the|降低网络钓鱼风险 美国政府正从短信等多因素认证过渡到硬件安全密钥

美国白宫近日启动了一个雄心勃勃的计划,目标是要大大减少美国政府的网络钓鱼风险 。该计划的一个环节是让各机构逐步停止使用基于短信和应用程序的多因素认证,并以硬件安全密钥等抗网络钓鱼的方法取代它们 。
【the|降低网络钓鱼风险 美国政府正从短信等多因素认证过渡到硬件安全密钥】
the|降低网络钓鱼风险 美国政府正从短信等多因素认证过渡到硬件安全密钥
文章图片

在接受外媒 Motherboard 的电话采访时,管理和预算办公室(OMB)一位官员表示此举已被联邦政府当作重要任务进行推进 。OMB 是白宫的一个部门,它的网络钓鱼缓解措施是更广泛地推动“零信任”架构的一部分,在这种架构中,组织通过不信任任何特定系统、网络或服务来保护自己 。
零信任系统会验证任何试图访问系统的系统或个人 。这位官员说,从根本上说,如果你对登录政府网站或服务的人是否是他们所说的人没有强烈的信心,你就无法实施这些措施 。因此,需要对网络钓鱼进行更多的保护 。
该官员解释说,该组织特别担心的网络钓鱼类型是自动、廉价和可扩展的攻击 。也就是说,那些能够令人信服地欺骗真正的政府网站的服务,也可以从受害者那里获得多因素认证令牌 。该官员说,这些服务包括通过短信、电子邮件或在应用程序中显示的一次性代码 。
所有这些类型的多因素认证令牌都可以被钓鱼或以某种形式劫持 。SIM卡交换,即黑客可能欺骗或贿赂电信员工,将受害者的短信重定向到黑客自己的手机上,这通常是用来抢夺某人的密码或登录令牌的技术 。钓鱼网站也可以要求用户提供由Google认证器等应用程序生成的代码 。
最近,一些地下服务机构向受害者提供自动电话,要求他们也提供他们的一次性密码 。OMB官员说,依靠推送通知的多因素认证系统也可以被钓鱼,因为恶意网站可以触发这些弹出窗口出现,要求受害者批准登录尝试 。
OMB还告诉各机构要建立单点登录(SSO)服务 。在这种情况下,用户不必逐一登录一系列不同的网站,而是通过一个总体系统(如Okta)进行认证,然后由该系统处理不同服务的登录 。该官员说,由于这些机构中的一些规模较大,从安全的角度来看,整合不同的身份系统是更好的,因为有更少的东西需要保护,而且可以使多因素认证更容易执行 。该官员补充说,SSO 是一个可用性和安全性非常一致的领域 。

    推荐阅读