因素身份验证,他们在防御一些常见的黑客攻击方面取得了巨大成功吗. 大多数流行的操作系统默认都支持MFA解决方案, 以及数百个第三方供应商提供的其他MFA解决方案. 常见的开放MFA标准,如由 狗联盟,正被广泛采用.

MFA以前(主要)用于需要最高安全保证的组织和网站. 今天, 普通组织和网站正在提供或使用MFA令牌, MFA令牌可以以每台设备几美元的价格购买. 许多消费者非常信任MFA解决方案的安全性,因此他们正在购买和使用MFA, 当可能和允许时, 在所有允许的网站和服务上.

MFA的广泛采用对计算机防御是一个积极的发展,将击败许多威胁,否则更容易成功对抗单因素身份验证解决方案. 其他一切都是平等的, 所有管理员和用户都应该考虑并使用MFA解决方案,而不是单因素身份验证解决方案来保护敏感数据.

话虽如此, MFA降低计算机安全风险的能力被许多供应商和支持者夸大了, 导致了一种误解,即MFA的应用意味着所有针对单因素身份验证成功的攻击都不能成功针对MFA. 例如, 许多MFA管理员和用户认为电子邮件钓鱼不再是一个威胁,因为用户的登录凭证无法被钓鱼. 这是不对的.

而MFA确实会减少, 在某些情况下, 显著降低特定计算机安全风险, 大多数可以成功对抗单因素身份验证的攻击也可以成功对抗MFA解决方案. 有超过12种方法来攻击不同的MFA解决方案. 通常,单一MFA解决方案容易受到多种开发方法的影响.


 

 

入侵多因素认证:
一位IT专业人士在测试150个MFA产品后的经验教训

罗杰一. 格里姆斯, KnowBe4的数据驱动防御布道者在研究他的新书《彩票app下载》时测试了超过150个MFA解决方案.他想和你分享他学到的东西! 加入罗杰,因为他讨论了好的,坏的和丑陋的教训,他从他的研究. 他会和你分享什么是有效的,什么是无效的,什么是你绝对应该避免的.

观看网络研讨会

12种方法击败多因素认证网络研讨会

众所周知,多因素身份验证(MFA)比简单的登录名和密码更安全, 但是太多人认为艺术硕士是一个完美的, unhackable解决方案. 它不是!
 
 罗杰一. 格里姆斯, KnowBe4的数据驱动防御布道者, 还有三十多年经验的安全专家, 在这个点播网络研讨会上,他将探索 12种黑客可以绕开你最喜欢的MFA解决方案的方法.

本次点播网络研讨会包括KnowBe4首席黑客官的(预先拍摄的)黑客演示 凯文·米特尼克 以及每种攻击类型的真实成功案例. 最后将告诉您如何更好地保护您的MFA解决方案,以便您获得最大的利益和安全性.
 
现在观看网络研讨会!
 

观看网络研讨会

多重因素如何 认证工作?

身份验证过程

认证是主体(即主体)的过程.g.、用户、设备、组、服务等.)证明特定身份的所有权.

身份

登录凭据截图标识是标识特定主题的任何唯一(对于所涉及的名称空间)标签. 标识通常由登录名表示. Johnd),电子邮件地址(例如. johnd@abccompany.com), 或者是一系列独特的字符, 但可以是任何独一无二的, 先前商定的, 同一名称空间中的标签.

名称空间是一个有组织的系统,用于帮助收集、识别和定位 具体的  实体及其相关属性. 常用的名称空间是域名命名系统(DNS), 微软活动目录, 和轻量级直接访问协议(LDAP)数据库. 一个名称空间可以在每个主题中包含多个标识标签(例如, Active Directory可以使用DNS, LDAP, 电子邮件地址, 和用户主体名称(UPN), 但是每个标签在同一个名称空间中必须是唯一的,并且只能表示一个主题.

所有身份验证和访问控制步骤都涉及一个或多个身份. 所有身份验证都涉及一个身份标签, 哪个唯一标识进行身份验证的主体. 必须在初始身份验证过程之前或作为其一部分创建身份验证. 标识应该不同于为证明标识的所有权而提供的标识. 例如,在微软 Windows中,尽管主体可能使用指纹进行身份验证(i.e., 证明身份的所有权), 附加到身份验证尝试的标签可能是用户的Active Directory登录名, 他们的隐喻, 或者他们的电子邮件地址. 身份标签在身份验证过程中非常重要.

身份验证

身份验证是主体证明名称空间内身份验证标识的(唯一)所有权的过程,以便获得该标识及其相关权限, 会员资格, 权利, 和特权, 在与该命名空间相关的访问控制授权操作中使用.

身份和身份的所有权证明必须是先前的, 希望安全, 存储在至少一个位置(例如.g.、表、数据库、注册表项等.),以便在未来的身份验证挑战中使用. 认证证明的存储通常不存储在直接参与认证的服务器/服务/站点上,而是存储在参与认证的第三方服务器/服务/站点上, 双方(服务器和客户端)信任哪一方.

每个存储位置都是影响身份验证的潜在攻击向量. 任何使用身份验证的人都应该考虑身份验证证明存储在哪里, 谁能进入这些地点, 以及应该考虑这些凭证的存储有多可靠. 应该始终将身份验证秘密的存储限制在最基本的管理员数量,并积极地监视和审计. 如果身份验证秘密被泄露, 身份验证过程不再完全可信.

身份验证可以成功或不成功. 只有成功的、合法的身份验证才能引导到下一个过程.

多因素身份验证是如何工作的

访问控制令牌

成功的身份验证之后, 在大多数情况下, 然后,访问控制过程关联一个访问控制对象.g.、代币、票等.)到被测试的身份. 这个访问控制令牌所包含的内容因系统和协议而异. 在某些系统中, 它可能只包含另一个唯一标识符, 如一系列数字或字符. 在其他系统中, 它可能包含组成员的列表, 权限, 特权, 以及其他需要的信息.

令牌可能有,也可能没有预先确定的最大生存期, 到期后, 强制主体重新进行身份验证以保持在“活动”会话中. 在微软 Windows中,访问控制令牌可能以 Kerberos票据 或者一个 NTLM或LM令牌. 关于网站和服务, 大多数访问控制令牌都由HTML cookie表示, 哪个是一个简单的文本文件.

授权

授权是将现在成功通过身份验证的主体的访问控制令牌与以前获得许可/安全的Resources进行比较的过程,以确定主体对那些对象的访问. 在大多数情况下, 一旦主体被授予访问控制令牌, 主题(或现实), 代表主体的进程或程序)提交访问控制令牌进行授权,主体不需要重新验证,直到令牌过期. 一旦发布了访问控制令牌, 并不会对每次授权访问尝试都测试身份验证. 拥有访问控制令牌被认为是身份验证成功的证明.

生物特征认证方法

非常重要的一点!

无论一个人如何成功地进行身份验证, 可以是简单的密码, 生物识别技术, 或者一个多因素身份验证令牌, 一旦身份验证成功, 分配给标识的身份验证令牌通常是 对于所有身份验证方法都是一样的 而且通常与所使用的认证方法几乎没有相似之处. 

例如,假设一个主语用his/her 指纹 使用他/她的手提电脑及手提电脑的内置系统登入Windows及活动目录 指纹 扫描仪. 身份验证过程在本地笔记本电脑上进行. 笔记本电脑的 指纹 识别与认证软硬件结合成功认证用户. 这时,用户的 指纹 不再使用了. 的 指纹 是否在网络中发送不涉及访问控制操作. 用户的 指纹 没有复制或发送到另一台联网的计算机,因此用户可以访问一个文件或文件夹.

相反,一旦用户成功地通过他/她的身份验证 指纹 (或其他认证方法), Windows操作系统向它们发出Kerberos票据或NTLM或LM令牌. 正是用户(或者更准确地说)编写的结果票据或令牌, 代表用户的进程或程序)用于所有访问控制授权. 如果攻击者能够获得访问控制令牌, 他们不关心你是怎么认证的. 代币的占有, 从合法的途径或不合法的途径, 授权过程通常对待该令牌的持有者是否与成功通过身份验证相同. 授权过程无法知道该访问控制令牌的当前持有者是否是合法用户,或者是否成功进行过身份验证. 这一关键事实经常被黑客用来破坏多因素身份验证.

同样的概念更普遍地适用于整个身份验证过程. 利用身份验证的攻击者通常会在整个过程中寻找实现中的弱点. 他们会查看身份之间的联系是否有差距, 身份验证, 还有授权……通常都是这样.

获取完整电子书

12种方式MFA电子书

12+方法破解多因素认证

获取完整的41页电子书的副本,了解你需要了解的关于多因素认证的所有信息,包括这里列出的信息, 同时也深入研究了数十种可能被黑的方法. 此外,你还可以从网络犯罪分子那里获得保护你的组织的最佳方法的建议.

立即下载!

单向vs. 双向认证

身份验证通常在两个或多个方之间进行, 通常被称为服务器(被验证的对象/应用程序/进程)和客户端(对服务器的对象验证),可以是单向的或双向的. 根据进行身份验证的原因,许多身份验证对象可以同时充当服务器或客户机. 也就是说,物理服务器并不总是充当服务器,反之亦然. 身份验证过程中可能涉及其他服务器, 因此,在一个身份验证事件中可能会发生多个身份验证. Kerberos就是一个很好的例子, 客户机必须向Kerberos身份验证服务器以及预期的目标服务器进行身份验证.

大多数身份验证都是单向的, 这意味着客户端向服务器进行身份验证,或者服务器向客户端进行身份验证, 但事实并非如此, 至少在同一身份验证事件期间是这样. 一个非常常见的例子是使用HTTPS的web服务器. 当涉及到HTTPS时, web服务器拥有HTTPS/TLS数字证书, 链接到其身份(通常是其DNS地址). 当客户端通过HTTPS连接到web服务器时, 服务器将自己的HTTPS数字证书发送给客户端, 证明其身份并确保生成对称密钥材料的加密通道的安全. 客户端接收web服务器的HTTPS数字证书,并验证其可信度. 如果成功, 客户端将相信服务器是它所说的服务器(基于主体的身份). 单向身份验证中, 客户端不向服务器证明其身份, 至少在同一个事务中是这样.

与双向, “共同”身份验证, 作为同一身份验证过程的一部分,客户机和服务器彼此进行身份验证. 如果一方失败,另一方也会自动失败.

认证因素类型

身份的所有权证明是由提供身份和一个或多个身份验证因素的主体进行的. 认证因素是只有主体知道或能够提供的东西, 通过这样做, 证明已验证身份的唯一所有权. 一般来说,只有三种基本类型的身份验证因素,通常称为:

认证因素1:记住pin或密码

你知道的事

密码,PIN, Connect the Dots等等.

认证因素2:物理对象,如USB令牌,智能卡或RFID发射器

你拥有的东西

USB令牌、智能卡、RFID发射机、加密狗等.

认证因素3:你是什么,比如生物识别、指纹、视网膜扫描或气味

你是什么

生物识别,指纹,视网膜扫描,气味

你有时会听说MFA解决方案有三个以上的因素(例如.g., 摘要), 但这些解决方案所指的是相同三个因素的多个实例. 为了使这些因素在MFA解决方案中具有最大的保护作用,这些因素应该是不同的.

单因素到多因素身份验证

Yubiki是一种硬件解决方案,可以用于单因素和多因素身份验证其理念是,使用其中的两到三个因素会使黑客的工作更加困难. 例如, 黑客也许能骗到你的密码, 但如果在MFA解决方案中使用硬件令牌,则需要额外的努力才能窃取硬件令牌. 或者恶意的个人获取了您的MFA硬件令牌, 如果他/她没有你的个人识别码,那对他/她来说就毫无用处了.

有一些单因素硬件解决方案看起来像MFA解决方案, 但不需要额外的因素. 例如, 谷歌安全密钥™和Yubikeys™的现有版本, 可以用于单因素还是多因素. 在他们的单因素实现中, 这意味着如果一个人找到了那些硬件设备, 如果他/她没有其他保障, 这意味着他/她可以使用它们,并接管与令牌相关联的数字身份. 对于黑客来说,获取另一个人的单因素硬件令牌可能比通过彩票app下载获取他/她的在线密码更困难, 但一旦获得, 这将意味着这种身份的立即妥协. 在其他条件相同的情况下, 在安全性方面,MFA总是优于单因素身份验证, 尽管MFA很少在所有场景中普遍被允许.

尽管MFA解决方案应该始终努力要求多种因素类型, 即使同一类型因素的多个实例也可以提高单因素身份验证解决方案的安全性. 然而, 同一身份验证因子的多次使用并不等同于其他身份验证因子类型所提供的安全性. 例如, 如果用户需要同时使用密码和PIN来登录(两者都是相同类型的身份验证因素(“你知道的事”), 然后他/她就可以像被诱骗一样轻易地被诱骗走. 额外的因素类型提供了最大的保护,因为它们要求黑客做一些完全不同的事情,以获得成功.

带内和. 带外认证

身份验证因素可以考虑带内或带外.

带内认证

带内认证

“带内”意味着所使用的身份验证因子在与主登录方法相同的通信通道上进行.

带外认证

带外认证

“带外”是指通过与主登录通道不同的通道发送身份验证因子.

例如, 如果您试图登录到一个Internet服务应用程序,并且需要在同一个浏览器中输入密码和密码恢复答案, 这被认为是同一个因子的两个实例, 两个带内. If, 然而, 你需要在你的电脑上输入一个密码,以及发送到你的外部手机的第二个PIN码, 第二个因素被认为是带外因素.

甚至更好的, 如果你被要求只在这些通道中响应两个独立的带认证因子, 而且它们不是“跨渠道”(i.e., 发送给您的带外认证因子只能在与其他因子相同的频带内响应), 此外,它还提供了更多的安全保障. 在同一设备上发送的认证因子, 即使是在不同的渠道, 是否被认为与使用的身份验证方法一样安全 不同的 渠道在 不同的 设备.

随着独立身份验证因素和通信频带数量的增加, 也, 安全保证. 在大多数情况下, 使用MFA解决方案只能提高安全性, MFA应该在有意义的地方和时间使用. 不幸的是,并不是所有的身份验证场景都允许MFA,而且常常不是相同的MFA解决方案. 至少现在是这样, 在许多场景中,仍然要求用户使用单因素身份验证方法.

即使在允许和使用MFA的情况下, 它可以被黑, 有时就像单因素身份验证解决方案一样简单. MFA是好的,但不要把它看作安全保障的圣杯. 这是一个提高安全性的好工具, 但是MFA改善安全保障和MFA不可攻击之间有很大的区别. 理解这些差异对于依赖于MFA解决方案的所有实体和安全管理员都至关重要. 关键是不要过度依赖MFA作为安全救世主.

从这个角度来看,大多数使用MFA解决方案的公司仍然会被黑客攻击. 这是因为最流行的原因(e.g., 社会工程如客户端攻击、未打补丁的软件和编码错误等)并不能被MFA完全缓解. MFA可以减少某些形式的黑客攻击,有时可以显著减少. 但如果相关公司不写下他们被成功入侵的最大原因, 那么MFA将无法阻止黑客和恶意软件的成功. MFA很好,但它只是一个需要解决的大难题的一部分.

MFA本身不能使一个公司“无懈可击”. 事实上,外交部本身并不是无懈可击的.

破解多因素认证

有十多种方法可以破解MFA解决方案. 其中一些攻击已经成功地用于数百万受mfa保护的用户. 每种特定类型的MFA解决方案都容易受到多种黑客方法的影响. 没有什么MFA解决方案是不能被攻击的,有多种方法. 任何声称他们的解决方案是不可攻击的都是在欺骗你或naïve. 不管怎样,你都不想和他们做生意. 有一些MFA方法对黑客或特定类型的黑客更有弹性. 尽管在大多数情况下, 因为MFA变得不那么容易受到黑客攻击, 终端用户使用它就越困难. 安全性总是一种可用性与安全性的权衡,MFA也不例外. 许多人错误地认为他们使用MFA设备就可以使他们变得不可攻击. 事实远非如此.  

如何破解MFA

当考虑如何破解MFA解决方案时,有四种常见的方法, 技术, 物理攻击, 和混合.

社会工程MFA Hacks

社会工程

社会工程 涉及的人为因素无意中使用MFA解决方案,导致其绕过或滥用.

技术操纵MFA黑客

技术操作

技术操作 指的是不需要人类用户犯错误的利用和操作方法.

物理MFA攻击

物理攻击

物理攻击 包括复制指纹和使用电子显微镜直接访问钥匙链上的秘密钥匙.

混合MFA技巧

混合

许多MFA黑客方法需要一个 混合物 两种或两种以上方法的, 尽管绝大多数都需要社会工程和技术攻击.

要查看这些不同类型黑客的详细示例和解释,请下载 电子书 或者观看 网络研讨会.


观看凯文·米特尼克的演示,其中有一个混合攻击的例子,它使用社会工程和技术方法来执行会话劫持:

不管用什么黑客手段, 它们试图利用身份验证步骤之间的弱点:身份, 认证秘密存储, 身份验证, 或授权. 攻击是恶意中断, 修改, 或者对其中一个或多个步骤的错误描述或者这些步骤之间的转换.

注意:通常情况下,MFA解决方案提供者会通过说他们的MFA解决方案来保护他们的解决方案不受成功演示的黑客攻击, 本身, 没有失败. 虽然这在技术上是正确的, MFA解决方案最终不会在无菌实验室中进行测试,在那里只有直接攻击才算数. 如果MFA解决方案因任何原因使用户失败,那么在用户的心目中,MFA解决方案就已经失败了. 他们不太关心MFA解决方案本身在技术上是否负责的细节.

如何防御MFA攻击

社会防御

  • 意识到没有什么是不可攻击的,包括任何MFA解决方案
  • 将MFA黑客意识整合到您的 保安意识培训
  • 与同事和管理层分享这些数据
  • 不要被骗去点击流氓链接
  • 尽可能地阻止流氓链接
  • 确保你的用户知道一个URL是合法的,在他们点击之前,检查这个 社会工程的危险信号 检查表

技术防御

  • 尽可能启用所需的MFA
  • 尽可能不要使用基于短信的MFA
  • 使用“1:1”MFA解决方案,这需要客户端预先注册到服务器
  • 尽可能使用/需要的双向、相互的身份验证(例如. FIDO U2F的通道或令牌绑定)
  • 你的MFA解决方案是否专门打击会话令牌盗窃和/或恶意重放? (i.e.,耐重放)
  • 你的MFA供应商的支持可以帮助社会工程吗?
  • 确保MFA供应商在他们的编程中使用安全开发生命周期(SDL)
  • 确保MFA启用了“错误尝试节流”或“帐户锁定”
  • 跨不同“通道”或“波段”(带内/带外)传播因素
  • 保护和审计MFA用于MFA登录的唯一标识的标识属性
  • 不要用诚实的回答回答密码重置问题
  • 鼓励和使用使用动态身份验证的网站和服务, 在高风险情况下需要哪些额外因素
  • 了解“共享秘密”系统的风险
  • 对于基于事务的身份验证, 在发送确认之前,需要将用户所有关键细节发送到带外

...记住

  • MFA并非无懈可击.
  • MFA并不能阻止彩票app下载或社交工程的成功.
  • MFA很好. 每个人都应该尽可能地使用它,但它并不是牢不可破的.
  • 如果你使用或考虑去MFA, 安全意识培训仍然是你整体安全防御的重要组成部分.

新闻中的黑客行为


入侵生物识别系统:如果你认为你的指纹是安全的,请三思!

当你想到使用生物识别技术作为多因素认证过程的一部分时, 您假定这些属性是安全的. 网络罪犯无法黑进你的指纹,对吧? 答案可能会让你大吃一惊!

[按需网络研讨会]当网络罪犯隐藏在光天化日之下:黑客你知道和信任的平台

今天的黑客会把他们的攻击隐藏在你意想不到的地方……利用你的用户知道和信任的工具来传递恶意的有效载荷. 从劫持的单点登录应用,到武器化的日历邀请,甚至是恶意的办公室打印机...

[注意]坏人可能已经入侵了你的交换邮件服务器

如果中国政府支持的黑客用几个全新的零日vulns拥有了你的OWA怎么办? 或者东欧勒索软件团伙?  3月2日, 微软发布了紧急安全更新,以堵塞Exchange Server版本2013中的四个安全漏洞...

获取关于社会工程的最新信息

订阅CyberheistNews