Two-factor authentication Palo Alto Networks Jen Miller-Osborn One-Time Password Data Breach Unit 42 2FA/MFA

善用雙因認證與OTP 落實密碼管理防帳號竊賊

2017-12-19
雙因子/多因子認證的保護效率是基於它接受了「密碼是脆弱的而且容易被盜用」的現況事實,並提供了降低此風險的能力。雙因子/多因子認證增加額外的認證要求,因此攻擊者如果只擁有一個認證因子,就和完全沒有認證因子的攻擊者一樣,什麼事也不能做。
帳密等同於數位鑰匙,它讓攻擊者可以假裝合法使用者,或者協助非法使用者隱藏他們的身分,以便於利用合法使用者來進行滲透活動。最明顯的是用於獲取非法利益,不論是轉賣帳密或者利用帳密從銀行、PayPal、Bitcoin、線上交易,或者任何與金錢相關的帳戶盜領財務。帳密對於攻擊者的其他目的也很重要,特別是間諜活動和破壞網路。有些勒索軟體攻擊者例如SamSa,也是仰賴帳密取得存取權,然後將那些最有價值的資料予以加密封鎖。但除了這些之外,攻擊者還可以利用竊得的帳密進行以下惡意活動: ‧遠端存取:攻擊者可以利用竊得的帳密,以虛擬私有網路(Virtual Private Networks,VPN)和遠端存取協定,例如RDP和VNC方式侵入遠端網路。

‧橫向移動攻擊(Lateral Movement):竊得的帳密(特別是網域管理者帳密)為需要深入滲透網路的攻擊者提供很大的幫助。

‧雲端存取:雲端服務通常只使用帳密作為安全防衛,而雲端資料具有高價值,特別是企業將越來越多資訊轉移到雲端。

取得合法帳密後的惡意活動型態

遠端存取能力讓員工不需要在辦公室就可以從遠端存取工作網路、電子郵件及其他資源。因此,員工不論身在何處都可以隨時執行業務,但這同時也為攻擊者開啟新的機會。當帳密遭竊時,攻擊者將享有同樣的便利,可以從任何地方存取網路。一旦遠端存取帳密遭竊,為了保護網路和資源而建構的任何實體管控與反制措施都將失去效用。

遠端存取帳密竊盜事件也會讓雲端服務供應商本身成為資料外洩的受害者。2016年,TeamViewer和Citrix的GoToMyPC都發生數量未公開的帳戶被駭事件,而攻擊者使用的是從其他地方竊得的帳密。

不論攻擊者如何取得遠端存取帳密,一旦帳密落入他們手中就能夠如同實際的帳戶所有者那樣存取任何資源。非僅如此,他們還會嘗試取得更高權限和侵入更多系統、伺服器或網路,散播惡意軟體並且四處竊取帳密。

至於橫向移動,區分為複雜資料攻擊(或網路入侵)與單純惡意軟體攻擊的關鍵階段。對於比較複雜的攻擊而言,攻擊者幾乎從未在第一次嘗試就能侵入系統。然而,一旦侵入網路後,攻擊者將盡其可能地擴散到最多系統,主要目的是要取得管理者層級的帳密。除了取得管理者帳密之外,他們也會橫向移動以便更深入了解網路及其資源,並且尋求方法以鞏固他們在網路的地位,以便能夠成功擺脫防衛者的掃蕩。

管理者帳密權限非僅可以存取更多系統,而且也能變更那些系統。管理者帳密給予攻擊者完整的控制權,讓他們能夠「擁有」系統和網路。在這個階段,取得正確的帳密即決定攻擊者的成功。一旦進入網路,唯一能夠輕易且靜悄悄擴散的方法就是擁有正確的帳密。攻擊者將部署工具(通常使用Mimikatz、Pwdump或類似工具),以收集現有系統儲存的所有密碼,而竊取管理者帳密之後就可以將權限較低的使用者帳戶「升級」到管理者特權帳戶。

近幾年來,雲端服務不論企業或個人使用率都呈現爆炸性成長。不幸的是,雲端資料安全技術並沒有跟上成長腳步。企業或許在內部建置了強韌的政策與技術以保護帳密,但他們的雲端帳戶可能只有仰賴簡單的使用者名稱和密碼保護。然而,他們的雲端資料價值實際上是和內部系統儲存的資料一樣珍貴。


▲有效預防帳密竊盜,應重於雙因子/多因子認證、密碼管理器、使用者教育。

雲端存取所面對的風險類似遠端存取,就如同遠端存取能力讓使用者可以虛擬地登入企業網路,雲端存取也沒有經過實體確認使用帳密者是否為本人。不同的是,遠端存取只是讓攻擊者登入網路而非其內儲存的資料,但雲端存取則會讓攻擊者直接觸及資料本身。由此不難想像,雲端存取的嚴重性勢必高於遠端存取。因此,對於提供敏感資料存取的每一個帳戶,至少都應該啟用雙因子認證(Two-factor Authentication)。

身分認證與密碼管理防範帳密竊盜

前述已探討了帳密竊盜如何發生,以及攻擊者如何利用竊取的帳密,接下來必須了解的是針對這些攻擊行為的防範方式。如果說帳密竊盜是攻擊活動的氧氣,那麼預防帳密竊盜就等同於切斷他們的氧氣供應。

為求有效預防帳密竊盜,應把焦點放在以下三大領域:

1.雙因子/多因子認證(Two-Factor/Multi-Factor Authentication,2FA/MFA)和動態密碼(One-Time Passwords,OTP)

2. 密碼管理器

3. 使用者教育

雙因子/多因子認證和動態密碼二者把帳密從簡單靜態的使用者名稱密碼組合,改變成比較困難攻擊的本質,同時也改變了攻擊者盜用帳密的遊戲規則。

其中,雙因子認證目前獲得最普遍採納,許多網站、廠商和方案都提供這項功能。啟用雙因子認證後,使用者除了使用者名稱與密碼之外,還需要提出以下其中一種憑證:

‧你所知道的某種東西,例如個人識別碼(PIN)。

‧你所擁有的某種東西,例如行動裝置、認證憑證或OTP Token。

‧你是某人,例如指紋等生物認證因子。

雙因子/多因子認證的保護效率是基於它接受了「密碼是脆弱的而且容易被盜用」的現況事實,並提供了降低此風險的能力。雙因子/多因子認證增加額外的認證要求,因此攻擊者如果只擁有一個認證因子,就和完全沒有認證因子的攻擊者一樣,什麼事也不能做。 動態密碼屬於一種唯有在登入或交易時才有效的密碼,而且它們大多設有時限,時間一到就會由新的密碼取代。因此,動態密碼可以避免傳統密碼的大部分弱點。再者,它們很多也結合雙因子認證,包括搭配「你所擁有的某種東西」,例如內建動態密碼計算器的小型數位Token、特定的行動裝置或動態密碼產生器,以及「你所知道的某種東西」,例如PIN。動態密碼讓使用者不再需要自行建立、記憶和管理多重複雜密碼,並且排除了最容易被駭的部分,有可能終結帳密遭竊後被重複使用的情形。

密碼管理器(Password Manager)稱不上是劃時代的技術,但確實提供了一種實用的方法協助使用者管理複雜的密碼。密碼管理器讓使用者可以分別為每一個帳戶建立強而獨特的密碼,而毋須擔心記不住那一大串無意義的文數字。通常,使用者只需要記憶密碼管理器本身的主密碼,其他所有獨特而複雜的密碼就交由管理器儲存和管理。

當然,由於密碼管理器儲存了使用者的所有密碼,而本身僅有一組單一的主密碼保護,因此它們自然也成為攻擊的目標。也就是說,使用者必須特別謹慎保護他們的管理器主密碼,否則一旦主密碼遭竊,就等於失去使用者儲存在管理器的所有密碼。

透過使用者教育,協助認識網路釣魚和提醒當有疑慮時別做出具有潛在危險的動作(例如點擊連結),並配合其他保護措施將可以提高安全性。確保使用者熟悉網路釣魚模式,並且知道如何判斷郵件是否合法,將可以顯著降低網路釣魚的成功率。

誠如前述「帳密釣魚」提到,重要的是要求使用者不要把他們的登入帳密或其他個人資料儲存在Web瀏覽器等其他平台,除了密碼管理器之外。任何時候只要看到瀏覽器要求儲存帳密、信用卡號、姓名和住址,或者任何個人資料時,一律點選「否」。瀏覽器的這項功能帶給使用者短暫的便利,但同時也讓他們更容易流失資料。

當然,最重要的使用者教育課程是要教導大家以懷疑的態度看待所有帳密資料請求,並以拒絕提供帳密為前提,除非直到請求者已證明該項請求是合法的。雖然使用者教育往往被批評是把安全重擔加在使用者(而非技術)身上,實際上,使用者才是最終、最有效且先進的安全防護層。

從根本強化防護對抗攻擊威脅

帳密竊盜是攻擊者成功的關鍵,甚至可以說是最關鍵的一環。2014 Verizon DBIR報告指出,成功的攻擊事件有三分之二涉及帳密竊盜。反過來思考,如果那三分之二的帳密沒有被偷竊,那麼攻擊活動成功機率會有多高?我們永遠無法確知答案,但可以合理假設其中只有一部分會成功。

帳密竊盜是一項威脅,而且也如同其他威脅一樣可以被緩解且往往是可預防。一如所有威脅,有效緩解與預防的第一步,就是了解威脅態勢,包括知道什麼是帳密竊盜、如何發生,以及攻擊者如何運用竊得的帳密。有了這些基本了解之後,即可參考前述建議事項做好威脅防護,包括雙因子/多因子認證、動態密碼、密碼管理器和使用者教育等。

密碼管理器針對現狀提供了便捷的補救,使用者教育是強化安全意識的最佳方法,而雙因子/多因子認證則是帳密竊盜預防上真正的進步。這些從根本上改變了威脅態勢,讓防衛者再次掌握主導權並且成功地預防帳密竊盜。

我們無須將帳密竊盜視為一種未知而無可避免的攻擊因素,就如同我們可以對抗安全弱點、垃圾郵件與網路釣魚威脅,同樣可以對抗和預防帳密竊盜事件發生。

<本文作者Jen Miller-Osborn為Palo Alto Networks Unit 42研究員。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!