前言:
零信任的五大戰略中的第一個『身份』,裡面有提到能保護使用者免於釣魚攻擊的關鍵在於企業必須部署抗網釣驗證(Phishing-Resistant MFA),才能確保使用者身份驗證的安全。
為何抗網釣能防止網路釣魚攻擊?
抗網釣驗證滿足以下三點,可有效防止駭客釣魚攻擊。
1. No Shared Secrets
憑證密鑰對經過加密簽名,私鑰存儲在硬件安全模塊中,簡單來說私鑰只會儲存在你的裝置,例如手機、筆電或硬體Token。
2. Origin Bound
憑證密鑰對與特定域綁定,從而減輕網絡釣魚的威脅,確保連線的網址是正確的。
3. Trusted
身份驗證器證明有助於驗證公鑰是否來自受信任的身份驗證器,存放私鑰的硬體也會驗證公鑰是否正確。
抗網釣因子的選擇?
1. FIDO2(Roaming Security Key) – 硬體安全金鑰
l 優點:選擇多樣性,市場上能找到不同功能的安全金鑰,有支援指紋、藍芽、NFC…等。
l 缺點:需額外成本,並且管理上是一個麻煩的存在。
2. FIDO2(Platform Authenticator) – 平台內建驗證
l 優點:驗證快速、方便。
l 缺點:需外的成本,並且不是所有的筆電都會選購具有生物特徵辨識的機種。
3. PassKey (iOS/Android)
l 優點:更換設備不需要重新綁定。
l 缺點:手機必須要比較新的型號才有支援,iOS需要16版以上,Android需要9版以上。
4. Okta FastPass (iOS/Android/Windows/MacOS)
l 優點:不需額外成本,支援主流作業系統,並支援其他裝置檢查功能,如OS版本、防火牆狀態、EDR整合…等
l 缺點:需要安裝Agent。
其他考量因素
除了驗證因子的選擇外,企業的應用程式是否能支援抗網釣的驗證方式也是必須考量的因素,以下是建議方向:
1. 應用程式朝主流的驗證方式,如SAML、OIDC、OAuth和WS-Fed。
2. 減少Radius、LDAP和Local帳密驗證方式的應用程式。
3. 自行開發應用程式建議用Redirect的方式,可參考此連結。
Comments