美國白宮近日啟動了一個雄心勃勃的計劃,目標是要大大減少美國政府的網絡釣魚風險。該計劃的一個環節是讓各機構逐步停止使用基於短信和應用程序的多因素認證,並以硬件安全密鑰等抗網絡釣魚的方法取代它們。
在接受外媒 Motherboard 的電話採訪時,管理和預算辦公室(OMB)一位官員表示此舉已被聯邦政府當作重要任務進行推進。OMB 是白宮的一個部門,它的網絡釣魚緩解措施是更廣泛地推動“零信任”架構的一部分,在這種架構中,組織通過不信任任何特定系統、網絡或服務來保護自己。
零信任系統會驗證任何試圖訪問系統的系統或個人。這位官員說,從根本上說,如果你對登錄政府網站或服務的人是否是他們所說的人沒有強烈的信心,你就無法實施這些措施。因此,需要對網絡釣魚進行更多的保護。
該官員解釋說,該組織特別擔心的網絡釣魚類型是自動、廉價和可擴展的攻擊。也就是說,那些能夠令人信服地欺騙真正的政府網站的服務,也可以從受害者那裡獲得多因素認證令牌。該官員說,這些服務包括通過短信、電子郵件或在應用程序中顯示的一次性代碼。
所有這些類型的多因素認證令牌都可以被釣魚或以某種形式劫持。SIM卡交換,即黑客可能欺騙或賄賂電信員工,將受害者的短信重定向到黑客自己的手機上,這通常是用來搶奪某人的密碼或登錄令牌的技術。釣魚網站也可以要求用戶提供由Google認證器等應用程序生成的代碼。
最近,一些地下服務機構向受害者提供自動電話,要求他們也提供他們的一次性密碼。OMB官員說,依靠推送通知的多因素認證系統也可以被釣魚,因為惡意網站可以觸發這些彈出窗口出現,要求受害者批准登錄嘗試。
OMB還告訴各機構要建立單點登錄(SSO)服務。在這種情況下,用戶不必逐一登錄一系列不同的網站,而是通過一個總體系統(如Okta)進行認證,然後由該系統處理不同服務的登錄。該官員說,由於這些機構中的一些規模較大,從安全的角度來看,整合不同的身份系統是更好的,因為有更少的東西需要保護,而且可以使多因素認證更容易執行。該官員補充說,SSO 是一個可用性和安全性非常一致的領域。