每年十月,美国白宫都将推动一整个月的“网络安全意识月”(Cybersecurity Awareness Month),身为美国国土安全部的网络安全暨基础设施安全局(Cybersecurity and Infrastructure Security Agency,CISA)总监Jen Easterly更是积极四处奔波,希望可以提升美国人们的安全意识。
她也于日前(10月18日)公开发文并且于推特录制视频表示,将力挺FIDO(Fast Identity Online)联盟推动的支持指纹等生物识别及FIDO载体的无密码数字身份认证机制,希望可以取代目前各行各业常使用的短信OTP(一次性密码)的MFA(多因素认证)机制,让FIDO成为新时代的数字身份认证机制。
黑客已经可以绕过传统多因素认证机制
在美国网络安全意识月的重点,其中有一个就是:希望每个人可以确保使用网络各种服务的安全性,包括电子邮件、银行、各种社交媒体以及需要经过线上验证身份的各种服务的账号安全性,并针对相关的线上服务启动MFA认证机制,而美国总统拜登在去年便下令,要求美国联邦政府以及所属机关构,都必须积极推动多因素认证,而FIDO则是被大力推广的无密码数字身份认证机制。
Jen Easterly表示,有许多行业或是技术领先的企业,都已经率先推动或强制要求用户采用多因素认证机制,确保线上服务用户的安全性。但她也引述一份顶尖资讯服务企业的数据指出,只有四分之一的企业客户已经注册多因素认证服务;而已经注册的企业客户中,更只有大概三分之一的系统管理员(system administrators),使用多因素认证机制确保其数字身份认证的安全性。
不过,采用多因素认证机制并不是万能,过去几年也陆续发生安全事件,有一些黑客已经可以绕过传统的多因素认证机制,例如台湾也曾经发生过的钓鱼短信,或是其他身份认证App、推送通知等认证机制。
她认为,这些绕过MFA的工具包(Toolkit)可以降低黑客的攻击成本,像是凭证钓鱼(Credential phishing)等事件也越来越常见,只要黑客愿意花时间、金钱和心力,早晚都可以黑入企业内部,而企业内的每一个人都可能是受黑者。
因为已经有黑客可以绕过这些传统的MFA机制,势必要有新的认证机制取代,而由PayPal、英飞凌,以及Google和微软等科技大厂组成的FIDO联盟,则重新打造一个可以对抗网络钓鱼的多因素认证机制,而FIDO通信协议可以应用在现有的操作系统、网络浏览器、手机和平板电脑中,也有许多线上服务和各种企业都积极采用并推动FIDO无密码身份认证机制。
Jen Easterly指出,没有百分之百的安全,再安全的MFA机制都可能遭到破解,不过,因为FIDO无密码身份认证机制是将公钥存放在FIDO服务器中,解密的私钥则是存放在用户端的操作系统、浏览器、手机或是平板电脑等,“如果员工遭到钓鱼邮件的攻击,黑客因为无法取得用户端存储的FIDO私钥,攻击也不会成功。”她说。
Jen Easterly也鼓励所有企业的首席执行官,应该要确保FIDO会在企业系统导入的蓝图内,她更认为,未来FIDO将是多因素认证唯一的标准,企业应该积极跟上这股FIDO浪潮。