預防 MFA 疲勞攻擊:無密碼驗證可能是唯一對策
October 28, 2022
MFA 重點摘要
多重因素驗證(Multi-factor authentication, MFA)是指使用不只一種驗證方式來登入系統。運用 MFA 最常見的方式就是把密碼當作第一重驗證、並且搭配 6 位數的一次性密碼(OTP)作為第二重驗證。而 MFA 之所以有效,就是因為密碼以及行動裝置被同時突破的可能性是相對低很多的。
什麼是「MFA 疲勞攻擊」?
輸入六位數 OTP 太麻煩,推播驗證興起
最近,隨著網路釣魚的受害者人數不斷攀升,有越來越多人的密碼遭到竊取。不過,如果系統要求輸入 6 位數的 OTP,網路罪犯的行動往往就會受阻。但是,實際上不只這些網路罪犯對輸入 OTP 感到厭煩,就連使用者自身也是。於是,這促成了推播驗證(push notification)的發明——系統會在行動裝置上推播通知,而使用者只需點擊同意的按鈕即可進行驗證。
不停傳送推播通知,直到使用者疲勞按下同意
但是,這項發明也讓網路罪犯有機會能「通過」多重因素驗證。當一組帳號密碼遭到突破,網路罪犯就能來到「傳送推播通知至使用者行動裝置」的步驟。除非使用者點擊同意,否則驗證的確不會通過。然而,由於多數的驗證系統都有重新傳送通知的功能,網路罪犯也就能夠不斷地推送驗證通知,直到使用者按下同意。當大量的通知被傳送到行動裝置,使用者可能因此感到不勝其擾,進而按下同意,網路罪犯也就成功地進入到系統之中。像這樣利用不斷推送驗證通知,讓使用者感到疲乏的攻擊手法,就稱為「MFA 疲勞攻擊」。
密碼遭竊才是主因
當然,如果密碼沒有遭竊,就可以避免這種狀況發生。即使真的發生了,使用者也應該向 IT 部門進行回報,而非直接點擊同意。
如何預防 MFA 疲勞攻擊
無密碼登入:從根本解決
MFA 疲勞攻擊之所以發生的主要原因,並非出於推播驗證的功能,而是由於密碼已經先被盜取了。而這也顯示,使用密碼登入可能就是 MFA 疲勞攻擊最根本的原因。
因此,最有效的解決辦法就是採用密碼之外的驗證方式——也就是「無密碼驗證」。這是很直觀的概念,不過,實際上無密碼驗證包含了多種形式,諸如生物辨識或硬體的 FIDO 安全金鑰等途徑。
HENNGE Device Certificate——簡單有效的無密碼驗證
HENNGE One 也能夠不使用密碼來進行驗證。使用者可以在自己的 PC 上安裝「裝置憑證(Device Certificate)」,而後使用者想要透過 HENNGE One 進行登入時, HENNGE One 便會檢查裝置上的憑證是否有效。透過有效的憑證,使用者才能進入系統。裝置憑證最大的好處在於簡單便利,且使用者在安裝後就無須擔心密碼遭竊的風險,是相當安全的驗證方式。因應這樣的趨勢,是時候該擺脫密碼了!
進一步瞭解 HENNGE One,讓 HENNGE 協助您達成無密碼驗證!
喜歡這篇文章嗎?歡迎分享出去!