与传统的 “用户名+密码 “身份验证相比,多因素身份验证(MFA)被认为是一种重大的安全改进。 然而,并非所有的 MFA 流程都是一样的。 随着网络犯罪分子从仅有密码的系统中摘取 “低垂的果实 “的机会越来越少,他们将重点转向了薄弱的 MFA。
由于数字系统不断扩大,网络钓鱼工具更加先进,以及继续允许使用密码作为身份验证因素,越来越多的组织尽管已经实施了 MFA,但仍然遭遇了安全漏洞。 过去一年,微软、Uber 和思科都遭到了 MFA “及时轰炸”,这表明企业不能只部署任何类型的 MFA,就认为自己不会被入侵。
出于这些原因,联邦管理和预算办公室(OMB)以及网络和基础设施安全局(CISA)都强调了防网络钓鱼 MFA 的必要性,特别是围绕 FIDO 标准建立的无密码 MFA。 我们以前研究过FIDO 标准及其对身份验证的意义,但在本篇文章中,我们将探讨这一过程中最关键的要素之一:FIDO 认证的身份验证器。