口令和凭据仍然是攻击尝试和成功攻击的最大来源,使其成为所有行业组织面临的最大网络安全威胁。根据Verizon的2022年数据泄露调查报告,62%成功的泄露与被盗的凭证或网络钓鱼有关。
口令攻击有多种形式和规模,并已演变为规避2FA和传统MFA等反措施。最常见的口令攻击包括网络钓鱼、暴力破解、评剧填充、恶意软件、中间人五种类型。
网络钓鱼:向用户发送电子邮件并要求他们登录攻击者控制的镜像网站的基本社交工程策略。黑客还可以使用网络钓鱼提取发送给用户的一次性口令(OTP),作为多因素身份认证(MFA)的一部分。
暴力破解: 攻击者使用用户的电子邮件地址或账户名,尝试多个版本的口令。有些人甚至尝试了一整本词典。
凭据填充:一旦黑客保护了用户名和口令对免受其他攻击,他们就会运行一个脚本,将其填充到多个账户登录中,以防用户在其他地方使用相同的凭据。
恶意软件:这涉及在用户设备上安装键盘记录器,记录用户输入的所有内容并将其直接发送给攻击者。
中间人:攻击者将自己置于用户和服务器之间,并拦截发送的流量。即使是被盗的加密口令也可能离线破解。
口令攻击和基于口令的传统MFA的威胁变得如此严重,以至于美国网络安全基础设施和安全局(CISA)发布了指导意见,敦促所有组织完全消除口令,并根据FIDO标准部署防钓鱼MFA。在这里,我们将了解企业应采取的基本步骤,以从其身份和访问管理(IAM)流程中消除口令。
1.从无口令桌面开始
许多组织将安全工作重点放在系统应用程序和单点登录(SSO)的身份认证流程上,而忽略了当天的首次登录,即桌面。这造成了严重的安全漏洞,使攻击者更容易获得工作站访问权并将其用作攻击路径。消除口令的第一步是为桌面部署无口令MFA解决方案。这减少了您的风险敞口——事实上,许多网络保险公司都需要桌面MFA——也有助于减少员工每年输入口令的24小时。
2.集成单点登录
明确的下一步是将无口令MFA从桌面加入到SSO身份供应商。您的SSO供应商可以访问您的许多系统应用程序、VPN和数据,因此强化安全态势对于避免“一经发现就中断运行”的情况至关重要。请记住,您的无口令SSO不应在认证过程中使用集中存储的凭据或共享密钥,即使是暂时的情况。
将身份认证与您的身份供应商脱钩,并将用户从桌面登录直接带到基于云的SSO中,从而创建无缝轻松的登录体验。不仅如此,它还减少了IT支持团队的口令替换票据数量,这意味着桌面到SSO不仅消除了口令,而且还会降低生产力。
3.移除OTP
MFA最早的尝试之一是用户通过提供发送到注册电子邮件或手机号码的数字或代码来证明自己的身份。现在,攻击者可以通过SIM卡更换、恶意软件或专用网络钓鱼套件轻松对其进行攻击。消除口令的一个重要步骤是减少对OTP的依赖。一些尚未过渡到SSO的应用程序此时可能仍然需要旧版OTP,但这些应用程序通常占组织登录足迹的不足10%。
OTP不仅不安全,而且需要占用大量员工的时间来启动和完成登录。除此之外,OTP许可证可能相当昂贵。
4.解决潜在异常值
在将SSO和系统应用程序与无口令MFA融合后,消除口令的下一步可能是将重点放在仍然需要口令的旧应用程序上。随着无口令身份认证进入其他资产,对变革的渴望将变得明显,员工会质疑为什么这些应用程序的访问速度要慢得多。
有几个选项可用于改善这种情况,例如将应用程序添加到SSO中,或使用无口令解决方案的SDK将无口令身份认证直接集成到应用程序中。
5.保持积极的流程
消除口令的斗争变得更加困难,因为尽管给组织带来了巨大的安全风险,但许多供应商、开发人员甚至内部声音都认为口令是一种可行的身份认证解决方案。这可能会导致预付款倒退,或对某些情况或用户进行例外处理。一旦你走上了消除口令的道路,就不会再回头了。
口令攻击和基于口令的传统MFA的威胁变得如此严重,以至于美国网络安全基础设施和安全局(CISA)发布了指导意见,敦促所有组织完全消除口令,并根据FIDO标准部署防钓鱼MFA。在这里,我们将了解企业应采取的基本步骤,以从其身份和访问管理(IAM)流程中消除口令。
1.从无口令桌面开始
许多组织将安全工作重点放在系统应用程序和单点登录(SSO)的身份认证流程上,而忽略了当天的首次登录,即桌面。这造成了严重的安全漏洞,使攻击者更容易获得工作站访问权并将其用作攻击路径。消除口令的第一步是为桌面部署无口令MFA解决方案。这减少了您的风险敞口——事实上,许多网络保险公司都需要桌面MFA——也有助于减少员工每年输入口令的24小时。
2.集成单点登录
明确的下一步是将无口令MFA从桌面加入到SSO身份供应商。您的SSO供应商可以访问您的许多系统应用程序、VPN和数据,因此强化安全态势对于避免“一经发现就中断运行”的情况至关重要。请记住,您的无口令SSO不应在认证过程中使用集中存储的凭据或共享密钥,即使是暂时的情况。
将身份认证与您的身份供应商脱钩,并将用户从桌面登录直接带到基于云的SSO中,从而创建无缝轻松的登录体验。不仅如此,它还减少了IT支持团队的口令替换票据数量,这意味着桌面到SSO不仅消除了口令,而且还会降低生产力。
3.移除OTP
MFA最早的尝试之一是用户通过提供发送到注册电子邮件或手机号码的数字或代码来证明自己的身份。现在,攻击者可以通过SIM卡更换、恶意软件或专用网络钓鱼套件轻松对其进行攻击。消除口令的一个重要步骤是减少对OTP的依赖。一些尚未过渡到SSO的应用程序此时可能仍然需要旧版OTP,但这些应用程序通常占组织登录足迹的不足10%。
OTP不仅不安全,而且需要占用大量员工的时间来启动和完成登录。除此之外,OTP许可证可能相当昂贵。
4.解决潜在异常值
在将SSO和系统应用程序与无口令MFA融合后,消除口令的下一步可能是将重点放在仍然需要口令的旧应用程序上。随着无口令身份认证进入其他资产,对变革的渴望将变得明显,员工会质疑为什么这些应用程序的访问速度要慢得多。
有几个选项可用于改善这种情况,例如将应用程序添加到SSO中,或使用无口令解决方案的SDK将无口令身份认证直接集成到应用程序中。
5.保持积极的流程
消除口令的斗争变得更加困难,因为尽管给组织带来了巨大的安全风险,但许多供应商、开发人员甚至内部声音都认为口令是一种可行的身份认证解决方案。这可能会导致预付款倒退,或对某些情况或用户进行例外处理。一旦你走上了消除口令的道路,就不会再回头了。
口令可能是企业安全的最大威胁;将其从身份认证流程中删除至关重要。
无口令之旅从正确的无口令MFA解决方案开始。它应该为桌面、SSO和web应用程序提供无口令身份认证,以便为用户提供从桌面到云的无缝身份认证。
飞天云信的无密认证解决方案提供了消除口令所需的一切。利用用户设备上的生物识别标识符来解锁唯一的私钥意味着在前端或后端不使用口令或共享机密。
——数据来源:FIDO国际联盟 微信公众号
