網路安全與基礎設施安全局 (CISA) 發布了一份全面的建議,警告使用者註意依賴簡訊服務 (SMS) 進行多重身分驗證 (MFA) 的風險。
此建議構成CISA 新的「行動通訊最佳實踐指南」,旨在加強行動通訊的安全性,特別是針對遭受複雜網路攻擊的個人。
該通報發佈於2024 年12 月18 日,網路威脅日益增多,尤其是來自敏感通訊的國家資助行為者的威脅。/CISA-Mobile-Communications-Best-Practice-Guidance-official.jpg”>
「SMS MFA 不能抵禦網路釣魚,因此對於高度針對性個人的帳戶來說不是強有力的身份驗證,」該諮詢指出,強調了該機構對更安全的呼籲快速身份在線(FIDO) 身份驗證協議等替代方案。帳戶
為什麼SMS MFA易受攻擊
基於簡訊的MFA 因其簡單性和廣泛採用而長期以來一直是保護線上帳戶的流行選擇。然而,CISA 發現了兩個主要漏洞,導致 SMS MFA 不足以應對現代網路安全挑戰。
首先,SMS 訊息以明文形式傳輸,這使得它們很容易被獲得電信網路存取權限的攻擊者攔截。其次,SMS MFA 缺乏網路釣魚防禦能力,這意味著威脅行為者可以輕鬆欺騙使用者透過詐騙訊息或網站分享其身分驗證程式碼。網路快速發展的背景下推出事件回應服務威脅
這些漏洞已被國家支持的行為者利用,特別是那些與中國有關的行為者。這些行為者以電信基礎設施為目標,攔截簡訊並危及敏感帳戶。
CISA 在其建議中警告說,政府官員和關鍵基礎設施人員等高風險個人特別容易受到這些形式的攻擊。驗證
為了解決這些風險,CISA 建議過渡到防網釣MFA 方法,特別強調 FIDO 身份驗證。 FIDO 協定利用加密金鑰對使用者進行身份驗證,而無需透過不安全的網路傳輸敏感資料。
基於硬體的安全金鑰,例如Yubico 或Google Titan,被認為是最強大的選項,儘管FIDO 金鑰(數位加密憑證)也被認為是可接受的替代方案。該指南建議。
針對行動安全的更廣泛建議
除了建議反對SMS MFA 之外,CISA 指南還提供了一系列保護行動通訊安全的最佳實踐,其中包括採用端對端加密訊息平台、例如Signal,以確保通訊保持私密性和受保護。 。 CISA 進一步建議使用密碼管理器產生並安全地儲存唯一密碼,從而降低因憑證薄弱或重複使用而導致帳戶洩露的風險。 ,聲稱他們可以將漏洞從網路服務供應商轉移到VPN 提供者。相反,我們鼓勵組織在需要VPN 存取時使用企業級解決方案。
p>
了解FIDO 身份驗證
快速身份在線(FIDO) 身份驗證代表著重要的帳戶安全的進步。與傳統的 MFA 方法不同,FIDO 依靠公鑰加密技術來對使用者進行身份驗證。
當使用者註冊裝置時,會產生私鑰並安全地儲存在裝置上,而對應的公鑰則儲存在伺服器上。在登入過程中,裝置使用私鑰對伺服器質詢進行簽名,確保敏感資訊永遠不會離開裝置。價值帳戶的重要工具。透過消除傳輸程式碼的需要,FIDO 身份驗證解決了 SMS MFA 固有的核心漏洞。加大力度應對來自國家支持的網路行為者日益增長的威脅。近年來,針對電信基礎設施的惡意活動增加,攻擊者可以攔截私人通訊並竊取敏感資料。
該指南專門針對擔任高風險角色的個人,例如政府高級官員和企業高管,他們往往是這些高級網路攻擊的焦點。應該假設該指南警告說,行動裝置之間的所有通訊都面臨被攔截或操縱的風險。 。
