如何抵御MFA验证攻击

事实证明，多因素验证(MFA)对保护用户凭据至关重要，许多公司正在采用MFA来确保访问者对其IT环境的安全访问。因此，有些攻击者可能就会设计破解和规避MFA的技术来获取组织的数据。

IT工程师可能会使用先进技术和社会工程术，或两者的混合技术。尽管MFA也不是完全不可穿透的，但还是有一些方法可以防止MFA攻击。这篇文章将介绍五种常见的MFA攻击方法，和对这些攻击方法的应对机制。

会话劫持

在会话劫持中，攻击者可以使用技术漏洞或者诱使用户点击恶意链接，从而获取到会话ID相关内容；一旦该会话ID被占用，攻击者可以通过欺骗Web应用程序或浏览器去进行一个“有效的”的会话，在Web应用程序或浏览器中直接劫持或入侵客户端的会话。

在整个过程中，攻击者会佯装成用户的身份，执行那些真实用户才能执行的活动。试想，如果会话ID属于具有管理权限的用户，这将带来多大的损坏！

SIM卡交换

通常，当用户找不到移动设备或者转到新的手机服务提供商时，手机服务提供商会提供将现有手机号码自动交换到不同SIM卡的服务。而攻击者可能会利用此服务，假装成手机服务提供商，劫持那些准备删除的SIM卡的信息。

一旦电话号码传输成功，攻击者就可以接收到那些包含MFA验证码的短信。包括但不限于用户的电子邮件地址、应用程序的用户名和密码，电话号码，而这些有限但却有效的信息足以让用户的凭据数据暴露无遗。

Web注入攻击

在注入攻击中，攻击者在web程序员提供的字段中输入一些恶意代码或URL。而解析引擎会将此解释为命令的一部分，从而改变了应用程序的执行路径。

如在2019年，某银行机构网站的MFA机制中涉及验证用户的安全问题，被攻击者在链接中输入的恶意URL进行了规避。此URL导致任意计算机都被设置为受信任的，并允许攻击者从多个后台帐户挪用资金。

暴力破解

这种形式的攻击包括尝试不同的验证码组合，直到输入正确的验证码。许多MFA验证会涉及输入验证码或PIN。

随着攻击技术日益复杂，黑客更容易破解用户的帐户凭证和暴力获得MFA PIN或验证码。虽然目前大多数MFA解决方案可以通过锁定帐户来限制用户身份验证的失败次数，但有些MFA解决方案还是不包含任何防御机制的。

钓鱼攻击

网络钓鱼是攻击者使用假网站来操纵用户自愿提供信息或数据，如用户名、密码和安全问题的答案。用户会收到一封带有恶意URL的电子邮件。该恶意URL会将用户带到一个跟目标网站一模一样的假网站。

紧接着，用户会被要求输入他们的登录凭据，并提供相关信息，如他们设置的安全问题的答案。然后攻击者可以利用这些信息登录到用户的帐户，完成MFA验证，然后窃取存储在应用程序中的用户数据。

联邦调查局提出的防御MFA破解的策略

值得说明的是，尽快MFA也可能被攻击，但这不能掩盖它在数据安全方面提供的优势。企业仍需配置MFA验证以保护其数据安全。此外，还必须预备一些措施避免MFA黑客攻击。并提出了以下预防策略：

IT管理员应该能够识别社会工程学攻击

-知道如何识别假网站，不点击电子邮件中的恶意链接，或把某些链接列入黑名单-并教会用户如何应对常见的社会工程学攻击。

研究表明，98%的网络攻击是利用社会工程学进行的。“防患于未然”，用户建立网络安全意识其实是防止MFA黑客攻击的第一步，也是最重要的一步。

用户避免钓鱼攻击的最好方法是在点击恶意链接之前三思而后行。定期的安全意识培训可以帮助管理员和用户识别和举报钓鱼攻击，定期的社会工程学攻击检测有助于降低黑客攻击的几率。当然，管理员也可以执行其他措施，比如：

1.部署防火墙和防病毒解决方案；

2.安装防钓鱼插件；

3.保持浏览器使用的是最新版本；

4.考虑更复杂的多因素身份验证方式，如生物识别或行为验证，尽管这可能给用户带来一些不便，但这也为攻击者添加了一堵墙。

生物识别技术目前被认为是最强的MFA验证方法之一，因为它是基于物理特性对用户进行验证，如每个用户独有的指纹。这种基于生物特征的验证方式与其他验证措施结合使用，或直接使生物识别验证成为强制性验证，将大大提高防御能力。

基于风险的验证或行为特征验证是防止MFA攻击的另一种方法。通过这种验证方式，根据访问时间、IP地址等风险因素动态地更改身份验证方法的类型和数量。这是一个自动过程，在这个过程中，用户访问的上下文会被分析，并应用适当的MFA策略。

诸如在非工作时间访问公司资源或从不受信任的IP地址访问域网络等情况，启用更强的身份验证策略是另一种防止MFA攻击的方法，同时也确保了对公司资源访问的安全性。

尽管上述提到的第一种策略可以帮助避免像网络钓鱼这样的社会工程学攻击，但第二种策略更有助于防止依赖文本字段和密码的技术性网络攻击，如暴力破解和Web注入攻击。它还有助于避免SIM卡交换和其他与SIM相关的攻击。此外，避免MFA会话劫持攻击，还需要一款有效的身份管理解决方案。

一款全面的MFA解决方案，旨在阻止MFA攻击

ManageEngine的ADSelf Service Plus是一款自助服务密码管理解决方案，它提供了一个强大的MFA验证方案，帮助公司有效避免MFA攻击。以下是选择ADSelfServicePlus的好处：

目前已达到16种验证方式，包括GoogleAuthenticator、YubiKeyAuthenticator、基于指纹和人脸ID的验证等。

授权使用其他更为复杂的验证方法，如生物识别和Yubi密钥验证。

使用基于访问时间、IP地址、地理位置和设备的特定MFA验证方法。

使用策略为特定组、组织单位(OU)或域配置特定的身份验证方法。

ADSelf Service Plus通过识别Http Only标志和会话cookie的安全标志来避免会话劫持。这样做会使攻击者使用浏览器在客户端脚本尝试读取cookie时返回一个空字符串。

ADSelf Service Plus的MFA功能还可用于确保以下事件的安全：

1．远程和本地 (Windows、MacOS和Linux)登录；

2．VPN登录；

3．单点登录到基于SAML的企业应用程序；

4．用户自助操作，如密码重置和帐户解锁；

ADSelf Service Plus还提供了其他功能可以增强Active Directory环境的安全性：

密码策略强化器：

ADSelf Service Plus允许为特定组、OU和域创建自定义密码策略。您可以实现诸如防止某字符出现、限制重复字符和限制旧密码、强制包含多个字符等密码规则。

ADSelf Service Plus是一款自助密码管理和单点登录一站式解决方案。它提供密码自助服务、端点MFA验证、密码过期提醒、自助目录更新器、多平台密码同步器和企业应用程序单点登录。

ADSelf Service Plus还提供了Android和iOS的App，方便终端用户随时随地进行自助服务。ADSelf Service Plus还帮助IT Help Desk减少密码重置的工单数量，避免终端用户因此而产生的挫折感。