在犯罪心态中 ： 在无密码的世界中回避身份验证

在无密码世界中进行身份验证 CONTENTS 5PASSKEYS ： 无密码认证的新时代 利用会议劫持进行旁听认证 INTRODUCTION 密码一直是安全的基础，历史悠久。从莎士比亚《哈姆雷特》中的“国王万岁”到《阿里巴巴与四十大盗》中的“开门吧！”这一赋予访问权限的概念深深植根于我们的文化中。尽管我们今天使用了无数的账户和服务，密码仍然是主要的安全措施。然而——历史上首次——我们开始看到这种变化的趋势。 数字安全格局正在从密码和密码管理工具向无密码认证转变，通行证开始取代传统密码主导地位。通行证承诺提供更加流畅和安全的用户体验，解决了长期与密码管理相关的众多难题。 但如果我们从过去学到了什么 ， 那就是 网络犯罪分子非常善于适应变化。随着我们迈向无密码的数字社会，对手正在寻找新的利用途径——包括会话劫持——并挑战最复杂的身份验证系统。 本白皮书剖析了现代认证实践，并提供了针对下一代认证绕过或规避技术如何正确防御的指导方针。 认证的现状 当前的身份验证状态融合了传统方法和新兴技术，每种都有其独特的优势和挑战。 密码 尽管存在脆弱性，密码仍然是最常见的身份验证方式。它们易于实施且用户熟悉。然而，人为因素引入了诸如密码重复使用、弱密码和钓鱼攻击等挑战。SpyCloud的2023 年身份暴露报告 发现 72 ％ 的违规密码仍在使用中 ， 61 ％ 的消费者在多个帐户中重复密码。 密码管理员 考虑到这些统计数据，许多组织自然会采取的下一步行动就是使用密码管理器。密码管理器通过生成强大的密码并将其存储在一个由单一“主”密码保护的安全保险库中来降低风险。然而，尽管密码管理器让对手的生活更加困难，它们并非万无一失。首先，主密码是由用户生成的，这导致了更大的风险，因为一旦泄露，整个保险库将面临严重的后果。SpyCloud的研究人员揭露了几乎...118, 000 个被盗主密码从8家密码管理服务提供商处获取的数据表明，尽管密码管理工具有益，但它们无法掩盖密码卫生不佳的问题。 多因素认证 认识到仅凭密码进行身份验证的局限性，许多组织已采用多因素认证（MFA）。这种认证方法要求用户提供两个或多个验证因素以获取访问权限。MFA的常见形式包括你知道的东西（密码）、你拥有的东西（智能卡或令牌）以及你是谁（生物特征）。通过确保即使一个因素被泄露，攻击者仍需绕过其他因素，MFA增强了安全性。 但是 MFA 的采用仍然存在low. 就像所有其他网络安全措施一样，它并非万无一失。犯罪分子仍然可以利用钓鱼、信息窃取恶意软件和其他技术来拦截认证因素并实施诈骗。账户接管. 随着恶意行为者与认证方法同步演变，我们现在看到组织转向无密码认证，因为它提供了一些显著优势。 PASSKEYS ： 无密码认证的新时代 随着密码逐步被淘汰，通行证提供了一种简化且安全的方法，让用户无需密码即可登录。这项技术利用生物识别认证数据（如指纹或面部扫描）或PIN码对访问受支持网站和应用程序的用户进行身份验证——这是一种比传统密码更友好、同时增强安全性的方式。 PASSKEYS? 并非所有组织都已过渡到无密码认证。如果密码用于保护您的系统和账户，请考虑遵循NIST推荐的以下密码指南： 本质上，通行证是一个加密实体，对用户来说保持隐形，并作为密码的替代品。它由两把钥匙组成：一把公钥注册于网站或应用程序，另一把私钥存储在用户的设备上。 这一新的认证方法正在获得关注，特别是自从FIDO联盟开始推广passkeys的部署以来。各大科技巨头，包括微软、谷歌和苹果，随后推出了支持这一新系统的必要基础设施。 要求密码长度至少为8个字符 允许使用64+字符的密码 限制登录尝试次数 禁用常见、预期或已被泄露的密码 某些密钥的好处 fi ts 包括 ： 它们仅与创建它们的网站或应用程序相关联，从而保护用户免受潜在钓鱼攻击。通行证可以存储在云端，因此可以在多个设备上访问。私钥从未离开用户的设备，防止潜在的泄露来自网站或应用程序。用户无需创建、保护或记住有关通行证的任何信息。 DON’T: 要求密码复杂度设置 强制进行任意密码更改 使用密码提示或提醒 使用基于知识的身份验证 利用会议劫持进行旁听认证 什么是会议劫持 ？ 无论会话最初是通过密码还是密钥进行身份验证，每个站点和应用程序都会分配一个cookie——一组字符串，该站点或服务器使用这些字符来记住访问者，并使其更容易再次访问站点而无需重新认证。有些cookie可能仅持续24-48小时，而其他一些则可能持续数月甚至数年。 当 PASSKEYS 巨大的 会话劫持一种新兴、难以察觉的攻击方法正在兴起，该方法允许恶意行为者获取已认证会话的访问权限。借助反检测浏览器和从感染了信息窃取器的设备中盗取的有效Cookie，攻击者可以模拟一个可信设备，并进一步：回避所有形式的身份验证- 密码、MFA（多因素认证）和通行证。我们通过SpyCloud数据库中包含的支持证据看到了这种攻击方法上升的趋势，该数据库包含了...220 亿仅在 2022 年就从暗网中重新获取了被盗的 cookie 记录。 对密码的改进 ， 网络罪犯正在简单地工作 周围 会议劫持的后果 无密码 会议劫持是犯罪分子犯下的一种日益普遍的方式 认证 fraud that ’ s extremely dif fi cult to detect. Think of it as next - generation account With SESSION 接管 — — 一种模仿合法用户而不引发红色 flags 的方法 ， 创造机会来提升权限并交付可执行文件。然而 SpyCloud2023 年 Ransomware 防御报告发现安全 从业者将被盗取的饼干/令牌评为勒索软件入侵的低风险途径，这暗示了他们对会话劫持问题范围的缺乏理解。 被盗会话cookie为用户和组织带来的风险远远超出了初始恶意软件感染。一旦cookie数据在犯罪地下世界中变得可用，它就可以被多次出售和交易，由不同技能水平的犯罪分子利用来进行各种攻击，只要该cookie保持有效。而且，如果被盗的cookie与正在进行的单一登录（SSO）会话相关联，攻击者可能获得访问数百个应用程序的权限。典型大型企业，使后续攻击变得非常容易。 如何防止会议延误 随着无密码认证的持续发展，它仍然是多层零信任安全策略中不可或缺的一部分，并且相较于传统的密码使用方式有了显著改进。然而，为了防止会话劫持，还需要采取额外的策略，比如监控被攻陷的网络会话以及失效被盗取的会话cookie。 为了组织能够抵御攻击，需要对恶意软件受感染会话进行早期洞察，并具备在窃取的访问数据被使用之前快速无效化cookies和重置受感染用户凭证的能力。SpyCloud的研究表明，即便组织能查看到被盗的会话cookies，39% 的人仍然不终止会话 cookie暴露的迹象。 为了主动防止下一代认证绕过或认证旁路，请考虑以下步骤： 会话保持活动状态的时间越长 ， 潜在的攻击者将玛丽视为一个低风险的员工，她接受标准的安全检查和密码策略——仅在将来 需要干预的情况下。劫持它。通过限制你的 cookie 的生存时间 ， 即使攻击者获得了访问权限 ，暴露。 执法时间约束会议 他们的危害窗口显著减小。对于关键应用，考虑将会话设置为在较短的时间段后过期——某些应用可能是在无活动状态几分钟后，而对于其他应用，有效期可能长达数天或数周。这在潜在风险与用户对重新验证容忍度之间达到了平衡。 部署能够提供被恶意软件感染用户及受损Cookies洞察的监控工具，以便您确切了解哪些网络会话需要失效。 此外，使用能够提醒您偏离常规行为的工具监控用户行为异常，例如从不熟悉的IP地址访问系统或进行大量数据传输。集成机器学习可以进一步增强系统的异常检测能力，通过历史数据学习来提升性能。 新技术的引入 ， 特别是与安全相关的技术 ， 通常将玛丽视为一位低风险的员工，她会接受标准的安全检查和密码政策，仅需在未 需要转变心态和行为。无密码身份验证 ， 而 提供众多优势的保护措施并非对信息窃取恶意软件感染的完全防护。如同所有安全问题一样，结合技术解决方案与人类行为培训对于预防如会话劫持等下一代攻击至关重要。 为无密码的明天做准备 认证正处于关键阶段。从密码向通行证的过渡及其后续发展为我们揭示了更加安全的数字未来一瞥。然而，这也提醒我们，在面对如会话劫持等不断演变的威胁时，持续保持警觉、教育以及——尤为重要的是——适应性的需求始终存在。 ARLY INSIGHTS 将恶意软件入侵的会话纳入管理有助于组织迅速采取行动防止会话劫持，并维持无密码身份验证的完整性。 解决方案。 随着我们步入这个新时代，我们在数字安全方面的策略必须全面考虑人性因素，并尽可能地适应技术防御，以应对下一代攻击手段的挑战。 关键是 ： 识别受信息窃取者感染的用户 使被泄露的 cookie 识别的任何活动会话无效 重置公开的凭据 关于 SPYCLOUD 对于已知被攻陷的设备标记用户账号，以增加对后续登录或网站互动的审查，不论Cookie过期时间。 斯普伊克云将从暗网中夺回的数据转化为保护企业免受网络攻击的工具。其产品实现了网络安全犯罪分析（C2A），产生可操作的洞察力，使企业能够主动防止勒索软件和账户接管，保护员工和消费者的身份，并调查网络安全事件。其独特数据来源于泄露、感染恶意软件的设备和其他地下来源，也驱动了许多流行的暗网监控和身份盗用保护服务。斯普伊克云的客户包括全球十大企业的半数、中型企业以及世界各地的政府机构。总部位于德克萨斯州奥斯汀市，斯普伊克云拥有一支近200名网络安全专家团队，他们的使命是通过自动化解决方案使互联网更加安全，帮助组织对抗网络犯罪。