[資安小常識]多重要素驗證(Multi-factor Authentication)(MFA)
憑證洩漏和身分竊盜在網路犯罪中有最高比率。資訊無所不在、所有人的資訊互相連結;新時代帶來了豐沛商業契機和廣泛便捷的應用以外,同時安全問題也因為無邊界的延伸變得防不勝防、吸引更多人推進犯罪科技。
舉例來說,憑證釣魚攻擊變得更加頻繁,許多網站入口其實是認證資料的誘餌(網站有可能受汙染,也有可能直接來自惡意組織的系統)。在Microsoft Security Intelligence Report volume 17中*,2013年11月到2014年6月期間,微軟參與用戶防護之中,追蹤到約1,700起網站憑證偷竊,包含超過2300萬份憑證被公開於網路之中。這只是處於網路邊邊角角、操作不法憑證交易的論壇與網站中一小部分的數據而已。
多重要素驗證(Multi-factor Authentication)(MFA)
過去在CPU能力成長、彩虹表、GPGPU等專為暴力破解密碼的技術帶來的挑戰下,密碼複雜度失去效力。MFA早已為了不讓密碼組孤軍奮戰而存在,並非資安的生面孔。但網站釣魚與竊盜技術的增進,行動裝置的普及、多個裝置登入一個帳號的情況下,憑證暴露的機會變多;行動化與雲端世界來臨下,MFA變成身分認證不可或缺的防線。
驗證要素
MFA結合兩個以上不同要素的獨立憑證,致力於增加防護的層次,讓未授權使用者無法存取地理位置、裝置、網路、或資料庫等等目標。
以下是三大最常見的驗證要素:
Knowledge factors 知識要素
使用者利用所知道的資訊作為憑證。包含使用者名稱、PIN和密碼等字母數字組合、安全提問設計等等。
Possession factors 所有要素
任何使用者所持有,實體或虛擬,能用來獲得權限的憑證。好比隨身攜帶的員工ID、臨時發放的入場識別證、電話的SIM卡、認證碼產生器和單次密碼,或甚至裝置本身也能是限制存取的工具。
Inherence factors 繼承要素
利用使用者的生物特徵作為憑證,這是在虛擬環境下未經紀錄無法獲得的資訊。生物驗證的例子包含虹膜掃描、語音辨識、臉部識別,和指紋等等日漸進步的便捷應用。
也有人多提出下列兩項要素:
Location factors 位置要素
用所在位置作為憑證。行動裝置的普及讓地理資訊應用更廣泛,GPS、手機定位系統實現有效的地理驗證。
Time factors 時間要素
有生命期限的憑證。使用者不再對資料有需求後,將權限收回。另外時間要素也能在適當監測下,輔助找出童身分不合邏輯的可疑操作,例如驗證登入時間閒置或過長,或帳號短時間內從不同地點嘗試登入。
MFA的不足
MFA有很好理解的不便利性,沒有人想要開一扇門用三把鑰匙,而且還不能放在同一鑰匙圈上。另外若是忘記碼,更多的時間和程序就是安全的代價。另外打鑰匙找鎖匠也需要成本,不論是設置MFA系統(實體或虛擬環境)、還是教育使用者開鎖,都是成本。
另外,從Ten Immutable Laws Of Security**中可以由簡單的邏輯、連鎖效應,看出資料的可得性難以壓縮,資訊安全的顧慮繁雜且傷害日益加強、容易擴散。將MFA在這些定律中的定位和現今的環境做簡單討論便可以發現其中的不足。
今天許多人都有許多虛擬身分、網路上無數個帳號,身分認證的使用量與對外接觸面積的劇增。另外網路犯罪和APT***的興盛。多重要素也經不起長時間和多方面的攻擊。
MFA就像是防護措施的防護措施,舒緩各種攻擊來源卻不會阻擋攻勢。身分認證需要完整的配套方案,以下以Azure Active Directory為例來看現今的雲端服務的相輔相成:
先前提到的帳戶過多的問題,Azure AD單一帳號登入所有應用程式和服務,這能大大降低部署好MFA保護的帳號因為其他帳號遭到破解而連帶受到威脅的機會。這也讓用者能用同一套認證系統使用所有需要的應用程式。Azure AD提供給使用者的自助入口介面更讓忘記密碼等麻煩情況可以更快解決。
Azure AD和原本內部部署Active Directory的整合和微軟的MFA能省下許多整合成本,不論是內部部署、雲端、或是遠端操作。
另外在Azure AD擁有雲端服務和裝置的資訊管理之下,能直接管理使用者對應用程式和資料的權限。即便使用者受到冒用,也能抑制傷害擴散到其他地方。
Azure 也提供其他對登入活動資訊的監測窗口和回報的服務。如果裝置或是憑證本身不安全,或是使用者正被冒用,MFA的驗證過程就已經喪失意義。若無法防禦攻擊,也要能獲得受到攻擊的資訊並輔以其他雲端MAM、MDM即時處理。當然,這也在Azure其他解決方案之中。
*Figure 1(left): Number of publicly posted website credential thefts, per month, from November 2013 to June 2014
*Figure 2: Number of stolen credentials from publicly-posted credential thefts, per month, from November 2013 to June 2014. The spike in February represents includes the public posting of 1 million hashed credentials that had been stolen from Forbes
**Ten Immutable Laws Of Security (version 2)
Law #1: If a bad guy can persuade you to run his program on your computer, it's not solely your computer anymore.
Law #2: If a bad guy can alter the operating system on your computer, it's not your computer anymore.
Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore.
Law #4: If you allow a bad guy to run active content in your website, it's not your website any more.
Law #5: Weak passwords trump strong security.
Law #6: A computer is only as secure as the administrator is trustworthy.
Law #7: Encrypted data is only as secure as its decryption key.
Law #8: An out-of-date anti-malware scanner is only marginally better than no scanner at all.
Law #9: Absolute anonymity isn't practically achievable, online or offline.
Law #10: Technology is not a panacea.
***APT (Advanced Persistant Threat): 資安小常識
參考資料:
TechTarget SearchSecurity:
multifactor authentication (MFA) definition
Technet Blogs:
The Risk of Leaked Credentials and How Microsoft’s Cloud Helps Protect Your Organization
We Must Fundamentally Transform Our Approach to Security
Cloud security controls series: Azure AD Privileged Identity Management