強密碼與簡訊式多因素驗證都沒用,微軟建議採用身分驗證器 App 才安全

作者 | 發布日期 2020 年 11 月 17 日 8:45 | 分類 Microsoft , 網路 , 資訊安全 Telegram share ! follow us in feedly


微軟(Microsoft)身分安全總監 Alex Weinert 早已公開警告,密碼在實際安全防護上的效益不彰,最近又再度呼籲指出標準多因素驗證(Multi-Factor Authentication,MFA)的安全性也好不到哪裡去!

今年稍早之際,Weinert 曾在微軟官方部落格上以《你的Pa$$word沒啥用》為題發出警告,文中他特別闡述了即使使用強式密碼也不一定有防護效果的原因。「就字元組合和長度來說,你的密碼多半沒什麼作用,」Weinert 指出。即使他知道,在微軟和他一齊打拚的團隊每天都在防禦數以億計的密碼攻擊,他還是發出了這樣令人氣餒的警告。

「請切記,攻擊你的駭客只會關心如何密碼偷到手……這是假設性安全與實際上安全之間的關鍵區別,」Weinert 表示。換句話說,惡意攻擊者會極盡所能地竊取你的密碼,而且即使是強式密碼也不會對駭客構成什麼障礙,因為犯罪分子有充足的時間和各種工具可供使用。

密碼會以共享機密的形式同時常駐在容易遭駭裝置與伺服器上

在部落格文章內的表格中,他列出了駭客得以經常成功,而且密碼毫無作用的原因。例如:

  • 密碼外洩
    • 亦即惡意攻擊者已經偷到你的密碼。
    • 風險:大規模資料外洩的戲碼一直在上演。一方面是因為他們早已拿到你的密碼,另一方面是因為想要想出什麼好密碼並不容易,而且使用者也習慣重複使用一樣的密碼(有 62% 的使用者承認在不同帳號重複使用同一個密碼),結果導致駭客得以一口氣入侵使用者多個帳號。如今 Microsoft ID 系統中每天有超過 2,000 萬個帳號遭到惡意探測。
  • 密碼噴濺攻擊(Password Spray)
    • 又名密碼猜解
    • 風險:通常每天會有成千上萬次的暴力破解之舉,以及數百萬次的惡意探測。
  • 網路釣魚
    • 亦即會假冒你所信任之信譽良好公司發送的郵件(有時跟真的沒什麼樣)。
    • 風險:人們因為好奇、擔心或不小心開啟都能讓釣魚攻擊發揮作用。

根據總部位於加州山景城的 EDA 暨軟體安全商新思科技(Synopsys)指出,當前針對上述安全風險的解決方案,多半依賴生物辨識技術,例如指紋、聲紋或人臉辨識技術,這些技術在其他方面多半與軟體安全有關。「這些辨識機制只會儲存在使用者裝置上。但密碼卻以「共享機密」的形式,同時常駐在眾所周知很有可能會被駭的裝置與伺服器上,」Synopsys 表示。

Synopsys 另外附註:如果你透過字母與符號的混用,將密碼設得又長又複雜,不但定期更改密碼,而且不會在多個帳號使用同一個密碼,那麼你可能成為遠離安全風險的人(因為大多數使用者不會這樣做),也就是說,你會比絕大多數的人更加安全。

簡訊 MFA 是同類 MFA 中最不安全的認證機制

Weinert 認為,基於電話,或稱公共交換電話網路(Publicly Switched Telephone Network,PSTN)的 MFA 驗證並不安全(所謂典型的 MFA 驗證是指,某銀行經由簡訊發送給你驗證碼的機制而言)。

「我相信簡訊 MFA 是當前所有可用 MFA 機制中最不安全的方法,」Weinert 在其官方部落格貼文中寫道。「在 SMS 簡訊和語音協定被開發並推出時,它們設計上並沒有加密……這意味著任何可以存取交換網路或存取位在無線射頻範圍內裝置的人都可以將簡訊訊號截獲下來。」

解決之道就是使用基於 App 的身分驗證機制,例如 Microsoft Authenticator 或 Google Authenticator 等身分驗證器 App。App 之所以更安全,是因為它不需依賴你的電信商。驗證碼直接在 App 中生成,並且很快過期。

(首圖來源:pixabay