預防 MFA 疲勞攻擊：無密碼驗證可能是唯一對策

MFA 重點摘要

多重因素驗證（Multi-factor authentication, MFA）是指使用不只一種驗證方式來登入系統。運用 MFA 最常見的方式就是把密碼當作第一重驗證、並且搭配 6 位數的一次性密碼（OTP）作為第二重驗證。而 MFA 之所以有效，就是因為密碼以及行動裝置被同時突破的可能性是相對低很多的。

什麼是「MFA 疲勞攻擊」？

輸入六位數 OTP 太麻煩，推播驗證興起

最近，隨著網路釣魚的受害者人數不斷攀升，有越來越多人的密碼遭到竊取。不過，如果系統要求輸入 6 位數的 OTP，網路罪犯的行動往往就會受阻。但是，實際上不只這些網路罪犯對輸入 OTP 感到厭煩，就連使用者自身也是。於是，這促成了推播驗證（push notification）的發明——系統會在行動裝置上推播通知，而使用者只需點擊同意的按鈕即可進行驗證。

不停傳送推播通知，直到使用者疲勞按下同意

但是，這項發明也讓網路罪犯有機會能「通過」多重因素驗證。當一組帳號密碼遭到突破，網路罪犯就能來到「傳送推播通知至使用者行動裝置」的步驟。除非使用者點擊同意，否則驗證的確不會通過。然而，由於多數的驗證系統都有重新傳送通知的功能，網路罪犯也就能夠不斷地推送驗證通知，直到使用者按下同意。當大量的通知被傳送到行動裝置，使用者可能因此感到不勝其擾，進而按下同意，網路罪犯也就成功地進入到系統之中。像這樣利用不斷推送驗證通知，讓使用者感到疲乏的攻擊手法，就稱為「MFA 疲勞攻擊」。

密碼遭竊才是主因

當然，如果密碼沒有遭竊，就可以避免這種狀況發生。即使真的發生了，使用者也應該向 IT 部門進行回報，而非直接點擊同意。

如何預防 MFA 疲勞攻擊

無密碼登入：從根本解決

MFA 疲勞攻擊之所以發生的主要原因，並非出於推播驗證的功能，而是由於密碼已經先被盜取了。而這也顯示，使用密碼登入可能就是 MFA 疲勞攻擊最根本的原因。

因此，最有效的解決辦法就是採用密碼之外的驗證方式——也就是「無密碼驗證」。這是很直觀的概念，不過，實際上無密碼驗證包含了多種形式，諸如生物辨識或硬體的 FIDO 安全金鑰等途徑。

HENNGE Device Certificate——簡單有效的無密碼驗證

HENNGE One 也能夠不使用密碼來進行驗證。使用者可以在自己的 PC 上安裝「裝置憑證（Device Certificate）」，而後使用者想要透過 HENNGE One 進行登入時， HENNGE One 便會檢查裝置上的憑證是否有效。透過有效的憑證，使用者才能進入系統。裝置憑證最大的好處在於簡單便利，且使用者在安裝後就無須擔心密碼遭竊的風險，是相當安全的驗證方式。因應這樣的趨勢，是時候該擺脫密碼了！

進一步瞭解 HENNGE One，讓 HENNGE 協助您達成無密碼驗證！