超越密码：Elastic 的防钓鱼 MFA 实践

最近，搜索解决方案平台 Elastic 讨论了防钓鱼的多因子认证（MFA）的优势。这种安全的认证方法通过采用多层保护和加密注册过程超越了采用密码、短信验证码或生物识别技术的传统 MFA。

防钓鱼 MFA 通过确保认证请求仅来自可信来源，显著降低了钓鱼攻击的成功率。在最近的一篇博文中，信息安全分析师 Arsalan Khan 和 Elastic 副首席信息官 Anthony Scarfe详细介绍了这种安全解决方案的优势。防钓鱼 MFA 利用指纹、面部识别、PIN 码和硬件安全密钥等高级因子提供强大的保护。

鉴于 Elastic 的分布式远程优先工作模式和对 SaaS 应用程序的依赖，MFA 对资产的保护作用变得至关重要。了解到钓鱼威胁变得日益复杂，他们做出了进行转型的关键决定。虽然 Elastic 之前淘汰了短信验证码，但仍在使用推送通知、移动身份验证器和基于时间的一次性密码（TOTP）。这些方法很有用，但与 FIDO2 认证因子不同，它们给现代基于代理的攻击留下了一些漏洞。

之前，用户必须通过发现 URL 的微妙变化来识别会话劫持。有了防钓鱼 MFA，Elastic 通过快速身份在线（Fast Identity Online，FIDO）等强大的身份验证协议来减轻这种负担。

FIDO 针对每个用户和网站使用了唯一的密钥。在用户注册时，与网站共享公钥，而私钥安全地保留在用户的设备上。在登录时，网站发送一个验证请求，用户设备检查网站的标识是否与创建密钥的位置匹配。这种不匹配检测防止了假认证，为防止钓鱼提供了强大的保护。

KrebsOnSecurity 的一份报告显示，最近针对苹果用户的攻击主要利用了 MFA 系统的漏洞。攻击者用认证请求轰炸用户，有时还会冒充苹果技术支持客服电话。在 Hacker News 的一个帖子中，用户 Iloeki 报告说 2021 年或 2022 年也出现了类似问题，他和配偶的设备被认证请求狂轰滥炸。这些通知消息最初是零星的，然后频率迅速增加，造成了严重的干扰。

这个用户为两个账户启用了密钥恢复机制，这是一种旨在阻止未授权访问的安全措施，有效地停止了请求流。这一事件凸显了积极防御性措施的重要性，特别是在面对像“MFA 轰炸”这样不断演变的威胁时。

在三个月的时间里，Elastic 在整个组织内实现了防钓鱼 MFA。他们对数据的重视在这一过程中发挥了重要作用。Elastic 的 InfoSec 计划利用了其自身 Elastic 解决方案的强大功能，使得他们能够集中收集和监控资产、身份、漏洞和其他关键数据。

通过跨集群搜索，他们可以深入了解所有这些数据源。事实证明，Elastic 的集中式数据基础设施对获取防钓鱼 MFA 部署实时洞见起到了关键作用。通过统一的仪表盘，他们可以轻松监控关键指标，如注册用户数量、用户所在的部门和地理位置。这也简化了与高层的沟通，确保他们始终了解计划的进展和影响。

来源：实现防钓鱼 MFA：我们的数据驱动方法

Elastic 的宣传方式帮助推动了防钓鱼 MFA 计划的参与度。在启动项目时，他们推广将 TouchID 作为主要身份验证器，并使用流行的 Drake 表情包来增加趣味性。这让用户产生了共鸣，仅在一个小时内就显著提高了参与度。

在这些见解的基础上，Elastic 通过添加额外的用户上下文（如系统所有者、主机和职位名称）增强了警报。然后，他们自动将这些详细的警报直接分发给相关用户或系统所有者。

Statista 的报告显示，各行业的网络钓鱼点击率预计每年都会上升。即使像 Elastic 这样有安全意识的团队，也总会有人成为受害者。在建立了强大的数据洞察力、有效的沟通渠道和高效的警报系统，Elastic 意识到为最终用户提供全面支持的重要性。他们不仅仅是在技术方面提供帮助，还积极教育用户了解防钓鱼 MFA 的重要性和好处。

查看英文原文：

https://www.infoq.com/news/2024/05/elastic-phishing-resistant-mfa/

声明：本文为 InfoQ 翻译，未经许可禁止转载。