top of page
    • 2023年2月2日

身份安全優先的策略,如何降低資安攻擊的影響和有效性?

已更新:2023年5月16日

文章來源 / Okta Official Blog、Kevin Lee 編譯整理


繼先前討論的「多重身份驗證如何對抗網路釣魚?」 一文,這一篇文中,我們將更廣泛地討論多重因子驗證(MFA)能夠為身份帶來的安全防護效益。


保護——我們應該使用哪些憑證?


對於多數的組織和用戶而言,多重因子驗證的數量過猶不及,然而,並不是所有的多重因子驗證項目都有相同效果。一些多重因子驗證的方法容易受到特定攻擊媒介(如簡訊詐騙)的影響。因此,一個成功的多重因子驗證策略,需能兼顧多因子憑證的優勢及使用方便。那麼,最有韌性的憑證是哪些呢?


為了幫助身份安全專家替組織做出最佳決定,我們可以藉由此三種憑證(您知道的、您擁有的、您的身份)以及它們的操作方法進行評估。這些方法如下:


  • 設備綁定的憑證,需重新註冊始可移轉至其他裝置

  • 使用公鑰加密的防網路釣魚憑證,可驗證來自資源的登入請求是否合法

  • 受硬體保護的憑證將其密鑰與機密儲存在安全區域、受信任的平台模組,或是儲存在不同於登錄裝置的硬體,甚至是用戶上。

  • 作為多重因子驗證流程的一部分,透過如輸入PIN碼、生物識別技術獲取一次性密碼,該憑證能確保並證明用戶在場。

我們可以應用附加的身份中心安全控制,使得攻擊者試圖於帳戶註冊惡意憑證(rogue credential)變得更加困難。幸運的是,我們透過指定帳戶上的哪些身份驗證器足以開通額外的憑證,能夠進一步實現縱深防禦(defense in depth)。在這裡,我們透過強大的憑證註冊政策做到這一點。在有限的情況下,如新帳號開通與憑證註冊,我們需要更高層級的憑證—如Okta Verify Mobile App 來進行新憑證註冊,這大大增加了竊取帳戶的難度。


依照使用場景、訪問資源的敏感性,量身定制登錄保證要求,藉此我們得以兼顧用戶體驗和安全性。總上所述,我們希望新的憑證註冊政策要求不僅僅止於密碼,因為單就密碼而言,其不受設備綁定、無法抵禦網路釣魚、不受硬體保護。使用基於SMS的身份驗證,對於低風險應用程式是可接受的,但其與裝置綁定、易受網路釣魚攻擊的特點,使其在訪問管理控制台時成為一個糟糕選擇。透過我們的多重因子驗證政策,界定被訪問資源的機密性,我們得以同時兼顧每個場景的使用體驗及強健的身份中心安全。


預防——強認證


對於大多數人來說,登入體驗是身份管理中最顯而易見的部分。它還同時揭露了網路安全鏈最薄弱的環節之一:密碼。近來,密碼幾乎不被提倡。密碼已經問世超過六十年,而且從來都不是為了現今數位環境的大規模應用所設計的。網路安全專家對其容易被竊取與破解的特性感到不滿,而一般用戶則對遵守密碼設置的複雜規則及獨特性感到疲倦。


很自然地,密碼的諸多特性,使得其成為網路犯罪者最可利用的途徑之一。根據2022年Verizon數據洩漏調查報告,近70%的全球安全事件主要可被歸因爲憑證(如密碼)被盜取。那我們可以做些什麼,以避免暴露在此風險中呢?總的來說,透過多重因子驗證是避免帳號遭受常見網路攻擊的有效方法之一。


多重因子驗證需要使用者提供兩個以上的憑證來登錄。這些憑證被分成三類,分別是您知道的(像是密碼)、您擁有的(像是提供一次性密碼或硬體權杖的身份驗證器)或是您的身份(使用生物辨識)。將這些驗證方式的其中兩者整合在登入流程,大大降低了密碼遭竊的風險,因為單持密碼並不足以訪問資源。


在Okta,我們用Okta FastPass 融合了多重因子驗證的安全有效、令人愉快的無密碼使用體驗。在設備上安裝並註冊Okta Verify後,我們便有擁有因子。藉由賦予FastPass使用基於平台的生物識別身份驗證器權限(例如FaceID,TouchID或Windows Hello),FastPass也提供了生物辨識因子。使用Okta FastPass進行強身份驗證,為我們提供了出色的用戶體驗、省時以及卓越的安全性。


緩解——憑證管理警報


還有其他攻擊媒介,入侵者可能不需要竊取您的密碼或電話來訪問您的帳戶。攻擊者可能藉由手機或筆電上的惡意軟體來遠端窺探他人的行動。鍵盤側錄器可以側錄受感染機器上的所有鍵擊資訊——包含密碼。一旦惡意使用者獲取密碼,但發現仍需額外的身份驗證才能訪問資源,他們很可能會利用竊取的密碼來註冊自身的密碼。




有時,少量的溝通可以幫助我們維護用戶安全。在Okta,當用戶的安全驗證方法(登錄憑證,包含那些使用於多重因子驗證的憑證)被改變時,Okta的平台會及時通知用戶。此特色確保了帳戶有任何更改時,用戶得以及時獲得通知,並在用戶未授權此改變時向他們的網路安全團隊通報可能潛在的風險。


透過Okta Workflow,「Report Suspicious Activity(回報可疑活動)」按鈕將觸發多項反應。除了警示網路安全團隊外,也會同時停用該帳戶,此舉將使攻擊者無法繼續竊取資料。Okta Workflow還會通報數個關鍵系統,以終止用戶可能存在的應用程式會話,此舉可防止攻擊者在應用程式會話尚未過期時,趁機存取Slack或Google Workspace等應用程式的現有會話。這些平台功能的分層化有助於確保Okta的安全。





Comments

bottom of page