网站服务帐密被窃取的状况频传,为了防范这类问题,自2000年开始,IT界提出两步验证(2SV),以及多因素验证(MFA),希望借由增加一道强化身份验证的关卡与因素,保护网络服务的账号安全。
确实,现在MFA仍然很重要,因为,在如今网络钓鱼威胁日益严峻的情况下,多一层验证还是能带来一些保障。因此,现在各界持续推动构建与使用MFA。
然而,很多人可能还没注意到,在威胁演变之下,传统MFA的做法已不再是最佳选择,而需要进行改良或升级。
短信OTP保护力持续下降,强式MFA受到更多关注
为了持续确保账号安全,自2016年来,我们陆续看到国际科技大厂建议用户采用防护力更好的MFA,而他们将这种机制称为强式MFA(Strong MFA)。
当时,美国国家标准技术研究所(NIST)也提出示警。在他们发布的SP 800-63-3数字身份认证指南指出,通过电信的短信与电话语音,执行OTP二次验证并不够安全,原因是无法避免中间人攻击与网络钓鱼威胁。
为了降低风险,在此之前,市场上其实已陆续出现一些新型身份验证技术,像是基于手机移动App而成的身份认证器,以及支持FIDO UAF标准的实体安全密钥(Security Key)。
随着相关技术的持续进步,基于App的验证方式后续提了供登录通知触碰同意,使用OTP验证码,以及数字配对的形式,而实体安全密钥也随着新标准推出,开始有支持FIDO2的版本。
事实上,由于2018年FIDO2标准受到W3C与ITU等国际组织标准采纳,促使网络服务无密码登录普及的可能性大大提升,也让无密码登录(Passwordless)的网络身份识别,成为备受全球关注议题,IT大厂微软当时也高喊“密码时代即将终结”。综观该进展,使得早年开始提倡的无密码,在这五年间,屡屡成为热门安全防护焦点,现在话题更是聚焦在多设备FIDO验证(Passkey)。
抗网络钓鱼MFA成最新重点,国际间产业与政府均大力提倡
在无密码登录、FIDO标准近期逐渐受到广泛应用的态势之下,最近一年以来,有个与身份安全相关的新名词也浮上台面,那就是抗网络钓鱼MFA(Phishing-Resistant MFA)。
此种做法源于美国政府推动的安全策略。例如,2022年1月白宫发布了联邦零信任战略的M-22-09备忘录,其中对于身份识别的安全强化措施,强调须采用Phishing-resistant MFA,同年10月31日,CISA也特别发布抗网络钓鱼MFA导入指引文件。
事实上,早先推动FIDO的企业,就已经采用“抗网络钓鱼MFA”这样的说法,然而,随着CISA推出这方面的指引,使大家有了更多共识。
更受关注的是,在此指引中,明确指出抗网络钓鱼MFA的做法有两种,包括FIDO/WebAuthn验证,以及基于PKI的方式,同时,对于多种MFA的安全强弱程度,也有了具体的划分,并且给出朝向抗网络钓鱼MFA迈进的建议。
例如,对于尚未实施MFA的企业而言,应了解短信发送MFA,只能视为过渡到强健MFA之前的临时方案,此时该如何提升身份安全?CISA认为,可先用三种基于App认证的MFA做法,包括App推送OTP验证码、App推送数字配对通知,以及基于Token的OTP,之后继续朝向最佳做法的抗网络钓鱼MFA迈进。
无论如何,MFA的重要性越来越大,但不代表采用任何一种做法就能永久取得足够的安全保障,以目前而言,导入具备抵抗网络钓鱼攻击能力的MFA,会是现阶段各界确保身份安全的必备措施。
而从近年多国政府大力推动的零信任网络安全来看,像是美国是在其联邦零信任战略的M-22-09备忘录中,将采用抗网络钓鱼MFA(Phishing-resistant MFA)视为身份识别面向的安全强化一大重点。换言之,抗网络钓鱼MFA也就是构建零信任架构的一部分。