編輯導語:隨著網際網路的發展,網路安全越來越受到人們的重視,網際網路企業唯有重視網路資訊資料安全,才能更好得留住使用者,那麼企業該如何搭建防護牆呢?本文作者依託於兩個案列,講解了MFA對因素認證對賬號安全的保障作用,一起來看看吧。
隨著使用者增長逐步放緩,新時代的網際網路業務必須要更加註重服務質量的提升才能留住使用者了。其中首當其衝的就是賬戶安全,如果你也對此比較關心,那我想請你和我一起來學習瞭解MFA多因素認證。
首先,我將以兩個案例的代入來讓大家更好地理解MFA多因素認證對賬戶安全的重要性。
一、王校長的大眾點評賬號被盜
相信大家都記得前一段時間王思聰與大眾點評的賬號風波吧。我們來簡要回溯一下:
2021.10.10日王校長在微博上發了這麼一段話,原話是這樣的【@大眾點評 這就是上萬億市值公司的安全系統嗎?莫名其妙我自己的號就能被被人改綁手機?你們大眾點評除了會恰爛錢做虛假分數還會點啥?】
當王校長想要用自己的手機號碼進行登入的發現,登入不上,提示:【由於你在2021年10月9日透過美團將大眾點評賬號“王思聰”繫結的手機號更新為:137****2797,因此你需要使用新手機號重新登入。】這明顯就是手機號被別人換綁了,導致真正的賬號原主人登入不上。
那麼問題來了:如果不是王校長本人換綁的手機號,又是誰替他換綁的呢?
微博上有個同學爆料並錄影片記錄了整個環節,從而揭開了問題的謎底。簡單說,你只需要知道某個點評/美團賬號的手機號碼以及身份證生日,就可以透過如下幾步操作完成解綁並重新繫結新手機號:
- 登入頁面點選底部的「遇到問題」,然後選擇更換手機號。
- 接下來只需要輸入原來的手機號、生日和新手機號,就可以完成重新繫結,非常簡單。
整個過程毫不設防,只需要知曉手機號和生日即可完成,確實如王校長所說:這個安全機制的設計實在太過草率了。
現在美團點評已經認識到這個錯誤並且修正了,這是個好事。但我們不禁想問,連一向以技術實力著稱的頭部網際網路平臺對待使用者的安全都如此草率,那其他平臺是不是也同樣草率呢。以及,顯然這個問題的受害者絕不在少數,而此次如果不是王校長這麼個“知名人士”,美團點評又要到什麼時候才能修補這個問題漏洞呢?
如果僅僅是個普通的生活服務類APP來說,還勉強罷了。如果是涉及到個人資金和重要隱私資訊的APP,以及企業面向自身員工的內部服務 APP,也出現同類問題的話,後果會是怎麼樣呢?
我們再來看第二個案例。
二、程式設計高手黑入APP後臺竊取超62萬條個人資訊
新婚燕爾的程式設計高手小蔡,去4S店買車的時候,看見銷售員在自家電腦上登入了管理系統,小蔡不留神地記住了銷售員當時輸入的賬號密碼。回家後心想試一試能不能登入汽車公司後臺呢,就使用記住的賬號密碼順利進入了該汽車系統,心生邪念,利用爬蟲手段獲取了APP內的626182條客戶的個人資訊,其中包括了客戶姓名、身份證號碼、聯絡電話、信貸資訊等等。有驚無險的是,資訊還沒有被賣出,就被抓住了。
這究竟該怪誰呢?可能你心裡會有這幾個小嘀咕:
【如果不是銷售員洩露了賬號密碼,那是不是資料就不會被盜呢?】
【如果密碼設定的難一些,別人即使看到了,是不是也不容易記住呢?】
【如果汽車公司的登入系統做的再複雜一些,除了校驗賬號密碼以外,再校驗下其他某個只有銷售員才知道的資訊,那資料是不是就不會被盜呢?】
微村智科創始人郭欣表示:作為投資人,原來我們聽到擬投企業說自己積累了大量資料,會覺得這是企業建立的壁壘。
現在,我們再聽到同樣的說法,我們會追問:“資料來源是否合法?”“有沒有資料洩露風險?”“怎麼保障資料的安全?”“有沒有買資料安全產品?”
資料不再是多多益善的資產,更附帶上了合規成本以及安全維護成本。
相信這類事件對所有人都是個警醒。那我們是不是該有一些更深刻的反思呢?如何從根本上來提高賬戶的安全性呢?
為什麼網際網路的元老【賬號密碼】方式就不安全了呢?
根本原因有兩種:
1. 記憶本性
人們總是偏向於建立自己能記得住的密碼。然而這正是漏洞所在,也是大多數企業想要防止的事情,參看如下這張圖:
企業總是希望自己的使用者能將密碼的難度提高,以防止攻擊者的闖入,然而人的記憶本性是無法記住複雜資訊的。據統計,15%的人用寵物的名字來當做密碼。其他常見的密碼規則包括生日等重要日期以及姓氏等。十分之一的人會跨APP重複使用口令,40%的人表示他們使用了格式化的口令,例如Fall2021,最終成為 Winter2021 或 Spring2022。
2. 駭客攻擊
上述簡單的密碼可能更容易記住,但駭客也更容易猜到。一旦賬號密碼被洩露,通常會在網路黑市上出售,用於大數量級的攻擊。駭客也有很多工具和技術。他們可以使用自動密碼嗅探工具嘗試多種可能性。也可能利用網路釣魚,讓你將賬號密碼錄入一個假網站。這些策略相對來說並不複雜,已經使用了幾十年,但它們仍然有效,因為仍然是由人類建立的。
美國網路安全和基礎設施安全域性 (CISA)將只有賬號密碼的登入方式視為“異常危險”。如下所說:
單因素身份驗證意味著使用者名稱和密碼授予使用者訪問許可權,無需其他任何要求。據 CISA 稱,這是一種非常普遍的高風險做法。微軟透露,其雲服務每天有大約 3 億次欺詐性登入嘗試。即使是八位字元的密碼——混合了數字、大小寫字母和特殊字元——也相對容易破解。
許多員工在公司管理系統中,在多個帳戶中重複使用基本相同的密碼。這是個不爭的事實。
員工希望以儘可能少的複雜性來完成他們的工作,因此他們可能傾向於建立變化最小的密碼,以便他們可以記住的密碼。
我們需要找到平衡使用者需求與密碼安全的解決方案!
密碼之所以重要,是因為其保護的是關鍵業務帳戶、網路訪問或敏感資料,如此重要的資訊卻依託於如此脆弱的安全機制,是極其失衡的。
因此企業必須考慮,如何在不過分傷害使用者體驗的同時,加上一些其他的驗證手段,來保證登入賬號的人就是真實的本人。這些驗證手段,應該只有本人才能得以操作,從而保障在做重大操作的時候確保是本人在進行。這就是MFA。
MFA全稱:多因素認證(Multi Factor Authentication,簡稱 MFA)是一種簡單而有效的安全實踐方法,它能夠在使用者名稱稱和密碼之外再額外增加一層保護。啟用多因素認證後,使用者進行操作時,除了需要提供使用者名稱和密碼外(第一次身份驗證),還需要進行第二次乃至多次身份驗證,多因素身份認證結合起來將為你的帳號和資源提供更高的安全保護。
三、MFA有哪些?
MFA 使用兩個或多個因素的任意組合來驗證身份,並保護重要資產免受欺詐訪問。從原理上來來講,MFA主要利用如下三個主要因素來確認身份:
- 使用者擁有的東西 — 實物,例如銀行卡、身份證、U 盤、裝置。
- 使用者知道的東西—一個“秘密”,比如密碼或 PIN。
- 使用者是誰—生物特徵,如指紋、聲音、虹膜掃描和其他生理特徵。
在典型的 MFA 部署中,使用者首先使用使用者名稱-密碼組合登入應用程式。如果有效,則提示他們進一步進行MFA認證。採用 MFA 最重要的原因和目標就是賬號安全問題。賬號問題引起的資料洩露越來越常見,安全性變得越來越重要。2019年,29%的資料洩露與憑證被盜有關,1.5%的網路登入與憑證入侵有關。
此外,許多人在不同線上賬戶上重複使用相同的密碼。根據 TeleSign 的資料,71%的賬戶使用與其他網站相同的密碼。攻擊者盜取一次資料就能獲得大量被破壞的憑證,並在其他站點上測試所有的使用者名稱-密碼組合,使用相同的密碼盜取帳戶。這種型別的攻擊稱為憑證填充攻擊。
MFA 是防止賬戶被盜取最好的方法之一,無論憑證填充攻擊或其他攻擊。攻擊者如果想要破壞受 MFA 保護的帳戶,那他們不僅需要盜取憑證,還需要驗證額外附加的因素。 MFA 極大地增加了攻擊者入侵帳戶所需的時間和精力,這樣他們就很難進行大規模的攻擊活動。
當然了,實現MFA的方法多種多樣,安全效果自然也大相徑庭。我們不妨分析一下常見MFA方法,看看哪種驗證因子更為有效。
四、5種MFA多因素驗證方法
1. 一次性簡訊驗證碼(OTP)
用簡訊作為第二個身份驗證因子很是常見。用簡訊向用戶手機發送隨機的四到六位數字,理論上只有持有正確手機的人才能透過驗證,對吧?
很不幸,答案是否定的,已有多種方法被證明可以黑掉OTP。
比如說,2018年6月中旬,駭客就是透過簡訊攔截而黑掉了新聞娛樂網站Reddit。雖然駭客並未獲得太多個人資訊(Reddit的事件響應工作很棒),還是暴露出了簡訊身份驗證碼並不像人們通常以為的那麼安全。利用蜂窩網路漏洞就能攔截簡訊。受害者手機上安裝的惡意軟體也能重定向簡訊到攻擊者的手機。對手機運營商的社會工程攻擊可以使攻擊者複製出與受害者手機號相關聯的新SIM卡,接收到受害者的OTP簡訊。
實際上,美國標準與技術研究所(NIST)在2016年就不贊成使用簡訊身份驗證了,認為該方法不再是安全的身份驗證方法。但不幸的是,很多公司企業還在繼續依賴簡訊OTP,給使用者一種虛假的安全感。
2. 硬體令牌
作為現役MFA方法中的老大哥,硬體身份驗證令牌常以帶OTP顯示屏的金鑰卡的形式存在,硬體本身保護著其內部唯一金鑰。但硬體金鑰卡的缺陷也很明顯。首先,使用者不得不隨身攜帶這個額外的裝置;其次,貴,且需要物流遞送;最後,必須不時更換。某些硬體令牌需要USB連線,在需要從手機或平板進行驗證的時候就很棘手了。
3. 手機令牌
手機令牌很大程度上與硬體令牌類似,但是透過手機應用實現的。手機令牌最大的優勢在於使用者只需要帶個智慧手機就行了,而智慧手機現在基本屬於必備品,很多人忘帶鑰匙都不會忘帶手機。真正的問題是要審查令牌進入手機的方式,也就是“啟用過程”。以二維碼提供進入憑證可不是個好主意,任何能複製你二維碼的人都能掌握你令牌的副本。
4. 基於推送的身份驗證令牌
一種脫胎於常見手機令牌和簡訊驗證碼的驗證令牌,運用安全推送技術進行身份驗證,因易用性提升而受到使用者歡迎。與簡訊不同,推送訊息不含OTP,而是包含只能被使用者手機上特定App開啟的加密資訊。因此,使用者擁有上下文相關資訊可供判斷登入嘗試是否真實,然後快速同意或拒絕驗證。如果同意,使用者手機上的令牌應生成一個OTP,連同該同意授權一起發回以供驗證使用。但由於不是所有MFA解決方案都這麼做,也就增加了推送同意訊息被摹寫和偽造的風險。
5. 基於身份證的特殊令牌
這是一種最超前的方式,也是迄今為止最安全的方式了,安全程度比硬體令牌還要高,如果硬體令牌方案可以評價為四星的話,那身份證方案可以算是五星了。最大的優勢就是是用身份證和賬號相互繫結,在登入賬號的時候需要同時驗證使用者身邊是否持有匹配的身份證,當然是最安全的方式了。然而由於不是每個人都隨時攜帶身份證,所以該方案還需要再擴展出更“親民”的方式才能真正商用。
如上所述,MFA 驗證方法多種多樣,但並不是每一種都能給企業帶來同等的安全,而最安全的方案往往要麼成本太高、要麼對使用者的要求太高。因此,推出MFA解決方案時要綜合考慮安全程度和操作可行性。所謂鞋合不合適只有腳知道。但是有一點是確定的,那就是必須採用至少一種 MFA方式,否則就是將企業安全曝光在火山口,那是萬萬不可取的!
五、實施MFA會帶來怎樣的改變
再回頭看我們開頭的兩個例子,如果實施了 MFA,還會那麼輕易得發生麼?
案例一:王校長
小A想要換綁王校長的手機號,輸入王校長手機號的時候,點選【遇到問題】選擇【手機不能接收驗證碼】,此時,系統不再是輕鬆校驗王校長的生日,而是會去校驗一個只有王校長才擁有的東西。例如身份證、面容、指紋等生理特徵。小A不可能同時擁有隻有王校長才有的資訊了吧。
案例二:程式設計高手小蔡
即使小蔡記憶力好,能夠記住密碼,登入上了系統,此時系統檢測到此時登入的環境變了,常用裝置變了,IP也變了,不妙,需要再次校驗下其他資訊。抽取了面容作為二次驗證。這時候小蔡無法再偽造面容了,也無法登入了。就沒有後來的62萬條資料被盜。
這時候,MFA後臺會產生一條審計,顯示:
時間:2021-12-27 10:03:09
IP:http://…
狀態:登入失敗
原因:校驗面部無法透過
備註:銷售員小王賬號可能有洩露風險,請及時修改密碼。
當然你會問我是不是每次都這樣複雜,那企業成本會變得更加高。當然不是,這就是MFA的魅力所在。現在的「自適應MFA」相較於傳統MFA,能夠根據當前安全狀況,選擇應用不同的 MFA 方式,在保障安全的同時也兼顧使用者體驗,「自適應」多因素認證提供了更加靈活和智慧的驗證策略。
據統計:每秒多達 579 次口令攻擊–相當於每年 180 億次。
MFA多因素驗證,可以為企業搭起一道很高的防護牆,充分攔截掉各種有意的和無意的攻擊。從此,絕大部分企業就能踏實睡個好覺了!
我想問,你們所在的企業已經用上MFA多因素認證了嗎?評論區討論討論。
參考資料:
- https://mp.weixin.qq.com/s/z-SZDPVUCTSWUWTpRJNoQw
- https://baike.baidu.com/item/%E5%A4%9A%E5%9B%A0%E7%B4%A0%E9%AA%8C%E8%AF%81/22657576?fr=aladdin
本文由 @王小妞P7P7 原創釋出於人人都是產品經理。未經許可,禁止轉載
題圖來自Unsplash,基於CC0協議
