密碼已死,但繼承者並非同等安全。本文解析各種 MFA 技術的安全強度與攻擊者的繞過手法,幫助企業選擇真正能防禦現代威脅的身分驗證策略。
微軟的遙測數據顯示,啟用 MFA 的帳號遭到入侵的機率比未啟用的帳號低 99.9%。這個數字讓 MFA 看起來像是萬靈丹——但攻擊者早已發展出多種繞過 MFA 的技術,讓「有 MFA」和「MFA 真的有效」之間存在關鍵差異。
身分驗證的核心邏輯是:知道的(密碼)、擁有的(手機/硬體金鑰)、是你的(生物特徵)三者中至少結合兩種。但各種實作方式在安全強度上差異懸殊,選錯了 MFA 方法,可能給了企業虛假的安全感。
了解攻擊手法才能選擇正確的防禦工具:
攻擊者架設代理釣魚網站,即時轉發目標輸入的帳密和 OTP 給真實網站,並竊取登入 Session Cookie。SMS OTP 和 TOTP App 均無法防禦此手法。Microsoft 和 Google 的帳號已被此技術大規模攻擊。
攻擊者取得密碼後,持續觸發 Push 驗證通知,直到目標因煩躁或誤以為是自己操作而點選「允許」。Uber 在 2022 年的入侵事件就是通過此手法。啟用「數字比對(Number Match)」可有效降低此風險。
攻擊者通過社交工程欺騙電信業者,將受害者的電話號碼轉移至攻擊者控制的 SIM 卡,從而接收所有 SMS OTP。這是 SMS-based MFA 的根本弱點,在台灣也有案例發生。
攻擊者偽冒 IT 支援人員,通過電話或郵件欺騙目標完成「帳號驗證」,從而觸發 MFA 重設並接管帳號。Twilio 和 Cloudflare 在 2022 年均遭受此類攻擊(Cloudflare 因部署硬體金鑰成功抵禦)。
FIDO2(Fast Identity Online 2.0)標準結合 WebAuthn 協議,提供目前最強的抗釣魚驗證機制。其核心原理是「網域綁定」:驗證過程使用來自裝置的加密簽章,簽章中包含合法網域資訊。即使攻擊者建立了外觀完全相同的釣魚網站,驗證也無法在錯誤的網域上完成。
儲存在裝置安全晶片(iPhone Face ID、Android 指紋、Windows Hello),免費且便利,是未來主流。
YubiKey 等實體 USB/NFC 裝置,最高安全性,適合高權限帳號和高風險場景。
用手機掃描 QR Code 確認桌面登入,兼顧安全性與便利性,無需購買額外設備。
Google 在 2017 年要求所有員工使用硬體安全金鑰後,員工帳號的接管事件降為零。即使員工被釣魚郵件誘騙至惡意網站並輸入密碼,硬體金鑰的網域綁定機制也阻止了任何未授權登入。
並非所有帳號都需要相同強度的保護,根據帳號風險等級制定分層策略是務實的做法: