俗话说,恶意行为者不会闯入 – 他们会登录。这句话有很大的道理。如今,许多组织都在努力保护其员工免受凭据网络钓鱼的侵害,随着攻击者越来越多地执行“MFA 绕过”攻击,这一挑战只会越来越大。
在 MFA 绕过攻击中,威胁行为者使用社会工程技术诱骗受害者在虚假网站上提供他们的用户名和密码。如果受害者使用的是“旧版 MFA”(例如 SMS、身份验证器应用程序或推送通知),攻击者只需请求 MFA 代码或触发推送通知即可。如果他们可以说服某人透露两条信息(用户名和密码),他们很可能会操纵他们分享三条信息(用户名、密码和 MFA 代码或操作)。
毫无疑问,任何形式的 MFA 都比没有 MFA 好。但最近的攻击清楚地表明:传统 MFA 无法与现代威胁相提并论。那么,组织可以做什么呢?有时案例研究可以回答这个问题。
今天,CISA 和 USDA 发布了一份 案例研究 ,详细介绍了 USDA 向大约 40,000 名员工部署 FIDO 功能的情况。虽然他们的大多数员工都获得了政府标准的个人身份验证 (PIV) 智能卡,但这项技术并不适合所有员工,例如季节性员工或在专业实验室环境中工作的员工,在这些环境中,净化程序可能会损坏标准 PIV 卡。此案例研究概述了 USDA 面临的挑战、他们如何构建身份系统以及他们对其他企业的建议。我们个人最喜欢的建议是:“永远领航”。
FIDO 身份验证通过使用我们已经使用的操作系统、手机和浏览器中内置的现代加密技术来解决 MFA 绕过攻击。单点登录 (SSO) 提供商和热门网站也支持 FIDO 身份验证。
