新書推薦:
《
中国佛教美学典藏·地面寺院造像(上、下)
》
售價:NT$
6120.0
《
华夏香谱:丰年古法合香集
》
售價:NT$
500.0
《
中国年画史
》
售價:NT$
857.0
《
中国佛教美学典藏·造像经典与仪轨
》
售價:NT$
2040.0
《
几何变换(全4册)
》
售價:NT$
1724.0
《
智能车辆规划与控制技术
》
售價:NT$
551.0
《
敦煌两千年
》
售價:NT$
403.0
《
海外藏中国古版年画珍本·北美卷
》
售價:NT$
9996.0
|
| 編輯推薦: |
探究MFA技术的优缺点
有些“安全专家”认为,MFA(Multifactor Authentication,多因素身份验证)能解决大多数攻击和入侵问题。但实际上,MFA系统是可破解的,并非固若金汤。必须严谨地规划和设计MFA系统,帮助组织获得可靠的安全水平,避免成为本书中详述的几十个真实MFA漏洞的牺牲品。
MFA系统的管理员和用户将了解到,所有MFA系统都可能受到黑客攻击,大多数情况下至少有五种不同的攻击方式。那些鼓吹MFA系统牢不可破的人,要么是MFA系统的销售人员,要么是幼稚,不能轻信这些人的话。
《多因素身份验证攻防手册》讲述如何降低最常见MFA安全漏洞的风险,从而阻止恶意攻击者访问系统。将讨论如何快捷地、全面地评估组织的MFA解决方案,找出会被已知攻击方式利用的漏洞。
《多因素身份验证攻防手册》列举了真实的MFA攻击示例,并提出实用的防御策略。
《多因素身份验证攻防手册》是CISSP专家、CIO、CISO和渗透测试团队的理想读物;对于任何有兴趣创建或改进MFA安全基础架构的信息安全专业人员,本书也是案头书籍。
|
| 內容簡介: |
本书主要内容
● MFA的技术原理,以及如何破解MFA技术
● 不同类型的MFA技术的优缺点
● 如何开发或选择一个更安全的MFA解决方案
● 如何从数百个MFA解决方案中为自己的环境选择最佳方案
|
| 關於作者: |
|
Roger A. Grimes是全球知名的安全顾问,是拥有逾30年工作经验的计算机安全专家和渗透测试工程师。Roger担任InfoWorld/CSO杂志的专栏作家长达15年之久,也是一位广受欢迎的演讲者,曾在包括RSA、Black Hat和TechMentor在内的大型安全行业会议上发表演讲。
|
| 目錄:
|
第I 部分 MFA 简介
第1 章 登录问题 3
1.1 外部环境十分糟糕 3
1.2 口令问题 4
1.3 口令基础知识 8
1.3.1 身份 9
1.3.2 口令 9
1.3.3 口令注册 10
1.3.4 口令的复杂度 10
1.3.5 口令存储 11
1.3.6 口令身份验证 12
1.3.7 口令策略 13
1.3.8 口令会在现实世界持续一段时间 16
1.4 口令问题和攻击 16
1.4.1 口令猜测 16
1.4.2 破解口令哈希 20
1.4.3 口令窃取 23
1.4.4 显而易见的口令 24
1.4.5 自讨苦吃 26
1.4.6 口令破解防御之道 26
1.5 MFA 驰马来援? 27
1.6 小结 27
第2 章 身份验证基础 29
2.1 身份验证生命周期 30
2.1.1 身份 30
2.1.2 身份验证 40
2.1.3 授权 47
2.1.4 核算/审计 47
2.1.5 标准 48
2.2 身份法则 48
2.3 真实世界中的身份验证问题 49
2.4 小结 50
第3 章 身份验证类型 51
3.1 个人识别 51
3.2 基于知识的身份验证 52
3.2.1 口令 52
3.2.2 PIN 53
3.2.3 解决难题 55
3.3 口令管理器 58
3.4 单点登录和代理 61
3.5 密码术 62
3.5.1 加密 62
3.5.2 公钥基础架构 65
3.5.3 哈希 68
3.6 硬件令牌 69
3.6.1 一次性口令设备 69
3.6.2 物理连接设备 71
3.6.3 无线 73
3.7 基于手机 75
3.7.1 语音身份验证 75
3.7.2 手机应用程序 75
3.7.3 SMS 77
3.8 生物识别技术 78
3.9 FIDO 78
3.10 联合身份和API 79
3.10.1 OAuth 80
3.10.2 API 81
3.11 上下文/自适应 81
3.12 不太流行的方法 82
3.12.1 无线电 82
3.12.2 基于纸张 83
3.13 小结 83
第4 章 易用性与安全性 85
4.1 易用性意味着什么? 85
4.2 人们不是真的想要最高等级的安全性 86
4.3 安全性通常是折中的方案 88
4.4 过度安全 89
4.4.1 七因素身份验证 89
4.4.2 移动ATM 键盘号码 91
4.5 不像人们想的那样担心攻击方攻击 92
4.6 “无法破解”的谬论 93
4.6.1 “牢不可破”的Oracle 95
4.6.2 djb 96
4.6.3 “不可破解”的量子密码术 96
4.7 我们是反应灵敏的“羊” 97
4.8 安全剧院 98
4.9 隐蔽式安全性 99
4.10 大多数MFA 解决方案降低了实现和运营的速度 100
4.11 MFA 会导致停机 100
4.12 不存在支持所有场景的
MFA 解决方案 100
4.13 小结 101
第II 部分 MFA 攻击
第5 章 攻击MFA 的常见方法 105
5.1 MFA 依赖组件 106
5.1.1 注册 107
5.1.2 用户 109
5.1.3 设备/硬件 109
5.1.4 软件 110
5.1.5 API 110
5.1.6 身份验证因素 110
5.1.7 身份验证机密库 110
5.1.8 密码术 111
5.1.9 技术 111
5.1.10 传输/网络通道 112
5.1.11 命名空间 112
5.1.12 配套基础架构 112
5.1.13 依赖方 113
5.1.14 联盟/代理 113
5.1.15 备用身份验证方法/恢复 113
5.1.16 迁移 113
5.1.17 撤销配置 114
5.1.18 MFA 组成部分的总结 114
5.2 主要攻击方法 115
5.2.1 技术攻击 115
5.2.2 人为因素 115
5.2.3 物理因素 117
5.2.4 使用两种或两种以上的攻击方法 117
5.2.5 “你没有破解MFA!” 117
5.3 如何发现MFA 漏洞 118
5.3.1 威胁建模 118
5.3.2 代码审查 118
5.3.3 模糊测试 119
5.3.4 渗透测试 119
5.3.5 漏洞扫描 119
5.3.6 手工测试 119
5.3.7 事故 120
5.4 小结 120
第6 章 访问控制令牌的技巧 121
6.1 访问令牌基础 121
6.2 针对访问控制令牌的常见攻击 122
6.2.1 令牌复制/猜测 122
6.2.2 令牌盗窃 124
6.3 复制令牌攻击示例 125
6.4 网络会话劫持技术及实例 127
6.4.1 Firesheep 128
6.4.2 MitM 攻击 128
6.5 防御访问控制令牌攻击 134
6.5.1 生成随机的、不可猜测的会话ID 135
6.5.2 使用业内公认的密码术和密钥大小 135
6.5.3 研发团队应该遵循安全编码实践 136
6.5.4 使用安全传输通道 136
6.5.5 使用超时保护 136
6.5.6 将令牌绑定到特定设备或站点 136
6.6 小结 138
第7 章 终端攻击 139
7.1 终端攻击风险 139
7.2 常见的终端攻击 140
7.2.1 编程攻击 140
7.2.2 物理访问攻击 141
7.2.3 终端攻击方可做什么? 142
7.3 特定终端攻击示例 144
7.3.1 Bancos 特洛伊木马 144
7.3.2 交易攻击 146
7.3.3 移动攻击 146
7.3.4 泄露的MFA 密钥 147
7.4 终端攻击防御 148
7.4.1 MFA 研发团队防御 148
7.4.2 终端用户防御 150
7.5 小结 152
第8 章 SMS 攻击 153
8.1 SMS 简介 153
8.1.1 SS7 156
8.1.2 SMS 最大的弱点 156
8.2 SMS 攻击示例 158
8.2.1 SIM 卡交换攻击 158
8.2.2 SMS 模拟 160
8.2.3 SMS 缓冲区溢出 163
8.2.4 手机用户账户劫持 164
8.2.5 对底层支持基础架构的攻击 165
8.2.6 其他基于SMS 的攻击 165
8.2.7 SIM/SMS 攻击方法概述 166
8.2.8 NIST 数字身份指南警告 166
8.3 防御基于SMS 的MFA攻击 167
8.3.1 研发团队防御 167
8.3.2 用户防御 169
8.3.3 RCS 是来保存移动消息的吗? 170
8.3.4 基于SMS 的MFA 比口令好吗? 171
8.4 小结 171
第9 章 一次性口令攻击 173
9.1 一次性口令简介 173
9.1.1 基于种子值的OTP 176
9.1.2 基于HMAC 的OTP 177
9.1.3 基于事件的OTP 179
9.1.4 基于时间的一次性口令 180
9.2 OTP 攻击示例 183
9.2.1 OTP 代码网络钓鱼 183
9.2.2 创建的OTP 欠佳 184
9.2.3 盗窃、重新创建和重用OTP 185
9.2.4 种子数据库遭窃 186
9.3 防御OTP 攻击 188
9.3.1 研发团队防御 188
9.3.2 使用可靠的、可信的和经过测试的OTP算法 188
9.3.3 OTP 设置代码必须有过期时间 188
9.3.4 OTP 结果代码必须有过期时间 189
9.3.5 阻止OTP 重放 189
9.3.6 确保用户的RNG 经过NIST 认证或者是QRNG 189
9.3.7 通过要求OTP 代码以外的输入来提高安全性 189
9.3.8 阻止暴力破解攻击 190
9.3.9 安全的种子值数据库 190
9.3.10 用户防御 190
9.4 小结 191
第10 章 主体劫持攻击 193
10.1 主体劫持攻击简介 193
10.2 攻击示例 193
10.2.1 Active Directory 和智能卡 194
10.2.2 模拟演示环境 196
10.2.3 主体劫持攻击演示 200
10.2.4 更广泛的问题 204
10.2.5 动态访问控制示例 205
10.2.6 ADFS MFA 旁路 206
10.3 组件攻击防御 206
10.3.1 威胁模型依赖性滥用场景 206
10.3.2 保护关键依赖项 207
10.3.3 有关依赖性滥用的培训 207
10.3.4 防止一对多映射 208
10.3.5 监测关键依赖项 208
10.4 小结 208
第11 章 虚假身份验证攻击 209
11.1 通过UAC 学习虚假身份验证 209
11.2 虚假身份验证攻击示例 214
11.2.1 外观相似的网站 214
11.2.2 伪造Office 365登录 215
11.2.3 使用与MFA 不兼容的服务或协议 216
11.3 防御虚假身份验证攻击 217
11.3.1 研发团队防御 217
11.3.2 用户防御 218
11.4 小结 219
第12 章 社交工程攻击 221
12.1 社交工程攻击简介 221
12.2 社交工程共性 223
12.2.1 未经身份验证的通信 223
12.2.2 非物理方式 224
12.2.3 通常涉及知名组织 224
12.2.4 通常基于重要时事且令人感兴趣 225
12.2.5 紧张性刺激 226
12.2.6 高级:假冒 226
12.2.7 利用可信的第三方实施网络钓鱼 227
12.3 针对MFA 的社交工程攻击示例 228
12.3.1 伪造银行警告 228
12.3.2 哭闹的婴儿 228
12.3.3 窃取大楼门禁卡 229
12.4 对MFA 社交工程攻击的防御 230
12.4.1 研发团队对MFA 的防御 230
12.4.2 用户对社交工程攻击的防御 232
12.5 小结 233
第13 章 降级/恢复攻击 235
13.1 降级/恢复攻击简介 235
13.2 降级/恢复攻击示例 235
13.2.1 备用电子邮件地址恢复 236
13.2.2 滥用主代码 239
13.2.3 猜测个人知识问题 240
13.3 防御降级/恢复攻击 244
13.3.1 研发团队防御降级/恢复攻击 244
13.3.2 用户防御降级/恢复攻击 247
13.4 小结 249
第14 章 暴力破解攻击 251
14.1 暴力破解攻击简介 251
14.1.1 生日攻击法 252
14.1.2 暴力破解攻击方法 253
14.2 暴力破解攻击示例 253
14.2.1 OTP 旁路暴力破解试验 253
14.2.2 Instagram MFA 暴力破解 254
14.2.3 Slack MFA 暴力破解旁路 255
14.2.4 UAA MFA 暴力破解漏洞 255
14.2.5 Grab Android MFA暴力破解 255
14.2.6 无限生物识别技术暴力破解 255
14.3 防御暴力破解攻击 256
14.3.1 研发团队抵御暴力破解攻击 256
14.3.2 用户防御暴力破解攻击 260
14.4 小结 260
第15 章 软件漏洞 261
15.1 软件漏洞简介 261
15.1.1 常见的漏洞类型 262
15.1.2 漏洞结果 268
15.2 漏洞攻击示例 269
15.2.1 优步MFA 漏洞 270
15.2.2 Google 身份验证器漏洞 270
15.2.3 YubiKey 漏洞 270
15.2.4 多个RSA 漏洞 271
15.2.5 SafeNet 漏洞 271
15.2.6 Login.gov 271
15.2.7 ROCA 漏洞 272
15.3 防御漏洞攻击 272
15.3.1 研发团队防御漏洞攻击 272
15.3.2 用户防御漏洞攻击 273
15.4 小结 274
第16 章 对生物识别技术的攻击 275
16.1 简介 275
16.2 生物识别技术 276
16.2.1 常见的基于生物特征的身份验证因素 277
16.2.2 生物识别是如何工作的 284
16.3 基于生物特征的身份验证的问题 287
16.3.1 错误率高 287
16.3.2 隐私问题 291
16.3.3 传播疾病 291
16.4 生物识别技术攻击示例 292
16.4.1 指纹攻击 292
16.4.2 手静脉攻击 293
16.4.3 眼睛生物识别技术欺骗攻击 293
16.4.4 人脸识别攻击 294
16.5 防御生物识别技术攻击 296
16.5.1 研发团队防御攻击 296
16.5.2 用户/管理员防御攻击 298
16.6 小结 299
第17 章 物理攻击 301
17.1 物理攻击简介 301
17.2 物理攻击示例 305
17.2.1 智能卡侧信道攻击 305
17.2.2 电子显微镜攻击 307
17.2.3 冷启动攻击 307
17.2.4 嗅探支持RFID 的信用卡 310
17.2.5 EMV 信用卡技巧 312
17.3 防御物理攻击 312
17.3.1 研发团队防御物理攻击 312
17.3.2 用户防御物理攻击 314
17.4 小结 316
第18 章 DNS 劫持 317
18.1 DNS 劫持简介 317
18.1.1 DNS 318
18.1.2 DNS 记录类型 321
18.1.3 常见DNS 攻击 322
18.2 命名空间劫持攻击示例 326
18.2.1 DNS 劫持攻击 326
18.2.2 MX 记录劫持 327
18.2.3 Dangling CDN的劫持 327
18.2.4 注册商接管 328
18.2.5 DNS 字符集技巧 328
18.2.6 ASN.1 技巧 329
18.2.7 BGP 劫持 330
18.3 防御命名空间劫持攻击 331
18.3.1 研发团队防御 331
18.3.2 用户防御 332
18.4 小结 333
第19 章 API 滥用 335
19.1 API 滥用简介 335
19.1.1 涉及API 的通用身份验证标准和协议 338
19.1.2 其他常见API 标准和组件 345
19.2 API 滥用示例 348
19.2.1 API 密钥泄露 348
19.2.2 使用API 绕过PayPal 2FA 349
19.2.3 Auth0 MFA 旁路 350
19.2.4 Authy API 格式注入 350
19.2.5 Duo API 的MFA旁路 351
19.2.6 Microsoft 的OAuth攻击 352
19.2.7 使用Apple MFA 绕过登录 353
19.2.8 TOTP BLOB 未来攻击 353
19.3 预防API 滥用 354
19.3.1 研发团队防御API滥用 354
19.3.2 用户防御API滥用 355
19.4 小结 356
第20 章 其他MFA 攻击 357
20.1 Amazon 诡异的设备MFA 旁路 357
20.2 获取旧电话号码 358
20.3 自动绕过MFA 登录 358
20.4 口令重置绕过MFA 359
20.5 隐藏摄像头 359
20.6 键盘声窃听 359
20.7 口令提示 360
20.8 HP MFA 攻击 360
20.9 攻击方把MFA 变成用户的对手 361
20.10 小结 361
第21 章 测试:如何发现漏洞 363
21.1 MFA 解决方案的威胁建模 363
21.1.1 记录组件并绘制图表 363
21.1.2 集体讨论潜在的攻击 364
21.1.3 预估风险和潜在损失 365
21.1.4 创建和测试缓解措施 367
21.1.5 开展安全审查 367
21.2 介绍Bloomberg MFA设备 368
21.2.1 Bloomberg 终端 368
21.2.2 B-Unit 新用户的注册和使用 369
21.3 Bloomberg MFA 设备的威胁建模 370
21.3.1 一般示例中的B-Unit威胁建模 371
21.3.2 可能的具体攻击 372
21.4 多因素身份验证安全评估工具 379
21.5 小结 380
第Ⅲ部分 展望未来
第22 章 设计安全的解决方案 383
22.1 简介 383
22.2 练习:安全的远程在线电子投票 384
22.2.1 用例场景 384
22.2.2 威胁建模 385
22.2.3 SDL 设计 387
22.2.4 物理设计和防御 388
22.2.5 配置/注册 389
22.2.6 身份验证和运营 390
22.2.7 可确认/可审计的投票 392
22.2.8 通信 393
22.2.9 后端交易账本 393
22.2.10 迁移和撤销配置 395
22.2.11 API 395
22.2.12 操作培训 395
22.2.13 安全意识培训 396
22.2.14 其他 396
22.3 小结 397
第23 章 选择正确的MFA 解决方案 399
23.1 简介 399
23.2 选择正确MFA 解决方案的流程 402
23.2.1 创建项目团队 402
23.2.2 创建项目计划 403
23.2.3 培训 404
23.2.4 确定需要保护的内容 405
23.2.5 选择所需和期望的功能 405
23.2.6 研究/选择供应商解决方案 412
23.2.7 开展试点项目 414
23.2.8 选出赢家 414
23.2.9 部署到生产环境 414
23.3 小结 415
第24 章 展望身份验证的未来 417
24.1 网络犯罪一直存在 417
24.2 未来的攻击 418
24.2.1 自动化程度日益提高 419
24.2.2 基于云的威胁 420
24.2.3 自动攻击MFA 420
24.3 可能留下什么 421
24.3.1 口令 421
24.3.2 主动式警告 421
24.3.3 站点和设备的预注册 423
24.3.4 手机作为MFA设备 423
24.3.5 无线 423
24.3.6 变化的标准 423
24.4 未来 424
24.4.1 零信任 424
24.4.2 持续的、自适应的和基于风险的 425
24.4.3 对抗量子攻击的密码术 428
24.5 有趣的新身份验证思想 428
24.6 小结 428
第25 章 经验总结 429
25.1 一般性教训 429
25.1.1 MFA 工程 429
25.1.2 MFA 并非不可破解 430
25.1.3 培训是关键 430
25.1.4 安全不是一切 431
25.1.5 每种MFA 解决方案都有取舍 431
25.1.6 身份验证不存在于真空中 431
25.1.7 不存在适用于所有人的最佳MFA 解决方案 434
25.1.8 有更好的MFA 解决方案 434
25.2 MFA 防御回顾 435
25.2.1 研发团队防御总结 435
25.2.2 用户防御总结 437
※ 以下内容可扫封底二维码下载 ※
附录 MFA 供应商名单
|
| 內容試閱:
|
本书起源于一个有趣的偶然事件。其实原因是,全球极负盛名的KnowBe4 公司的合伙人兼首席攻击方官Kevin Mitnick 曾做过一次公开演讲,Kevin 在演讲中展示了如何通过一个简单的网络钓鱼电子邮件轻松“破解”双因素身份验证技术。Kevin 比Roger 出名得多,成千上万的人观看了Kevin 的攻击演示。很多观众给Kevin 写信,询问关于这次演示的内容的更多细节。
很多参与本次演讲的观众写信要求采访Kevin,Kevin 抽不开身;于是,KnowBe4公关团队询问同在 KnowBe4 工作的Roger 能否伸出援手,替Kevin 回答部分问题。
Roger 在破解不同的MFA 解决方案方面有几十年的经验,Roger 很荣幸遇到这样一个机会。习惯于报道计算机安全话题的记者经常问,KnowBe4 是否已向MITRE CVE(通用漏洞披露列表,网址是[1])报告了Kevin 利用的漏洞。CVE 用于列出和跟踪大多数新的或旧的网络安全漏洞。当安全专家发现了一个全新漏洞时,通常会向CVE 报告,并附上相关细节。在网络安全领域,大多数安全专家都会跟踪CVE 列表,查看发现了什么新漏洞,斟酌是否真的需要担心该漏洞。
Roger 会心一笑。Kevin 演示的攻击方式(称为会话Cookie 劫持,本书第6 章中有介绍)已存在了几十年,并非新鲜事物,事实上是最常见的网络攻击形式之一。有几十种免费的攻击工具可帮助攻击方完成该攻击,30 年来会话Cookie 劫持很可能已用来接管了数百万个用户账户。从20 世纪90 年代末开始,会话Cookie 劫持已用于接管数千个受双因素身份验证保护的账户,这并非新的攻击手段。
令Roger 惊讶的是,当Roger 与熟识的记者和计算机安全专家交谈时,大多数人都认为会话Cookie 劫持是一种新的攻击手段。Roger 的父母和其他普通人都不知道会话Cookie 劫持其实并非什么新鲜事物,但Roger 很惊讶于即便是知识渊博、经验丰富的计算机安全专家竟然也不知道这一点。
Roger 还感到惊讶的是,许多与Roger 交谈过的人士都认为这次攻击是由LinkedIn(Kevin 在演示中使用的网站)的特有漏洞造成的。但事实并非如此,Kevin 所展示的手段可用来攻击成百上千的热门网站;对LinkedIn 来说,这并非是一个必须修复的缺陷。这是针对一种十分常见的MFA 形式及其工作原理的攻击。没有特定补丁来修复上述缺陷。可更新所使用的MFA 解决方案,来防止Kevin 演示的特定类型的攻击手段。任何MFA 方法都可能遭到攻击方破解。
Roger 知道至少有10 种方法可破解不同形式的MFA 的技术,与Roger 交流过的人感到非常震惊。因此,Roger 决定通过CSOOnline 开辟一个关于破解不同形式的MFA 的专栏(见[2]),那时Roger 是个作家。2018 年5 月Roger 完成了该专栏(见[3]),Roger 想出了11 种破解MFA 的方法。
Roger 和KnowBe4 的首席执行官Stu Sjouwerman 分享Roger 个人专栏的内容时,Stu 明智地建议Roger 就破解MFA 话题做一个报告,然后开始演讲。几天内,Roger完成了一份新的演示文稿,名为“12 种战胜MFA 的方法” (见[4])。随着研究和思考的深入,Roger 几乎每周都能想出破解MFA 的新方法。
时至今日,Roger 已发现了超过50 种破解MFA 的方法,本书中分享了Roger 知道的所有方法。最初的报告变成一份长长的白皮书。在KnowBe4,白皮书的平均篇幅是3~5 页;而Roger 的白皮书是20 页。这是KnowBe4 历史上最长的白皮书,很快成了办公室里流传开来的笑谈,Roger 至今还拿这件事开玩笑。Roger 分享说,Roger最初起草了一个40 页的草稿,这20 页是Roger 在同事们的指责下删减后的版本。后来又出现了40 页的电子书(见[5])。
Roger 开始在世界各地做演讲,包括在最大的计算机安全会议RSA 和Black Hat上演讲。在这两个会场上,参会者排起长龙,挤满了过道,一些人只能站立参会,试图听到一些关于攻击方式的讨论。Roger 最初的12 种击败MFA 的方法如此之长,以至于Roger 不得不只选择其中的五分之一与观众分享,不过,Kevin 最初的MFA 攻击方演示仍然是大众最喜欢的(Roger 在本书中提供了该演示的网址)。
Jim Minatel 是Roger 的老朋友,也是Wiley 的策划编辑,Jim 来观摩Roger 在RSA的演讲,会议上Jim 看到了充满热情的人群。Roger 做报告时正好生病了,病得不轻。
事实上,Roger 在报告的第二天就因为一种可能危及生命的严重疾病住院治疗了一周。
Roger 觉得自己在介绍技术资料方面做得很糟糕,希望将来能加以完善和改进。Jim看到求知若渴的人群,体会到技术资料表现出的能量,于是问Roger 是否愿意写一本关于MFA 主题的书籍。午饭时Roger 答应了,这就是本书。最棒的是,Roger 用了数百页的篇幅来分享所知道的关于MFA 的一切。即便如此,Roger 相信在这个问题上还可编写几本同样篇幅的书籍。MFA 及其弱点有很多。事实上,就连本书也只介绍了皮毛。Roger 希望所有安全专家都能更好地理解MFA 的优缺点,并希望MFA 研发团队能创建更好、更安全的解决方案。
本书的最终目标是阐明所有MFA 解决方案的安全性和弱点。如果用户只知道MFA 解决方案的好处而不知道其风险,那么很可能在没有适当的策略、控制措施和培训的情况下实施MFA 解决方案。本书是对一些MFA 供应商过度狂热的营销的一种回击。MFA 解决方案可显著降低许多形式的网络安全风险,但并非包治百病的灵丹妙药,也不意味着安全专家可丢掉以前学到的所有计算机安全经验。如果用户对MFA 能做什么和不能做什么有了恰当的理解,并适当地改变其实践和控制措施,Roger的工作就完成了。
本书读者对象
本书主要面向负责或管理组织的计算机安全(特别是登录身份验证)的安全专家。
本书适用于任何第一次乃至第十次考虑审查、购买或使用MFA 的人士。本书适用于提供MFA 解决方案的研发团队和供应商。在本书之前,还没有一个地方可让任何人(无论是客户还是供应商)去了解攻击方对MFA 的常见攻击方法。尽管本书未涵盖所有的攻击方法、防御和警告,但本书已经竭尽所能了。
本书主要面向那些听说过MFA 的重大安全承诺,但在某种程度上这些供应商的承诺等同于一个更大谎言的人员。例如,有的供应商声称,使用MFA 意味着“我不会遭到攻击方的攻击!”没有比这更离谱的了。当有人试图说服安全专家们使用MFA意味着不必再担心攻击方的攻击时,本书就是给予的反证。那种说法不是真的,永远也不会是真的。
本书也打消了安全专家们想要一套100%安全解决方案的天真想法。没有100%安全的解决方案!社会需要一个影响最小的安全解决方案,并提供“刚刚好”的保护。
这是一个残酷的现实,管理者和研发团队都在计算机安全产品的市场中学到了这一点。一些自称最好的、真正安全的计算机产品实际上只有几家公司会购买,最终变成一堆闲置的产品。
这不禁让人想起1992 年的电影A Few Good Men 中Jack Nicholson 扮演的上校Nathan Jessup 的名言:“你无法驾驭真相!”我们必须面对一个残酷事实:不求固若金汤,但求风险可控。
本书涵盖的内容
本书包含25 章,分为三部分。
第I 部分:MFA 简介 第I 部分讨论身份验证的基础知识和MFA 试图解决的问题,包括安全专家需要了解的背景事实,以了解为什么MFA 是受欢迎的身份验证解决方案以及MFA 是如何遭到攻击的。
第1 章:登录问题 第1 章介绍MFA 试图解决的核心问题。MFA 并不是突然出现的。口令和单因素解决方案经常失败,因此出现了更好的和改进的身份验证解决方案。你将从中了解到MFA 试图解决的问题。
第2 章:身份验证基础 身份验证不是一个流程,而是一系列相互连接的进程,包括许多不同的组件。任何步骤和组件都可能遭到攻击。要了解MFA 是如何遭到攻击的,首先必须了解身份验证是如何在MFA 参与或不参与的情况下工作的。第2 章提供了这个基础。
第3 章:身份验证类型 第3 章介绍几十种身份验证类型,描述各种身份验证之间的区别,并分析每种解决方案固有的优势和弱点。
第4 章:易用性与安全性 始终需要在用户友好性和安全性之间进行权衡。MFA也不例外。最终用户通常难以容忍最安全的选项。第4 章讨论良好安全性的基本挑战。
实际上,即使是良好的安全性,若过于繁重,也会变成糟糕的安全实践。最佳安全选项是在易用性和安全性之间取得良好的权衡。找出什么条件下会越过该平衡线。
第II 部分:MFA 攻击 该部分涵盖非法入侵和攻击MFA 解决方案的各种常用方法。每章都详细介绍各种攻击的缓解措施和防御措施。
第5 章:攻击MFA 的常见方法 该章首先解释入侵MFA 的高级方法,并总结各种技术。每种MFA 解决方案都易受到多种攻击,第II 部分其余章节将对此开展介绍。
第6 章:访问控制令牌的技巧 该章首先详细讨论最流行的、长达数十年的MFA攻击方法之一:破坏产生的访问控制令牌。该章展示了访问控制令牌遭到破坏的多种方式。
第7 章:终端攻击 一个遭到破坏的设备或计算机可能受到数百种不同的攻击,包括绕过或劫持MFA 解决方案。遭到破坏的终端是不可信的。该章讨论几种流行的终端攻击方式。
第8 章:SMS 攻击 该章介绍多种SMS(Short Message Service,短消息服务)攻击,包括SIM(Subscriber Identity Module,用户识别模块)攻击。多年来,美国政府一直表示,SMS 不应该用于强身份验证,然而Internet 上最常见的MFA 解决方案都涉及SMS。了解为什么不应该这样。
第9 章:一次性口令攻击 一次性口令(One-time Password,OTP)是最流行的MFA 解决方案之一,OTP 解决方案很好,但并非不可破解。该章介绍各类OTP 解决方案以及如何破解OTP 解决方案。
第10 章:主体劫持攻击 与本书中描述的其他大多数MFA 攻击不同,主体劫持攻击不是很流行。事实上,主体劫持攻击并非故意在一次公开攻击中完成的。尽管如此,主体劫持攻击是可以取得成功的,了解这些攻击的原理以及如何完成这些攻击是很重要的一课。该章详述一种针对全球最流行的企业身份验证平台的主体劫持攻击,安全专家们可能永远担心该种攻击。
第11 章:虚假身份验证攻击 该章介绍一种针对MFA 解决方案的攻击,可成功破解大多数MFA 解决方案。该攻击涉及将最终用户带到一个伪造的网页,并伪造整个身份验证交易,接受最终用户输入或提供的任何内容,使得用户认为是成功的。
你可通过阅读该章来了解如何防止虚假身份验证攻击。
第12 章:社交工程攻击 社交工程攻击是所有攻击方法中最具恶意的入侵。社交工程可用来绕过任何MFA 解决方案。该章介绍多种针对主流MFA 解决方案的社交工程攻击方法。
第13 章:降级/恢复攻击 大多数主流MFA 解决方案都允许在主MFA 方法出现故障的情况下使用安全性较低的方法来恢复关联账户。该章讲述如何使用降级/恢复攻击来绕过和禁用合法的MFA 解决方案。
第14 章:暴力破解攻击 许多MFA 解决方案要求用户输入PIN 码和其他代码,且未启用“账户锁定”功能来防止攻击方反复猜测,直至找到这些信息。正如该章所述,对于较新的MFA 解决方案来说,忘记这一重要的安全功能是十分常见的。
第15 章:软件漏洞 安全软件和其他软件一样存在缺陷。MFA 解决方案也不例外。该章讨论为什么会有Buggy 软件,并列举多个Buggy MFA 解决方案示例,包括一个导致数千万MFA 设备立即受到攻击的漏洞。
第16 章:对生物识别技术的攻击 所有采用生物识别技术的MFA 解决方案都可能遭到攻击,且所有生物识别技术的特征都是可模仿的。该章描述诸多此类攻击,包括针对面部和指纹识别的攻击,并讨论针对复制和重用攻击的缓解措施。
第17 章:物理攻击 一个常见安全信条是:如果攻击方拥有用户设备的物理访问权限,游戏就结束了。对MFA 设备而言尤其如此。该章涵盖多种物理攻击,从使用价值数百万美元的电子显微镜到使用价值5 美元一罐的压缩空气。
第18 章:DNS 劫持 该章讨论如何劫持附加到MFA 解决方案的名称解析服务,从而导致整个MFA 解决方案失败。一些MFA 解决方案提供商认为,此类攻击不应被视为对MFA 解决方案的真正攻击,因为此类攻击不会直接攻击MFA 解决方案,只会使MFA 陷入危险之中。
第19 章:API 滥用 许多MFA 解决方案都有API (Application Programming Interface,应用程序编程接口)。该章展示如何使用API 同时攻击单个MFA 场景或100万个受害者。
第20 章:其他MFA 攻击 该章详细介绍其他几类MFA 攻击,这些攻击在其他章节中并不适用,或在最后一秒出现在本书中。
第21 章:测试:如何发现漏洞 安全专家们要接受一下测试。该章介绍现实世界中一个看似非常安全的MFA 解决方案,该方案由全球最大的组织之一使用。在描述该方案的工作原理后,大多数人都认为该方案完美无缺,但实际上,该方案是可破解的。Roger 希望安全专家能利用在前面章节中学到的知识来找出潜在漏洞。
第III 部分:展望未来 本书最后一部分讨论如何更好地设计MFA 解决方案以及身份验证的未来发展前景。
第22 章:设计安全的解决方案 在今天,一项重要任务是确保选民可在远程安全地在线投票。第22 章讨论远程投票可能出错的方式,以及安全的远程MFA 投票解决方案可能是什么样子。
第23 章:选择正确的MFA 解决方案 该章介绍安全专家及其组织如何选择正确的MFA 解决方案,这个方案应当适当地平衡易用性和安全性,且在大多数关键安全场景中都能工作。没有完美的MFA 解决方案,但该章将帮助安全专家为自己和组织选择尽量好的解决方案。
第24 章:展望身份验证的未来 未来的身份验证可能与今天的选择大不相同,与第22 章中设计的较完美MFA 解决方案和第23 章中选择的解决方案大相径庭。找出未来与今天不同的原因。
第25 章:经验总结 这个收官章节总结从前面各章中得出的重要经验。将这些经验整理在一起,以便参考。
附录:MFA 供应商名单 附录中列出115 个不同的MFA 供应商。还提到一个链接;单击该链接,可打开一个Microsoft Excel 文件,其中列出MFA 供应商的名称、网站以及提供的方案的基本功能,以帮助安全专家探索和选择MFA 解决方案。
客观看待MFA
Roger 至少已展示了本书中的一些技术材料两年多了,总的目标一直是与大家共享MFA 技术。MFA 确实可减少某些形式的身份验证攻击,但并非无懈可击。任何人都可向用户发送一封普通的网络钓鱼邮件,以达到接管用户账户的目的,即使该账户受到MFA 的保护也同样如此。认为MFA 是不可破解的或不易遭到攻击的,会导致控制不力、培训不足以及不必要的网络安全风险。一些安全专家在阅读MFA 可能遭到攻击的几十种方式之后,有时会滑向另一个极端,认为“MFA 是可怕的、无用的或糟糕的”。在阅读本书正文前,Roger 想澄清一下,这并非事实。
在安全专家提出更好的身份验证解决方案之前,每个人都应该使用MFA,这是有意义的。或许,在某些地方要求每个人使用口令,使用口令甚至比使用MFA 更好或更合适。但是,如果条件允许,安全专家们应该尽量使用MFA。只是要知道,MFA是可能遭到攻击的,而且在某些情况下,很容易遭到攻击。安全专家需要调整思维和安全控制措施来接受现实。
参考资源链接
本书正文中穿插了很多参考资源链接,形式是[*],其中的*代表编号。这些资源链接都放在Links 文件中,读者可扫封底二维码下载该文件。例如,在阅读第1 章正文时,看到[3]时,可从Links 文件中“第1 章”下面的[3]处找到具体链接。
|
|
購物車/收銀台(0) | 在線留言板
| 付款方式
| 聯絡我們
| 運費計算
| 幫助中心 |
加入書簽
HOME
新書上架
