曾經只在高安全的政府和企業中采用的雙因子認證(2FA)，如今普通人也能在網站和賬戶身份驗證中廣泛使用。2FA能夠幫助減少被黑的風險，但可別就此以為2FA是絕對安全的。

　　許多人對2FA提供的安全性過于信任，覺得2FA不可黑、不可戰勝，能阻擋所有高級持續性威脅(APT)，打敗網絡釣魚和社會工程。2FA得到了超出自身能力的過多信任，但實際上，能黑掉2FA的方法少說也有十幾種。

　　1. 中間人攻擊

　　只要中間人攻擊者能誘騙用戶訪問他們的流氓網站并彈出2FA憑證輸入頁面，用戶的2FA防護基本就玩完了。中間人攻擊者能偽造用戶使用2FA登錄的網站，然后誘使用戶輸入其2FA憑證。更常見的情形，是在用戶成功通過2FA驗證后攻擊者直接盜走所產生的(非2FA)令牌。

　　大多數人都不知道，2FA驗證通過后(無論驗證因子是生物特征還是硬件令牌或智能卡)，操作系統就以隨后產生的軟令牌接管了你的訪問授權。但該令牌是可被盜走和重用的。舉個例子，你的Windows筆記本電腦要求用指紋驗證登錄。一旦你成功通過指紋驗證，操作系統后臺往往就開始使用NTLM或Kerberos令牌了。你的身份驗證方式通常與你之后被賦予的訪問權限毫無關系。想要成為優秀計算機安全人員的人士需要知道這一點，要了解驗證方式與所授予權限的無關性，這很重要。

　　2. 終端中間人攻擊

　　與中間人攻擊類似，如果黑客可將其惡意軟件植入你的計算機，他們就能修改你2FA驗證過程用到的軟件，盜取2FA令牌保護下的秘密，或者用你已經通過的驗證結果來訪問不該訪問的東西。

　　早在本世紀初，銀行木馬就已經這么干了。這些木馬潛伏在主機上，等待用戶成功通過身份驗證，然后在后臺開啟隱藏的流氓會話。你以為自己只是簡單地查看下賬戶余額，但在后臺，木馬已經在將你的所有存款轉賬到他們的海外賬戶了。

　　通過產生與交易數額綁定且特定于該次交易的第二2FA驗證碼，銀行感覺自己已經打敗了上述銀行木馬。但銀行木馬的創建者們馬上改變策略，開始攔截原始交易請求，產生并提交他們自己數額更大的請求，再將該請求發給銀行。而絲毫沒有意識到新交易實乃偽造的銀行，就會以該偽造的數額產生第二2FA并發給提起請求的合法用戶。該合法用戶毫無戒心地輸入收到的第二2FA驗證碼，完全不知道這個驗證碼僅對要盜走他們賬戶上所有資金的隱藏流氓交易有效。

　　針對新的攻擊，銀行再加了一道需要用戶在輸入2FA驗證碼之前確認交易金額的手續。然而，現實是，很多銀行客戶并未對交易細節多加關注，往往瞟一眼就習慣性地直接輸入2FA碼了。很多情況下，銀行木馬依然能偷到客戶資金。

　　無論你采用哪種驗證方式登錄計算機或其他設備，只要通過了身份驗證，隱藏在你系統中的流氓用戶或惡意軟件就能為所欲為。它們靜待你的計算機超時，等待你打瞌睡或鎖屏的時機。即便屏幕被鎖定，你的身份驗證和授權令牌依然有效，且能被重用。

　　3. 被黑的2FA軟件

　　終端中人攻擊的一種特殊類型，是黑了與2FA設備相關的軟件。比如說，想要在設備上使用智能卡，設備必須安裝能識別并操作該智能卡的相關軟件。智能卡供應商會給你安裝軟件，或者在你所用設備的操作系統中預裝相應驅動。

　　如果你的電腦被黑客植入了流氓軟件，合法的2FA相關軟件就會被篡改或替換掉。上面所述的智能卡例子中，該流氓軟件會要求智能卡在下一次插入時共享其上存儲的秘密，或者延長表征身份驗證成功的令牌在內存中的駐留時間，以便攻擊者盜取或重放。一些案例中，流氓軟件被用于在另一臺流氓設備上完全盜取或替換掉智能卡。

　　4. 盜取并重放密碼生成器

　　很多硬件和軟件2FA令牌會生成特定于用戶和設備的一次性密碼。身份驗證軟件和用戶設備二者同時產生該一次性密碼，然后將該用戶提交的密碼與身份驗證系統自己產生的副本做比較，看是否一致。

　　大多數情況下，該一次性密碼是基于特定于每臺2FA設備和用戶的共享隨機“種子”值產生的，后續所有密碼都采用同一個算法按預設時間間隔從該種子生成。這種2FA令牌要求用戶在30秒到數分鐘內輸入該一次性密碼，超時就要重新輸入新產生的那個。RSA的SecureID令牌推廣了此類2FA設備，盡管如今類似的硬件令牌少說也有幾十上百種，而僅基于軟件的此類令牌就更多了，成百上千。

　　基本上，僅基于軟件的此類令牌因為軟件更容易被黑而安全性不如其硬件版本。硬件令牌通常需要物理接觸才能黑掉。

　　黑客很早以前就知道，如果能獲取到原始種子值并知道該時間同步的密碼生成算法，他們就能像真正的驗證系統和2FA設備一樣產生并匹配該單向密碼。一些2FA設備使用了脆弱的一次性密碼生成器，給了攻擊者捕獲任意一次性密碼并產生后續所有密碼的機會。如果無需知道原始隨機種子值就能做到這一步，那就說明所用密碼產生算法并不健壯。隨機產生的值不應該被捕獲到，更不應該能輕易用其生成后續“隨機產生的”值。

　　廣泛使用的常見黑客工具包含了相關功能，于是，黑客只要能搞到種子值，就能構造出虛假的2FA設備。APT攻擊者已經在用此類攻擊攫取利益了。其中最著名的例子就是中國黑客入侵RSA，搞到了洛克希德馬丁公司的種子值，入侵了這家美國國防承包商的系統。

　　5. 未要求使用2FA

　　包括流行網站在內的很多服務都提供2FA但并不強制要求使用，這一點損害了設置2FA的初衷。大多數用戶以為只要啟用2FA，此后就一直都要用。但事實并非如此，大多數網站同時還允許用戶輸入口令、回答口令重置問題，或者致電技術支持中心來繞過2FA的阻礙。

　　對于允許用戶使用多種登錄方式但不允許合法用戶要求必須使用2FA的網站，黑客早已精通社會工程掉這些站點的技術支持部門，讓他們重置用戶的口令;或者直接猜出口令重置問題的答案。

　　很多口令重置問題設置得很是侮辱智商，可以輕易猜出答案?？诹钪刂脝栴}簡直就是身份驗證行業的禍根，應該像蟑螂一樣被滅掉。

　　黑客同樣可以對用戶下手，社會工程出他們的口令憑證，然后用輸入口令憑證的方式登錄，壓根兒不用理會2FA。提供2FA登錄但又不要求所有登錄實例都應用2FA，本身就損害了設置2FA的安全用意。

　　如果你的公司使用2FA，但不在公司所有網站和服務中啟用，就意味著你依然有一對登錄公司用的用戶名和口令，意味著2FA形同虛設，至少在接受你的非2FA憑證的站點上是這樣的。

　　6. 偽造身份

　　智能卡供應商肯定不想讓你知道每個2FA設備/軟件都與一個用戶/設備的ID掛鉤。該ID在驗證系統中應是唯一的。在很多2FA系統，尤其是智能卡身份驗證系統中，只要能修改一個人的ID，即便只是暫時修改，都能使用任意2FA設備，甚至是關聯到另一個人身上的2FA設備，以之作為目標用戶通過身份驗證。

　　舉個例子。假設你的智能卡關聯的是user1@example.com這個ID。手握其他任意智能卡和PIN碼，比如說user2的黑客，能進入身份驗證系統并將user1的ID修改為user2，將user2的ID改為user1。然后，他們就能用user2的智能卡和PIN碼登錄，但系統卻會在審計中認為他們是user1。只要在完事后再將ID換回來，他們便能在不知道user1的PIN碼也沒有user1智能卡的情況下，以user1的身份作惡，且user1毫無所覺。智能卡為內部人2FA攻擊提供了成熟的條件。

　　很多2FA設備都是這樣的。用來唯一標識用戶/設備的東西將2FA設備與該用戶/設備綁定了。如果某人能修改其他人的ID，那他就切實擁有了將該用戶/設備的ID切換給其控制下的任意其他2FA設備的能力。確實應該像監控口令修改一樣嚴密控制并審計ID屬性的修改。

　　7. 被盜生物特征

　　你的生物特征屬性，比如指紋和視網膜紋，也會被盜和重用，而且你很難否認攻擊者對這些生物特征屬性的使用。生物特征身份還有很多其他問題，例如相當高的不識別率和錯認率，但它最大的問題是一旦被盜就永遠無法恢復了?？诹畋槐I還能改改再用，但指紋或視網膜紋是沒辦法輕易改變的。

　　8. 共享集成身份驗證

　　oAuth之類共享集成身份驗證方案，可以讓用戶只登錄一次，就可重用該憑證繼續登錄其他服務和網站。應用此類身份驗證的情形，大多會要求初始身份驗證過程使用2FA，而后續登錄便不再要求——即便正常情況下也是需要2FA的。共享集成登錄往往使用已經通過驗證的令牌來登錄后續站點或服務。

　　9. 社會工程

　　隨著越來越多的站點允許或要求使用2FA，黑客也學會了如何從用戶身上套取2FA。這與上文所述的中間人攻擊或終端中人攻擊類似，但更加精妙，涉及供應商意外要求2FA之類的情形。使用2FA未必意味著用戶本身不會被誘騙交出2FA。

　　10. 2FA暴力破解攻擊

　　2FA令牌被黑客試出來的事并非聞所未聞。如果使用2FA登錄的網站或服務沒做好登錄嘗試控制，攻擊者是有可能反復嘗試，直至試出所鍵入的PIN碼的。大多數2FA站點確實有登錄鎖定措施，但不排除有少數站點沒有。有人就抱怨過某著名網站竟然不對登錄失敗次數加以控制，當然，該網站隨后修復了此漏洞。

　　11. 實施中的漏洞

　　可以說，2FA登錄網站中，帶有可致2FA被繞過的漏洞的，肯定比不帶該漏洞的網站數量多。帶漏洞的2FA實現或許是安全2FA實現的數百倍之多。

　　如何防御針對2FA攻擊

　　2FA登錄可被成功攻擊，并不意味著你不能讓黑客的成功之路布滿荊棘。以下就是阻擋2FA攻擊的幾條建議，或許其中很多你已經在用了：

　　給管理員和用戶普及2FA威脅及攻擊的知識。

　　詢問你的供應商對上述2FA威脅攻擊場景的解決情況。

　　確保系統安裝了殺毒軟件并保持更新，以檢測并防止惡意軟件及試圖繞過或盜取你2FA憑證的黑客。

　　確保你的用戶了解2FA社會工程并經過相應反2FA社會工程培訓，不會隨意交出他們的2FA PIN碼或一遇到要求使用2FA設備/軟件的網站和電子郵件就使用。

　　只要站點或服務允許使用2FA，盡量用。如果能用2FA，且允許你要求必須使用2FA才能登錄，不妨開啟該強制2FA功能。

　　弄清你的2FA供應商允許使用什么東西繞過2FA。這些東西能被社會工程出來嗎?

　　問問你的2FA憑證提供商是否在開發這些硬件和軟件時采用了安全開發生命周期(SDL)編程最佳實踐。

　　保護并審計2FA所用唯一身份屬性。

　　口令重置問題的答案不用那么老實(問你爸爸的名字你可以回它一個你喜歡的運動項目名稱)。

　　鼓勵網站和服務使用動態身份驗證——當登錄請求來自新設備或帶有其他不太自然的屬性)比如海外地理位置或不正常的時間點)時，自動增加登錄所需驗證問題或因素。

　　正確理解2FA登錄的優缺點沒什么壞處。2FA肯定比口令之類單因子驗證更好更安全，但也不是一勞永逸的萬靈藥。2FA也會被黑。它們有助于抵御很多黑客攻擊，但其本身并非完美無缺?？梢苑判氖褂?FA，但千萬別過于樂觀。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇