多重因素驗證非無敵 全方位防護才是資安王道
編譯/鄭智懷
近年來,多重因素驗證(MFA)技術被各界廣泛用於資安防護,視其為阻擋惡意第三方攻擊的必備工具。然而,專家指出,該技術仍有重大侷限性,並非毫無破綻。即使用戶配備完整的多重因素驗證工具,只要攻擊方改變手法,仍然存在重大資安威脅。
從設計目的而言,多重因素驗證旨在預防攻擊者利用洩密資料登入某方系統或設備。因此,就算惡意行為者獲得某用戶的帳密,也無法輕易利用之。
然而,在Active Directory之中,其運用的NTLM 和 Kerberos身分認證並不被多重因素驗證支援與保護。這代表攻擊者只要使用PsExec、Remote PowerShell等微軟(Microsoft)最初設計來執行故障排除與維護的命令行(command line),例如PsExec、Remote PowerShell等,就可以繞過多重因素驗證的保護,發起一連串的惡意活動。
專家進一步提到,就算將儲存資料轉至雲端,九成以上的組織仍使用Active Directory、軟體即服務(Saas)、雲端工作負載(cloud workload)保護混合架構。在缺乏多重因素驗證的防護下,無論是公司內部運作的軟體,或是軟體即服務程式,都有可能因為外流的資料而成為第三方入侵的破口。
專家警告,特別是當前流行在公司內部與雲端資源設立共同密碼的作法,更是加劇相關威脅。假使安全憑證外流,駭客可以使用一套帳號與密碼登入不同伺服器與使用軟體即服務程式,輕易控制任一系統與設備,造成受害者嚴重的資安傷害,以及財物損失等。
資料來源:The Hacker News
瀏覽 967 次