強式MFA 已成為許多組織保護帳戶安全的必要手段,但網路釣魚、撞庫攻擊仍然是一個常見的問題。從2000 年開始發展兩因素驗證跟多因子認證,到2016年發展到強式MFA,生物辨識成為驗證不可或缺的其中因素。2018年開始興起的無密碼身分識別(Passwordless)跟多裝置FIDO 認證的技術發展,還有因為網路攻擊的頻繁出現,在這一年興起了「抗網釣MFA」,更專注在解決網路釣魚的解決方法。抗網釣MFA 怎麼應用呢?一起看看這篇文章吧!
多因子認證MFA
MFA 代表多因子認證(Multi-Factor Authentication),它是一種安全性更高的身份驗證方法,需要使用多個不同的身份驗證因素來確認使用者的身份。
傳統的身份驗證方式通常只使用一個因素,例如使用者名稱和密碼,但這些因素可能容易被破解或盜用,因此MFA 使用多個因素來增加安全性。通常,MFA 要求使用者提供兩個或更多的因素來驗證其身份,這些因素可能是以下幾種:
Something you know(知識因素):例如密碼、PIN 碼或安全問題的答案。
Something you have(擁有因素):例如手機、USB 密鑰或智能卡。
Something you are(生物因素):例如指紋、面部識別或虹膜掃描。
通過使用多個身份驗證因素,MFA 可減少身份驗證被攻擊的風險。小補充:雙重驗證(2FA)也是MFA 的一種喔!
強式 MFA(Strong MFA)
強式MFA 並沒有明確被定義,簡單來說相比一般 MFA 的安全性更高,需要兩個或更多的驗證。除了輸入帳號密碼,用戶還需要搭配emai l或簡訊認證、或是生物辨識,像Face ID 或指紋辨識才能登入。
常見強式MFA 作法包含:
1、密碼:用戶需要輸入正確的帳號和密碼才能進入系統。
2、指紋辨識:用戶需要用指紋證明自己的身份。
3、簡訊驗證碼:用戶需要輸入收到的簡訊驗證碼。
4、軟體安全權杖:安全權杖(security token)代表用戶需要使用動態生成的安全令牌證明自己的身份。
使用情境:
1、登入帳號時輸入帳號密碼
2、第二因素驗證接收簡訊認證或數字配對
3、登入成功!
像是登入momo 購物網或蝦皮,除了輸入帳號密碼外,還要輸從手機接收到的六位數字OTP 驗證碼;登入google 帳戶時輸入帳密後還要從email 收信進行數字配對。
對MFA 的網路威脅
即使MFA 以透過多重因素增加身分驗證安全性,但網路攻擊仍會透過以下方式取得MFA 的憑據,也就是取得用戶收到MFA 系統的代碼或其他依據:
(一)網路釣魚
人為設計透過電子郵件或惡意網站獲得資訊,例如像受害者發送電子郵件後,用戶點開到模仿公司合法登入的網站後,騙取用戶輸入的帳號密碼跟來自手機身分驗證的六位數代碼。
(二)推送、推播轟炸(Push Bombing)
在短時間內大量發送通知、訊息或廣告等推送訊息,通常是由廣告商、行銷人員、媒體公司或駭客所作,目的是吸引用戶點擊廣告、訪問網站等。透過通知持續干擾用戶直到按下「接受」按鈕,從而授予威脅方有拜訪網站的權限。
(三)SS7 協定漏洞 (Exploitation of SS7 protocol vulnerabilities)
是一種用於電信網路中的信令協定,主要用於控制和管理不同網路之間的通信。然而近年發現SS7 協定存在許多漏洞,使得攻擊者可以利用這些漏洞進行各種攻擊,像是監聽、以虛假身分驗證詐騙、轉發將通話轉移到其他號碼來詐騙等行為。在這裡威脅者會利用SS7 協議漏洞獲取通過簡訊SMS 或語音發送到手機的MFA 代碼。
(四)SIM 交換 (SIM swap)
通過騙取受害人手機號碼和身份證明文件等個人資訊,然後使用這些信息與電信運營商進行聯繫,SIM卡交換成功代表號碼轉移到攻擊者的SIM 卡上,威脅者擁有受害者的手機控制權,可以接收和發送簡訊、語音通話等。
也因為以上網路攻擊頻繁出現,最新的MFA─抗網釣MFA 因此誕生。
抗網釣 MFA(Phishing-Resistant MFA)
抗網釣MFA 的出現是因為強式MFA 即使增加身分認證的安全性卻仍然阻擋不了網路攻擊。抗網釣MFA 建立在多因子認證的基礎上,專門「為了解決網路釣魚攻擊問題」而出現,從身分驗證過程中去除人為因素,並以加密方式綁定。目前主要有兩種方式:
(一)WebAuthn(FIDO2)
登錄網站或成是時通常需要輸入帳號和密碼來證明身份,然而這種方式容易受到上述網路攻擊影響導致帳號被盜用。為了增強安全性,FIDO2 聯盟開發了一種可以防止釣魚攻擊的身份驗證方式,稱為FIDO2 或 WebAuthn,提供更高的安全性。
FIDO2/WebAuthn 身份驗證方式需要使用一種叫做驗證器的裝置來進行身份驗證。這個驗證器可以是一個物理標記,也可以是嵌入到我們的設備中。驗證時需要在驗證器上輸入指紋、臉部識別等身份資訊。這種方式比較安全,因為釣魚者無法獲取到我們的身份資訊,也無法進行釣魚攻擊。
這個驗證方式可以在許多瀏覽器、操作系統和智能手機上使用,符合FIDO2 標準的驗證器也可以從各種供應商那裡獲得,也是目前最廣泛被使用的抗網釣MFA。
(二)基於PKI 的MFA
還有一種較不常見的防釣魚MFA方法,稱為基於PKI 的MFA,適合大型和複雜的組織使用。PKI 是公鑰基礎設施的縮寫,用於保護數字憑證和數字簽名,以確保身份驗證和授權。而在SSO(單一登入)技術中,PKI 通常用於生成和驗證數字憑證。
用戶憑證包含在智能卡的安全芯片中,用戶必須將智能卡直接連接到設備上,以使用正確的密碼或PIN 進行系統登錄。美國政府的個人身份驗證(PIV)卡、通用訪問卡(CAC)、信用卡或e-Passports 就是基於PKI 的MFA 的例子。
金融機構的抗網釣MFA 應用
跟其他產業相比金融機構中抗網釣MFA 相對廣泛應用,因為客戶資料相對敏感,因此採取更高的安全保障。
(一)銀行App使用FIDO2
目前台灣也有多家金融機構以FIDO2 技術作為抗網釣MFA 的解決方案,如:台新銀行、中國信託商業銀行、兆豐國際商銀、渣打銀行、凱基銀行等。採用USB 金鑰、生物辨識或NFC 等方式,不同金融機構採用的FIDO2 技術可能不同。
(二)Yubikey
Yubikey 是種硬體安全金鑰,使用者只需將Yubikey 插入電腦或手機等裝置,即可進行身分驗證,而無需輸入密碼或其他資訊。Yubikey 除了支援常見的身分驗證標準外,也支援FIDO2 標準,能夠進行強大的抗網釣攻擊身分驗證。許多企業和組織都使用Yubikey 進行安全驗證,例如Google、Microsoft 和GitHub 等知名科技公司,以及許多金融機構和政府機構等。
FIDO2 使用在金融機構的優缺點
目前FIDO2 被廣泛應用在金融領域作為防止網路釣魚的MFA 身分驗證方式,FIDO2 有什麼優勢跟缺點呢?
(一)優點
1、安全性高:生物辨識方式可防止網路釣魚跟其他惡意軟體攻擊,確保金融交易的安全。
2、方便性高:更快速的身分驗證過程,不需要複雜的密碼只需要輕觸指紋或掃描臉部即可驗證身分。
3、合規性高:FIDO2 符合各種監管要求,消除使用密碼的風險,對於需要謹守法規的金融機構來說是理想的採用方式。
4、相容性高:FIDO2 與多種不同裝置兼融,可靈活使用。
(二)缺點
1、初始成本高:硬體軟體都需改建初始成本高,對於預算有限的小型金融機構相對困難。
2、支援程度:對於習慣密碼等傳統身分驗證的用戶來說需要再適應,用戶使用的硬體也須跟進更新。機構部署FIDO2 技術也須使用支持該技術的設備,目前也尚未被所有網站和應用程式所支援。
3、設備丟失風險:FIDO2 需要一個物理安全密鑰如 YubiKey,它可能會丟失或被盜,需經過程序才能回復帳號使用權。
儘管有優缺點,整體而言FIDO2 使用在金融機構仍利大於弊。
(圖片來源:https://sysdig.com/blog/why-mfa-prevents-attacks/)