风险评估与多重身份验证 (MFA) 安全性
核心观点与风险分析
企业单纯依赖用户名和密码进行身份验证存在严重安全隐患。用户凭据被盗或密码安全习惯不佳导致的泄露行为占所有黑客攻击的 80%,目前已有超过 6.13 亿个密码因数据泄露而外泄。常见的攻击手段包括撞库、网络钓鱼、密码喷洒攻击、暴力破解等。尽管传统 MFA 通过增加身份验证因素(如密码、PIN 码、硬件令牌、生物特征等)显著降低风险,但攻击者仍可通过社会工程、网络钓鱼、SIM 卡交换攻击等方式绕过验证机制。
传统 MFA 的局限性
传统 MFA 虽然提升安全性,但仍有漏洞。例如,2020 年某泄露事件中,攻击者结合社会工程与网络钓鱼手段绕过 MFA,若受害者使用物理安全密钥则可避免攻击。此外,传统 MFA 存在以下问题:
- 攻击方式:网络钓鱼、透明代理(MITM)、验证码拦截、撞库、重放攻击等。
- 风险等级:中到高风险,用户体验可能因繁琐操作(如插入硬件密钥)而下降。
FIDO2 标准与硬件密钥方案
FIDO2 是基于 Web 身份验证和客户端到验证器协议的标准化身份验证方法,可消除网络钓鱼、MITM 和重放攻击风险,支持无密码身份验证。然而,通过硬件安全密钥实现 FIDO2 MFA 存在以下挑战:
- 成本与效率:为每位用户购买、配置和管理物理密钥成本高、耗时长。
- 用户体验:插入密钥操作繁琐,影响效率。
- 管理问题:密钥分配不均、无法更新、丢失后需更换等。
新一代 MFA 解决方案:Akamai MFA
Akamai 提供基于智能手机应用的新一代 MFA 方案,替代物理密钥,解决 FIDO2 MFA 的实施难题:
- 安全性:采用防网络钓鱼身份验证因素,支持无密码未来。
- 用户体验:利用现有智能手机快速部署,操作流畅。
- 成本效益:无需硬件投入,降低管理复杂度。
研究结论
企业应从单一身份验证转向多层防御,优先采用 FIDO2 标准,并考虑 Akamai MFA 等新一代解决方案以平衡安全性与用户体验。通过加密技术和智能手机应用,可显著降低风险并推动无密码身份验证的普及。
