top of page

為何該棄用無效的驗證因素?別再只用手機收簡訊驗證碼了!

文章來源 / Okta Blog


為了擁抱資安需要,許多組織紛紛尋找著一種快速簡便的多因素身份驗證方法;因應遠端工作的上升趨勢,SMS 身份驗證 的採用趨勢如日中天。在這篇文章中,我們將進一步討論,組織將簡訊驗證碼作為一個因素的問題,以及有哪些推薦的替代方法?



SMS 作為身份驗證因素


我們都熟悉簡訊,也知道它帶給我們的便利性。這也就是為什麼多年來,簡訊認證也被認為是第二種身份驗證形式的絕佳選擇—通常也被稱為 SMS OTP(一次性密碼)。


舉例來說,我們可以在新裝置上驗證並登入銀行應用 App,進而接收的簡訊來確認身份。或者,又可透過接收簡訊來驗證是否嘗試從新位置登入 Facebook。


通常來說,簡訊驗證方法既簡單、為人所知,且被廣泛認為「足夠安全」,這也擴展到了已實施 MFA 的工作場所—從登入工作信箱、Slack 或其他應用程式,只需提供 SMS OTP 即可完成登入作業。


SMS OTP 看似是啟動和運行 MFA 的一種快速方法,但它真的是最佳選擇嗎?近年來,行動安全威脅和資料洩漏已然證明,SMS OTP 作為 MFA 因素,這般類似於「密碼」的作法已經過時了。2016 年,美國國家標準和技術研究院(NIST)表示簡訊認證已不再安全,甚至建議組織放棄其作用為 MFA 的一種方法。儘管他們在一定程度上軟化了立場,但很明顯的,SMS的設計初衷並非用於安全地傳輸資料。雖然 SMS OTP 易於部署,但也因為每個人都有手機,所以這並不是真正安全訪問帳號的方式。


使用 SMS OTP 作為 MFA 因素的常見問題


由於 SMS OTP 的安全缺陷,我們已經聽到市場上有許多「建議棄用」的消息,但這些缺陷確切來說又是什麼?讓我們來分析一下:


1. SIM卡劫持(SIM Swapping) / SIM 卡駭客攻擊


簡單來說,手機中的 SIM 卡會告訴您的手機要連接到哪個電營運商,以及要連接的電話號碼。在 SIM 卡劫持 / SIM 卡駭客攻擊中,威脅行為者將會冒充您,並說服營運商他們實際上就是您本人。


最終,您的電話號碼會分配給另一部手機上的新 SIM 卡,攻擊者無需訪問您的任何物理裝置即可訪問您的帳號—一旦您的號碼被切換到他們所擁有的裝置,就可以接收您名下所有綁定 SMS OTP 簡訊驗證的使用帳號。


2. 丟失的裝置和同步的裝置


有一天您可能會不小心弄丟了手機,當您的手機號碼連接至銀行應用程式、社群媒體等平台時,又會發生什麼事情?


一般來說,多因素身份驗證被認為是兩個證據的組合,證明您就是您所說的那個人—知識因素(Knowledge Factor,您所知道的東西)、固有因素(Inherent Factor,您是什麼)或擁有因素(Possession Factor,您所擁有的東西)。使用密碼和 SMS OTP 驗證作為因素,就是將知識和擁有因素進行結合;但是,如果您丟失了手機,您就不再能夠接收消息來驗證身份。


但是,由於我們現在可以跨多個裝置同步消息,即使您丟失了應該被視為第二個因素的裝置,您仍然可以訪問您的帳戶。當您可以將簡訊轉發到您的 E-Mail 時,這就被認為是不安全的—這也就讓密碼的安全防護度不夠,又或是,如果您使用網路電話號碼(VoIP),就可以在沒有PIN 碼的裝置上進行訪問。


3. 您的在線無線帳號


請記住,大多數常見的無線供應商,都允許您透過在線帳號在其門戶網站來查看簡訊。而如果門戶網站本身沒有受到第二個因素的保護,同時您設定的密碼又很容易被猜到、許多帳號也都用過同一組密碼,那麼駭客就很有可能會監控您的帳號,以獲取發起 SMS OTP 簡訊,進而進入您的銀行應用程式、Facebook 等,使他們能夠訪問這些帳號。


4. 社交工程(social engineering):網路釣魚


SMS OTP 並不是唯一容易受到社交工程和網路釣魚攻擊的身份驗證形式。密碼和安全問題等不太安全的因素,同樣容易受到威脅影響。在社交工程攻擊中,威脅者往往冒充您信任服務的「員工」,說服您交出您的帳號憑證,並且在許多情況下,還會將 SMS OTP 發送到您的裝置。


例如,您可能會接到「銀行」的電話,告訴您出於安全目的、需要立即訪問您的帳號,您就可能會無意間將您的用戶名/ 密碼組合以及發送的 SMS OTP 代碼提供給駭客。


網路釣魚攻擊不僅僅針對電子郵件。您也可以收到網路釣魚簡訊,如果您無意中在惡意網站中輸入了用戶名/密碼組合,則攻擊者可能會使用上述幾種攻擊類型來接管您的帳號。


以上列舉出的問題,都還不是使用 SMS OTP 作為因素驗證時會面臨的完整清單;但應該足夠讓您進一步了解,為什麼考慮使用更強大的因素,進而保護您的用戶及資料將是明智之舉!


我可以使用什麼來替代 SMS?


雖然很難將 SMS 作為 MFA 驗證因素完全移除,但許多身份驗證供應商都提供了多種因素類型來驗證用戶的身份。一般而言,您的身份驗證供應商通常允許您為單個用戶啟用多種因素類型,其中一些因素是必需的,一些是可選的。以下是為您的用戶啟用更安全因素的一些建議:


1. 行動驗證應用程式

傳統而言,行動身份驗證器(Authenticator)應用程式會支持應用程式內的 OTP;或者在理想情況下,推送通知比 OTP 驗證更安全。當用戶將其憑證輸入網路應用程式時,系統會提示他們輸入 OTP 或接受發送到其手機的推送通知。如果您的行動身份驗證應用程式支持 iOS 上的 FaceID 或 Android 上的指紋等生物識別技術,那就更好了。


行動身份驗證器應用程式優於 SMS OTP 的特點:


  • 不依賴於無線營運商的可靠性或安全性 - OTP 和推送通知與您的手機相關聯,無論您的電話號碼是什麼。

  • 許多身份驗證器應用程式都免費提供行動 OTP,可用於企業和消費者用例

  • 行動 OTP 代碼會快速過期,可提供比 SMS OTP 更高級別的安全性

  • 不依賴位置,在某些情況也不依賴網路/資料。例如,如果您在跨國旅遊途中,行動 OTP 和推送通知仍然有效。即使您的裝置沒有行動服務或資料,OTP 代碼也特別有效。

  • 使用生物識別技術保護推送通知,可提供更高級別的安全性 - 即使您的手機被盜,其他任何人也無法接受推送通知。

  • 市場上有許多不同的行動身份驗證器應用程式,其中一些更適合企業用例。


行動身份驗證器應用程式的例包括:


- OKTA Verify 身份驗證器(支持 OTP, 數字挑戰, 和帶生物特徵的推播)


2. FIDO2.0 (WebAuthn)


WebAuthn 是一個基於瀏覽器的 API,它允許網路應用程式藉由使用已註冊的裝置(電話、筆記型電腦等)作為因素,進而簡化和保護用戶身份驗證,同時使用公開金鑰加密,來保護用戶免受進階的網路釣魚攻擊。


2019 年 3 月,全球網頁標準協會(W3C)宣布 WebAuthn 作為「無密碼登入」的最新網路標準,要了解有關 WebAuthn 工作原理的更多信息,請參閱Okta的官方部落格。如今,WebAuthn 是唯一可以防止網路釣魚的因素類型。


WebAuthn 因素可以被設置在裝置上(平台)或裝置外(漫遊)。以下是兩者的詳細資訊:


裝置以外/漫遊身份驗證器:這些是 WebAuthn 所支持的因素,未內建在硬體(電腦/電話)中。

- Yubikey 5Ci 硬體式安全金鑰


裝置上的身份驗證器/平台身份驗證器:這些是內建於硬體(電腦/電話)中的 WebAuthn 支所持的因素。

- Windows 10 1903 及更高版本上的 Windows Hello

- MacBook 上的觸控 ID

- Android 7.0+ 上的指紋


對 WebAuthn 的支持,依賴於網路應用程式持續更新其身份驗證過程,以支持 WebAuthn API、瀏覽器、操作系統和硬體等。這看似極為複雜,但所幸,許多作業系統、裝置和瀏覽器都已經支持 WebAuthn。而且,雖然消費者應用程式仍處於採用此標準的過程中,但如果您使用企業級身份驗證程式來保護員工的訪問,您很可能可以透過該程式使用 WebAuthn。


相較於 SMS OTP 和行動身份驗證器應用程式,WebAuthn 擁有優勢如下:


- 一種基於標準的方法來保護無密碼身份驗證

- 通過用戶註冊的每個 WebAuthn 因素的公鑰(public key)和私鑰的配對,進而防止網路釣魚的因素類型

- 為最終用戶提供最佳體驗 - 使用生物識別技術意味著快速、無縫登入

- 您用於登入/解鎖裝置的相同生物特徵可用於訪問應用程式

- 裝置和安全密鑰的多種選擇


支持 WebAuthn 的瀏覽器、硬體和操作系統示例:


- MacOS 上的 Google Chrome,使用 Touch ID

- Windows 10 上的 Google Chrome,使用 Windows Hello

- Windows 10 上的 Microsoft Edge,使用 Windows Hello

- Windows 10 上的 Firefox,使用 Windows Hello

- Android 7.0+ 上使用 Google Chrome,並支持指紋的裝置。

- Windows 和 MacOS 上使用 WebAuthn 兼容瀏覽器,分別使用 Windows Hello 和 Touch ID 登入的桌面應用程式

- 在 Android 7.0+ 上使用指紋支持登入的本機行動應用程式、使用與 WebAuthn 兼容的瀏覽器(即 Chrome)


雖然上述不是可用因素的詳盡列表,但下圖顯示了一些常見因素及其保證級別的例。正如您所期望的那樣,僅使用密碼具有最低級別的保證,並且帳戶被惡意接管、隨之而來的資料被洩露的可能性最高。



了解有關多因子身份驗證的更多信息


確實,使用 SMS OTP 保護帳戶,總比沒有或僅使用密碼來得理想。但是,好消息是您不需在有無 SMS OTP 之間進行抉擇!


我們建議啟用更安全的因素,例如至少將行動應用驗證器和 WebAuthn 作為用戶的可選因素—這使他們可以靈活地使用更安全的因素,並且仍然允許 SMS OTP 作為備份。在企業和消費者中,還有許多很好的選擇來保護帳戶。







Comments


bottom of page