多因素认证 (MFA) 有哪些不足 - How MFA is falling short

社会工程学攻击：
- 黑客通过伪装成可信赖的来源，引诱员工交出认证因素，如登录凭证、一次性密码 (OTP) 等。
- 案例：2022 年，Rockstar Games 被黑客伪装成 IT 员工通过社会工程学手段攻破。
会话劫持：
- 恶意浏览器扩展和不安全的 cookie 设置允许黑客在用户登录后劫持会话。
- 案例：2022 年，恶意行为者通过劫持 Cisco 员工的浏览器会话获取了企业服务器的访问权限。
中间人 (MITM) 攻击：
- 黑客通过假冒网络/服务器/网页拦截用户输入的凭证。
- 案例：现代钓鱼工具采用透明反向代理法将真实网站展示给受害者，同时窃取其凭证和会话 cookie。
SIM 交换：
- 黑客通过社会工程学手段获取受害者的电话号码并冒充他们向运营商申请新 SIM 卡，从而接管手机连接。
- 案例：2022 年，Lapsus$ 攻击中黑客通过 SIM 交换攻破了微软员工的手机。
MFA 疲劳攻击：
- 攻击者通过不断向受害者设备发送 MFA 请求，直到受害者在疲劳或不清醒状态下误点击“同意”。
- 案例：2022 年 Uber 被黑客通过持续发送 MFA 请求攻破。

采用 FIDO2 标准：
- FIDO2 是一个基于密码学的安全标准，通过使用无法钓鱼的密码凭证验证用户身份，提高安全性。
- 这种方法包括便携式硬件设备（如 Yubikeys）和嵌入用户设备的验证器（如指纹识别）。
用户教育：
- 对用户进行安全意识培训，使其能识别和应对钓鱼攻击等安全威胁。
使用密码管理器：
- 密码管理器帮助确保用户使用强密码，并支持过渡到无密码的未来。
设备信任解决方案：
- 在身份验证过程中加入设备信任检查，确保设备在安全状态下进行认证。

尽管 MFA 目前是较好的安全措施，但需结合无密码认证方法，才能真正保护用户免受攻击。组织应逐步淘汰密码，采用更安全的认证方式，如 FIDO2，同时增强用户的安全意识和设备的安全性。