雙因子身份認證機制的安全分析

2021-02-15 黑白之道


       

       這種方法已經得到了企業的廣泛採用,特別是在對數據進行遠程訪問時,但在其它領域應用還十分有限。雙因子身份認證的推廣之所以受阻,主要是由於其需要使用額外的工具,而這一條件為IT和技術支持人員帶來了不小的負擔。其批評者還指出,這種安全保障措施仍然很容易遭受攻擊,即在非常小的時間周期內,這種技術很容易受到中間人(man-in-the-middle)攻擊(這也是採用嚴格SSL處理的主要原因)。實際上,除了這些障礙以外,現在我們已經開始認識到,不採用雙因子認證所帶來的隱含成本遠遠比採用雙因子認證所需要的成本高得多。

  雙因子身份認證是確保遠程訪問安全性的最佳實踐方式,但是這種技術也給了一些網絡犯罪分子可乘之機。如果攻擊者在獲取到了大量身份憑證的情況下,他們就可以偽裝成合法用戶,而且還可以躲避安全防護軟體的檢測。很多公司都認為雙因子認證機制是絕對可靠的,而且也沒有採取一定的安全預防措施來防禦攻擊者的攻擊以及系統後門。

  在這篇文章中,我們將會站在攻擊者的角度來對雙因子身份驗證機制進行從淺至深的分析,我們希望這篇文章能夠幫助安全研究人員解決這項技術中目前所存在的一些問題。我將會對遠程繞過雙因子身份驗證技術進行討論,並且向大家描述如何繞過遠程訪問設備的雙因子身份驗證機制,並從內部網絡環境的設備中竊取數據。

  1)K.I.S.S-簡單,有效

  入侵設備的遠程訪問控制是攻擊者首要解決的問題,因為它可以給攻擊者提供設備的訪問權限,並且降低被監測到的可能性。在合法遠程訪問工具的幫助下,攻擊者不僅可以在目標主機中執行控制命令,而且還可以在身份驗證機制的掩護下進行其他的一些攻擊活動。

  在某些較為困難的情況下,我們可以使用一些比較直接的方法來獲取到我們所需的憑證:讓目標用戶代替我們來進行操作。我們只需進行一些簡單的設置就可以製作一個完美的陷阱。

  在下圖中,我們可以看到兩個不同的VPN登錄頁面。其中一個是公司的合法登錄網站,另一個是由攻擊者偽造的虛假登錄頁面。你能發現這兩者之間的區別嗎?

      

  分辨不出嗎?沒錯,你的客戶也一樣分辨不出。在社會工程學工具(SET)的幫助下,任何人都可以快速地複製出一個外部頁面來欺騙用戶(攻擊者只需要將HTML頁面中的本地資源地址(「/home/image/logo.png」)修改成外部引用地址(「mycompany.com/home/image/logo.png」)就可以了)。在一次完美的網絡釣魚攻擊中,你可以引誘目標用戶訪問你所克隆出的虛假VPN身份驗證頁面,並且得到所有你需要的信息:用戶名,密碼,甚至是令牌碼!

  如果攻擊者的操作速度足夠快,那麼他們還可以將憑證提交至虛假的VPN頁面,然後利用這些信息來登錄真實的VPN。如下圖所示,攻擊者可以將登錄提交請求重定向至一個PHP腳本,然後這個腳本就會將提交過來的用戶名,密碼,以及其他的一些元數據寫入伺服器的日誌文件中,這樣攻擊者就可以檢測並獲取到用戶所提交的雙因子身份驗證信息了。

      

  當攻擊者通過了VPN的身份驗證之後,他們就可以在安全檢測軟體檢測到釣魚攻擊並進行安全響應之前,在目標主機中實現提權並獲取到敏感數據。

  2)電子郵件就是我們的敵人

  數字令牌通常會需要一個同步代碼,而為了保證其有效性,每一名用戶的令牌都只會有一個唯一的同步碼與之對應。同步碼和算法是保證令牌安全性的因素,而且這兩個因素也可以確保用戶令牌能夠與身份驗證伺服器的要求所匹配。當用戶的VPN訪問請求通過批准之後,很多公司會選擇使用一種簡單和友好的方式來向用戶發送通知類的電子郵件。這些電子郵件中通常會包含有「seed「密鑰和安裝說明。但對於安全團隊來說不幸的是,用戶通常在閱讀完這類電子郵件之後,卻忘記將其刪除了,這些電子郵件就這樣躺在了用戶的收件箱之中,等待著攻擊者前來竊取。

  攻擊者可以在用戶的電子郵箱中搜索敏感文件和有價值的信息(包括硬碟中的.PST和.OST文件)。在大多數情況下,攻擊者只需要使用一個簡單的PowerShell腳本就可以搜索用戶郵箱中的敏感文件以及與RSA軟令牌相關的.sdtid文件了。

  3)雙因子身份驗證機制中的緊急模式

  在很多的雙因子身份驗證產品中,都提供有一個名為「緊急訪問」的代碼,這種運行模式實際上是一種身份驗證機制,如果用戶丟失了令牌,但是又急需對數據進行遠程訪問,那麼這種機制也可以允許用戶進行臨時性的VPN訪問。下圖顯示的就是緊急訪問模式的操作界面截圖:

      

  如上圖所示,系統提供了一個身份驗證的修復機制。對於攻擊者而言,攻擊者可以利用這種機制來遠程訪問目標系統。這些緊急訪問碼是非常不安全的,因為他們的有效日期可以被修改,這樣一來,攻擊者就可以利用這些緊急訪問碼來獲取到目標系統的永久訪問權限了。

  總結

  對於一名經驗豐富的攻擊者來說,他們有很多種方法可以對目標進行攻擊,並繞過那些所謂的「安全防護措施「。

  不幸的是,很多公司太過於相信那些所謂的安全解決方案了,例如雙因子身份驗證。如果安全技術人員沒有採取一些必要的安全保障措施,那麼這種安全技術也不能保證公司的安全。如果安全技術人員忽略了這一點,那麼攻擊者就可以利用如上文所述的一些攻擊方法破壞雙因子身份驗證技術本該帶來的安全性。

  在此,我還需要感謝Andrew Burkhardt, Evan Peña, 以及Justin Prosco為這篇文章所做出的貢獻。


比特幣贊助打賞地址:13sbdFRyFBeqmXY9GJQf66s5cwmvLvWaAD

----

要聞、乾貨、原創、專業
關注「黑白之道」 微信:i77169
華夏黑客同盟我們堅持,自由,免費,共享!

相關焦點

  • 下一代雙因子身份認證什麼樣?
    暴力破解攻擊可被各種形式的雙因子身份認證緩解,比如基於時間的令牌、簡訊和使用手機的身份認證。如今,新的競爭者出現了:通用雙因子身份認證(U2F)。U2F是線上快速身份認證(FIDO)聯盟支持的一個身份認證標準。FIDO聯盟成員涵蓋了技術產業頂級公司和廠商。U2F協議通過一鍵激活的USB令牌設備實現。U2F結合了質詢-響應身份認證和公鑰加密。
  • 雙因子認證也不可靠 警惕社會工程學攻擊
    您還可以搜索公眾號「D1net」選擇關注D1net旗下的各領域(雲計算,數據中心,大數據,CIO,企業協作,網絡數通,信息安全,企業移動應用,系統集成,伺服器,存儲,呼叫中心,視頻會議,視頻監控等)的子公眾號。=======當前,隨著網絡安全威脅的日益加深,關於用戶的安全認證機制也逐步完善中。
  • 等保2.0高風險判定系列 | 雙因子認證
    雙因子(或稱雙因素)認證一直是安全圈比較關注的一個話題,從等保1.0時期的關鍵評價指標項,到現在網絡安全等級保護、關鍵信息基礎設施、高風險判定指引,要求在各個層面的身份鑑別上均實現雙因子身份鑑別,可見對雙因子認證在日常應用的重視程度。 現代雙因子認證的起源,可追溯到一戰時期的英國情報局軍情6處M16,用於針對處理安全、防務、外事、經濟方面的事物情報、密碼情報。
  • 關於聯機插件雙因子認證
    最近很多小夥伴問我雙因子認證的事情,也就是登錄聯機插件後官方的提示信息,這個提示是警告您的帳戶沒有開啟雙因子認證不安全。
  • 物聯網安全:身份認證
    4)多因子身份認證為了提高身份認證服務的安全強度,一種身份認證機制最好不要僅僅依賴於某一項秘密或者持有物。5)良好的認證同步機制如果身份認證信息是動態推進的,則存在認證的同步問題。有許多因素可能會導致認證的不同步:確認消息的丟失、重複收到某個認證消息、中間人攻擊等。身份認證系統應該具有良好的同步機制,以保證在認證不同步的情況下,能自動恢復認證同步。
  • 深夜有料 | 多因子身份認證技術在企業中有哪些應用場景?
    深夜有料提起身份認證,我們會想到生活中的籤名、指紋等識別措施。在網際網路數字世界中,傳統單一的身份認證方式已經無法滿足用戶對安全性、靈活性、準確性等更高的要求。大數據、人工智慧等技術的催生,多因子身份認證成為用戶安全的重要保障。
  • 前沿技術|移動互聯時代下的多因子身份認證技術解讀
    身份認證的演變經歷了按手印、支票籤名,再到現在的安全密碼認證、數字籤名、生物識別……身份認證技術的發展從來就沒有停止過。在移動網際網路時代,確保用戶身份安全是移動網際網路業務開展的安全基石,傳統身份認證方式顯然已無法滿足用戶身份認證過程中對安全性、準確性、靈活性等方面的更高要求,個人身份認證技術亟需革新升級。
  • 網絡安全之身份認證
    (二)雙因子身份認證技術在一些對安全要求更高的應用環境,簡單地使用口令認證是不夠的,還需要使用其他硬體來完成,如U盾、網銀交易就使用這種方式。在使用硬體加密和認證的應用中,通常使用雙因子認證,即口令認證與硬體認證相結合來完成對用戶的認證,其中,硬體部分被認為是用戶所擁有的物品。
  • 如何為登錄和 sudo 設置雙因子認證
    安全就是一切。我們生活的當今世界,數據具有令人難以置信的價值,而你也一直處於數據丟失的風險之中。
  • 谷歌即將默認開啟雙因子登錄認證
    現在大量黑客通過盜取google帳號密碼來控制帳號,為此Google即將採取一個重要的安全性提升步驟,進一步保護用戶們的帳戶安全。近期Google表示,如果用戶帳戶 "配置正確",很快未來登錄帳號將默認啟用2FA(雙因子認證)。2FA(雙因子認證)是指結合密碼以及實物(信用卡、SMS手機、令牌或指紋等生物標誌)兩種條件對用戶進行認證的方法。一旦啟用2FA後,用戶登錄Google帳戶時除了常規的密碼輸入外,會在智能機上收到一個提示,來驗證登錄身份的合法性。
  • 英特爾酷睿晶片和聯想PC讓雙因子身份驗證無需手機參與
    英特爾晶片的這一隱藏功能,能讓你的雙因子身份驗證僅使用PC即可完成,無需拿出你的手機。只需要確保你的第一道防線——Windows口令或PIN,同樣安全。該功能被英特爾稱為「在線連接(Online Connect)」,這更常被稱作通用第二因子(U2F)驗證,存在於第8代酷睿架構中。通常,雙因子身份驗證(2FA)——數年前就被作為電子郵件、在線存儲和其他數據的額外安全措施而被推薦,需要通過App或簡訊向你的手機發送驗證碼。
  • 身份認證之雙因素認證 2FA
    身份認證這裡所說的身份認證,指的是狹義上的在計算機及其網絡系統中確認操作者身份的過程,從而確定用戶是否具有訪問或操作某種資源的權限
  • 在計算無處不在的時代,雙因子認證方式(2FA)可能不再安全!
    雙因子認證Two-Factor Authentication(2FA)是一種生物識別技術,是保護用戶在線數據的最強大的方法之一。
  • PC如何接管手機的雙因子身份驗證 靠的是英特爾的CPU
    然而,隨著Web服務隨處可得,我們需要第2安全層來將自己與壞人區別開來。雙因子身份驗證有助保護這些在線交易的安全;U2F承諾讓它們不再那麼惱人。U2F在英特爾Core晶片中怎麼運作FIDO聯盟發展了開放身份驗證標準U2F,旨在幫助簡化雙因子身份驗證。
  • 白話可信身份認證安全框架—FIDO、IFAA、TUSI
    ,對於身份認證這個事也是直接簡單方便的來,帳號+密碼的方式最終成了在網際網路上身份認證方案的首選,在一些重要的場景下可能會增加簡訊驗證碼來做第二驗證因子。而可信計算應用於身份認證,則可以達到類似於斯巴達溫泉關的效果:硬體隔離技術像形成溫泉關的高大山巖一樣牢不可破擋在那裡,只對外留出一個通信接口;而密碼學算法則是經過無數考驗的理論上無法破解的,類似那300個斯巴達勇士一樣堅不可摧。本文試著簡要介紹可信計算在計算機、信息通信、金融領域的應用情況,重點分析可信計算技術在身份認證領域的發展應用情況,最後探討未來的身份認證行業發展前景。
  • 多因子身份驗證的五個趨勢
    多因子身份驗證 (MFA) 的廣泛採納受到技術限制和用戶抗拒的阻礙,但其使用一直在增長。為什麼呢?分析機構預測,得益於對安全電子支付的需求和威脅、網絡釣魚攻擊及重大數據洩露的增多,多因子身份驗證 (MFA) 市場將繼續增長。
  • Google的安全機制
    在網絡安全領域,gmail郵箱的雙因子認證被業內奉為第一大難題,它讓多少網絡安全從業者捶胸頓足,垂頭喪氣。Google的安全機制也被全世界的網絡安全研究者專門研究,下面我將結合個人的經歷談談我眼中的Google的安全機制,因本人水平有限,若有不對之處,敬請斧正。
  • 郵件系統(OWA)雙因素身份認證解決方案
    一、場景分析OWA是基於微軟Hosted Exchange技術的託管郵局的一項
  • 雙因素認證如何保證你的帳戶安全
    本文講的是一些最佳的身份驗證應用程式和選項,雖然設置過程可能需要一些時間,但是一旦啟用了雙因素認證,一切就都安全了。如果你想確保自己的在線帳戶安全,則添加雙重身份驗證(2FA)是你可以採取的最重要的安全措施。儘管沒有任何安全措施可以100%防止黑客入侵,但是2FA在鎖定對重要帳戶的訪問方面將大有幫助。顧名思義,2FA在登錄過程中增加了另一層身份驗證。
  • 移動安全身份認證廠商及產品盤點
    我國網絡詐騙黑色產業鏈規模超過1100億元,從業人員160萬人,2015年網民因為垃圾信息、詐騙信息和個人信息洩露等原因,導致損失約 805 億元,七成左右的網民個人身份信息和個人網上活動信息均遭到洩露。身份認證安全已成為安全市場的新引爆點。