事實證明,多因素驗證(mfa)對保護使用者憑據至關重要,許多公司正在採用mfa來確保訪問者對其it環境的安全訪問。因此,有些攻擊者可能就會設計破解和規避mfa的技術來獲取組織的資料。
it工程師可能會使用先進技術和社會工程術,或兩者的混合技術。儘管mfa也不是完全不可穿透的,但還是有一些方法可以防止mfa攻擊。這篇文章將介紹五種常見的mfa攻擊方法,和美國聯邦調查局(fbi)對這些攻擊方法的應對機制。
會話劫持
在整個過程中,攻擊者會佯裝成使用者的身份,執行那些真實使用者才能執行的活動。試想,如果會話id屬於具有管理許可權的使用者,這將帶來多大的損壞!
sim卡交換
通常,當使用者找不到移動裝置或者轉到新的手機服務提供商時,手機服務提供商會提供將現有手機號碼自動交換到不同sim卡的服務。而攻擊者可能會利用此服務,假裝成手機服務提供商,劫持那些準備刪除的sim卡的資訊。
一旦**號碼傳輸成功,攻擊者就可以接收到那些包含mfa驗證碼的簡訊。包括但不限於使用者的電子郵件位址、應用程式的使用者名稱和密碼,**號碼,而這些有限但卻有效的資訊足以讓使用者的憑據資料暴露無遺。
web注入攻擊
在注入攻擊中,攻擊者在web程式設計師提供的字段中輸入一些惡意**或url。而解析引擎會將此解釋為命令的一部分,從而改變了應用程式的執行路徑。
如在2023年,某銀行機構**的mfa機制中涉及驗證使用者的安全問題,被攻擊者在鏈結中輸入的惡意url進行了規避。此url導致任意計算機都被設定為受信任的,並允許攻擊者從多個後台帳戶挪用資金。
暴力破解
這種形式的攻擊包括嘗試不同的驗證碼組合,直到輸入正確的驗證碼。許多mfa驗證會涉及輸入驗證碼或pin。
隨著攻擊技術日益複雜,黑客更容易破解使用者的帳戶憑證和暴力獲得mfa pin或驗證碼。 雖然目前大多數mfa解決方案可以通過鎖定帳戶來限制使用者身份驗證的失敗次數,但有些mfa解決方案還是不包含任何防禦機制的。
釣魚攻擊
網路釣魚是攻擊者使用假**來操縱使用者自願提供資訊或資料,如使用者名稱、密碼和安全問題的答案。使用者會收到一封帶有惡意url的電子郵件。該惡意url會將使用者帶到乙個跟目標**一模一樣的假**。
緊接著,使用者會被要求輸入他們的登入憑據,並提供相關資訊,如他們設定的安全問題的答案。然後攻擊者可以利用這些資訊登入到使用者的帳戶,完成mfa驗證,然後竊取儲存在應用程式中的使用者資料。
聯邦調查局提出的防禦mfa破解的策略
值得說明的是,盡快mfa也可能被攻擊,但這不能掩蓋它在資料安全方面提供的優勢。企業仍需配置mfa驗證以保護其資料安全。此外,還必須預備一些措施避免mfa黑客攻擊。 美國聯邦調查局(fbi)在2023年9月17日的網路犯罪公報中列出了一些關於mfa的黑客事件,並提出了以下預防策略:
it管理員應該能夠識別社會工程學攻擊
研究表明,98%的網路攻擊是利用社會工程學進行的。「防患於未然」,使用者建立網路安全意識其實是防止mfa黑客攻擊的第一步,也是最重要的一步。
使用者避免釣魚攻擊的最好方法是在點選惡意鏈結之前三思而後行。定期的安全意識培訓可以幫助管理員和使用者識別和舉報釣魚攻擊,定期的社會工程學攻擊檢測有助於降低黑客攻擊的機率。當然,管理員也可以執行其他措施,比如:
1.部署防火牆和防病毒解決方案;
2.安裝防釣魚外掛程式;
3.保持瀏覽器使用的是最新版本;
考慮更複雜的多因素身份驗證方式,如生物識別或行為驗證,儘管這可能給使用者帶來一些不便,但這也為攻擊者新增了一堵牆。
生物識別技術目前被認為是最強的mfa驗證方法之一,因為它是基於物理特性對使用者進行驗證,如每個使用者獨有的指紋。這種基於生物特徵的驗證方式與其他驗證措施結合使用,或直接使生物識別驗證成為強制性驗證,將大大提高防禦能力。
基於風險的驗證或行為特徵驗證是防止mfa攻擊的另一種方法。通過這種驗證方式,根據訪問時間、ip位址等風險因素動態地更改身份驗證方法的型別和數量。這是乙個自動過程,在這個過程中,使用者訪問的上下文會被分析,並應用適當的mfa策略。
諸如在非工作時間訪問公司資源或從不受信任的ip位址訪問域網路等情況,啟用更強的身份驗證策略是另一種防止mfa攻擊的方法,同時也確保了對公司資源訪問的安全性。
儘管上述提到的第一種策略可以幫助避免像網路釣魚這樣的社會工程學攻擊,但第二種策略更有助於防止依賴文字欄位和密碼的技術性網路攻擊,如暴力破解和web注入攻擊。它還有助於避免sim卡交換和其他與sim相關的攻擊。此外,避免mfa會話劫持攻擊,還需要一款有效的身份管理解決方案。
一款全面的mfa解決方案,旨在阻止mfa攻擊
manageengine的adself service plus是一款自助服務密碼管理解決方案,它提供了乙個強大的mfa驗證方案,幫助公司有效避免mfa攻擊。以下是選擇adselfserviceplus的好處:
目前已達到16種驗證方式,包括googleauthenticator、yubikeyauthenticator、基於指紋和人臉id的驗證等。
授權使用其他更為複雜的驗證方法,如生物識別和yubi金鑰驗證。
使用基於訪問時間、ip位址、地理位置和裝置的特定mfa驗證方法。
使用策略為特定組、組織單位(ou)或域配置特定的身份驗證方法。
adself service plus通過識別http only標誌和會話cookie的安全標誌來避免會話劫持。這樣做會使攻擊者使用瀏覽器在客戶端指令碼嘗試讀取cookie時返回乙個空字串。
adself service plus的mfa功能還可用於確保以下事件的安全:
1.遠端和本地 (windows、macos和linux)登入;
2.vpn登入;
3.單點登入到基於saml的企業應用程式;
4.使用者自助操作,如密碼重置和帳戶解鎖;
adself service plus還提供了其他功能可以增強active directory環境的安全性:
密碼策略強化器:
adself service plus允許為特定組、ou和域建立自定義密碼策略。您可以實現諸如防止某字元出現、限制重複字元和限制舊密碼、強制包含多個字元等密碼規則。
甲方視角談談如何抵禦DDoS攻擊
為何攻擊我們 簡單講就是誰火滅誰,前年打p2p,去年打直播,ddos攻擊的背後多是惡性商業競爭,以不大的成本可以讓競爭對手業務中斷,造成巨大損失,價效比不可謂不高。一般何時容易被攻擊 理解了攻擊動機後,其實很容易總結何時容易被攻擊 新產品發布,比如羅老師發布錘子那次 大型市場活動,比如電商的雙十一和...
如何抵禦社工庫類的黑客攻擊?
密碼庫主要 就不說了,各種拖庫 其中密碼形式主要分這幾種 第一種是未加密的明文密碼,威脅程度最高。不得不說這種儲存明文密碼的站點有多麼的二逼 更可悲的是這種站點有很多 另一種是加密過的密碼密文,威脅程度視加密等級而定。第三種是破譯成本很低的密碼密文,例如僅一次md5,等低強度加密演算法,威脅程度最高...
抵禦php木馬的攻擊
1.防止跳出web目錄 修改httpd.conf,如果你只允許你的php指令碼程式在web目錄裡操作,還可以修改httpd.conf檔案限制php的操作路徑。比 如你的web目錄是 usr local apache htdocs,那麼在httpd.conf裡加上這麼幾行 php admin valu...