各位聽眾朋友大家好,我是主持人 Eric Chuang,歡迎收聽資安簡報室!這是一個專為資安從業人員、顧問、企業 IT管理者,或是企業資安長打造的週報節目,旨在每週帶您掌握重要的資安資訊並深入了解資安議題。本週,我們將深入探討 多因素驗證 (MFA) 的現況與未來。
儘管 MFA 聽起來耳熟能詳,但其背後的細節與挑戰卻鮮少被徹底拆解。資安議題具有時效性,我們今天的內容是基於 2025 年 8 月 8 日的資訊,如果您在多年後閱讀此文,請務必再查證相關資訊。
資安新聞亮點:MFA 現況的警訊
近期有幾則重要的資安新聞,突顯了 MFA 部署的重要性與挑戰:
- 微軟正式淘汰 App 內的密碼管理與自動填寫機制,全面轉向 Passkey 通行鑰匙。
- 自 2025 年 8 月 1 日起,微軟已在 App 端移除了密碼自動填寫功能,將其移至瀏覽器端,並積極推動用戶轉向 Passkey。
- Passkey(通行鑰匙) 是一種基於加密邏輯的技術,符合 FIDO2 標準。
- 其最大優勢在於 無需簡訊驗證,也無需輸入密碼。用戶只需透過手機、臉部辨識(Face ID)或指紋辨識即可完成登錄,大幅提升便利性與安全性。
- 對企業而言,這代表著應該重新設計使用者登錄流程,是帳號安全升級的絕佳時機。因為密碼不僅不夠安全,也不夠方便,而 Passkey 才是未來趨勢。
- 行動裝置風險上升:預計有 2400 種惡意程式鎖定 MFA 登錄機制。
- 一家位於德州的資安公司發布報告指出,市面上有超過 2400 種惡意 App 程式,專門掃描與竊取密碼相關的資訊,包括用於二次驗證的一次性密碼(如簡訊或電子郵件傳送的 OTP)。
- 對企業而言,如果員工的手機接觸公司敏感資料,就必須考慮員工手機是否安裝了有風險的程式。此時,需要部署 MDM(行動裝置管理) 產品,以監控手機內容並預防側載攻擊。
- 單純部署 MFA 是不夠的,如果 MFA 驗證方式(例如透過電子郵件發送一次性密碼)的管道本身就存在被取得的風險,那也形同虛設。
- 尚未全面部署 MFA,澳洲退休基金現資安漏洞。
- 澳洲的退休基金雖然有部署 MFA,但並非強制啟用,導致部分使用者有啟用,部分則沒有。
- 這種「非強制啟用」的狀況會產生極大風險,因為若未啟用 MFA,駭客在取得帳號密碼後就能直接登入。
- 此外,僅依賴帳號密碼加上圖形驗證的登入方式,強度是不足的。一旦帳號密碼外洩,圖形驗證也可能被機器人辨識攻破。
- 數年前,台灣的券商也曾面臨類似挑戰,使用個人的出生年月日等固定因子作為第二驗證因子。然而,這些個人資料一旦外洩,就形同失去保護。
這幾則新聞都再三提醒我們:MFA 必須部署,而且要有效、要啟用。
MFA 是什麼?多因素驗證的四大類別
MFA 的核心是透過組合兩種或更多不同類別的驗證因子來確認使用者身份,以提升安全性。這些因子大致可分為以下幾大類:
- 知識因子 (Something You Know):使用者知道的資訊。
- 密碼 (Password):最常見的驗證方式。
- PIN 碼 (Personal Identification Number):由數字組成的密碼,早期常用於電話語音驗證,但因易於猜測且可被暴力破解,強度比密碼更弱。例如,IHG 和日本航空近期都已更改其 Pin 碼登入方式。
- 安全問題 (Security Question):如「您的小學念哪間?」、「您最愛的城市?」、「第一次旅行的地方?」等。這類問題雖然個人化,但若資訊容易透過社交工程取得,也存在風險。
- 缺點:這類因子本質上都是字串,保護強度相對較弱。
- 擁有因子 (Something You Have):使用者擁有的實體。
- 實體安全金鑰 (Physical Security Key):如 YubiKey。這類裝置因是實體存在,駭客必須實際取得才能進行驗證,提供極高的安全性。
- 時間型一次性密碼 (TOTP) App:如 Google Authenticator。透過 App 產生基於時間變化的六位數字驗證碼。雖然方便,但如果其內部的字串(或稱為「引性字串」)被竊取,安全性也會受損。如果 App 本身沒有對此字串進行加密處理,則更容易被惡意程式(例如前面提到的 2400 種程式)竊取。
- 簡訊 (SMS OTP) 或電子郵件 (Email OTP):將一次性密碼透過簡訊或電子郵件發送。簡訊可能面臨掃描、攔截或 SS7 攻擊的風險。電子郵件傳輸目前多已加密,但若電子郵件帳號本身遭到入侵,安全性也會受到影響。
- 生物因子 (Something You Are):使用者固有的生理或行為特徵。
- 指紋辨識。
- 臉部辨識 (Face ID)。
- 虹膜辨識。
- 聲音辨識。
- 當生物因子與實體安全金鑰結合時(如具備指紋辨識功能的 YubiKey),其安全強度是最高的,因為它同時具備「你擁有什麼」和「你是誰」的驗證。
- 行為因子 (Behavioral Factor) 及地理位置因子 (Location Factor):這些屬於風險評估模式。
- 行為因子:分析客戶的使用習慣,例如打字間隔、滑鼠滑動的樣貌等。
- 地理位置因子:評估登錄的環境,如 IP 位址、裝置、地理位置。例如,使用者是否在短時間內從台灣登錄又從大陸登錄,或是在上班時間卻從公司以外的星巴克透過 VPN 登入。這些異常行為可以觸發進一步的分析驗證。
MFA 部署的實務考量與建議
MFA 的部署並非一勞永逸,必須深入思考其潛在弱點及管理機制。
- 「先求有再求好」:如果您的企業尚未部署任何形式的 MFA,即使是相對簡單的 TOTP 形式,也應優先部署。如同把家裡的鑰匙放在鞋櫃門口一樣,沒有 MFA 就如同門戶洞開。有了 MFA,即使只是一個簡單的額外密碼,也能提升安全性。
- 分析 MFA 的弱點:任何 MFA 方案都可能存在弱點。例如,TOTP 若其底層的字串被竊取,仍然存在風險。簡訊和電子郵件 OTP 也各有其被攔截或帳號入侵的可能。
- 提升難度:不斷提升攻擊者取得驗證資訊的難度。例如,主持人自己的核心帳號全部使用 Passkey,並將 Passkey 儲存在 iPhone 上,而 Apple ID 則由實體 YubiKey 保護。這樣,攻擊者若要入侵 Google 帳號,必須先破解手機,再通過生物辨識才能使用 Passkey 登入,大幅增加了入侵難度。
- 企業級應用:MFA 不應只停留在網站登入。實務上,甚至可以將 MFA 應用到作業系統 (OS) 的內部登入,透過手機配合生物辨識來驗證。
- 風險管理:若企業的簽核系統可從外部登錄,卻只依賴帳號密碼這種單一因素驗證,是非常危險的。
結論
MFA 並非萬能,但它在正確的政策與實作下,能有效提升資安防護。我們必須不斷反向思考,驗證資訊是否有被竊取或控制權被轉移的可能。
希望這份整理能幫助您更深入了解 MFA 的現況與挑戰。未來,我們可能會更深入討論 Passkey 或 FIDO2 的運作原理。
如果您對資安有任何疑問或想進一步探討,歡迎在各討論區與我們交流。我是 Eric Chuang,歡迎訂閱、留言、分享我們的頻道——SecBrief 資安簡報室,讓我們一起在資安領域中持續學習,共同進步!