Bendi新闻
>
超越密码:Elastic 的防钓鱼 MFA 实践

超越密码:Elastic 的防钓鱼 MFA 实践

7月前

作者 | Aditya Kulkarni
译者 | 明知山
策划 | Tina

最近,搜索解决方案平台 Elastic 讨论了防钓鱼的多因子认证(MFA)的优势。这种安全的认证方法通过采用多层保护和加密注册过程超越了采用密码、短信验证码或生物识别技术的传统 MFA。

防钓鱼 MFA 通过确保认证请求仅来自可信来源,显著降低了钓鱼攻击的成功率。在最近的一篇博文中,信息安全分析师 Arsalan Khan 和 Elastic 副首席信息官 Anthony Scarfe详细介绍了这种安全解决方案的优势。防钓鱼 MFA 利用指纹、面部识别、PIN 码和硬件安全密钥等高级因子提供强大的保护。

鉴于 Elastic 的分布式远程优先工作模式和对 SaaS 应用程序的依赖,MFA 对资产的保护作用变得至关重要。了解到钓鱼威胁变得日益复杂,他们做出了进行转型的关键决定。虽然 Elastic 之前淘汰了短信验证码,但仍在使用推送通知、移动身份验证器和基于时间的一次性密码(TOTP)。这些方法很有用,但与 FIDO2 认证因子不同,它们给现代基于代理的攻击留下了一些漏洞。

之前,用户必须通过发现 URL 的微妙变化来识别会话劫持。有了防钓鱼 MFA,Elastic 通过快速身份在线(Fast Identity Online,FIDO)等强大的身份验证协议来减轻这种负担。

FIDO 针对每个用户和网站使用了唯一的密钥。在用户注册时,与网站共享公钥,而私钥安全地保留在用户的设备上。在登录时,网站发送一个验证请求,用户设备检查网站的标识是否与创建密钥的位置匹配。这种不匹配检测防止了假认证,为防止钓鱼提供了强大的保护。

KrebsOnSecurity 的一份报告显示,最近针对苹果用户的攻击主要利用了 MFA 系统的漏洞。攻击者用认证请求轰炸用户,有时还会冒充苹果技术支持客服电话。在 Hacker News 的一个帖子中,用户 Iloeki 报告说 2021 年或 2022 年也出现了类似问题,他和配偶的设备被认证请求狂轰滥炸。这些通知消息最初是零星的,然后频率迅速增加,造成了严重的干扰。

这个用户为两个账户启用了密钥恢复机制,这是一种旨在阻止未授权访问的安全措施,有效地停止了请求流。这一事件凸显了积极防御性措施的重要性,特别是在面对像“MFA 轰炸”这样不断演变的威胁时。

在三个月的时间里,Elastic 在整个组织内实现了防钓鱼 MFA。他们对数据的重视在这一过程中发挥了重要作用。Elastic 的 InfoSec 计划利用了其自身 Elastic 解决方案的强大功能,使得他们能够集中收集和监控资产、身份、漏洞和其他关键数据。

通过跨集群搜索,他们可以深入了解所有这些数据源。事实证明,Elastic 的集中式数据基础设施对获取防钓鱼 MFA 部署实时洞见起到了关键作用。通过统一的仪表盘,他们可以轻松监控关键指标,如注册用户数量、用户所在的部门和地理位置。这也简化了与高层的沟通,确保他们始终了解计划的进展和影响。

来源:实现防钓鱼 MFA:我们的数据驱动方法

Elastic 的宣传方式帮助推动了防钓鱼 MFA 计划的参与度。在启动项目时,他们推广将 TouchID 作为主要身份验证器,并使用流行的 Drake 表情包来增加趣味性。这让用户产生了共鸣,仅在一个小时内就显著提高了参与度。

在这些见解的基础上,Elastic 通过添加额外的用户上下文(如系统所有者、主机和职位名称)增强了警报。然后,他们自动将这些详细的警报直接分发给相关用户或系统所有者。

Statista 的报告显示,各行业的网络钓鱼点击率预计每年都会上升。即使像 Elastic 这样有安全意识的团队,也总会有人成为受害者。在建立了强大的数据洞察力、有效的沟通渠道和高效的警报系统,Elastic 意识到为最终用户提供全面支持的重要性。他们不仅仅是在技术方面提供帮助,还积极教育用户了解防钓鱼 MFA 的重要性和好处。

查看英文原文

https://www.infoq.com/news/2024/05/elastic-phishing-resistant-mfa/

声明:本文为 InfoQ 翻译,未经许可禁止转载。

今日好文推荐

德国再次拥抱Linux:数万系统从windows迁出,能否避开二十年前的“坑”?

系统 bug 致百人入狱,砸了 2.8 亿元仍上云失败!二十年了,这家大企业被日本软件坑惨了

章文嵩、蒋晓伟、李飞飞、张凯巅峰对谈:大模型时代的数据智能新趋势

演示文生图时出现sleep代码,华为回应造假嫌疑;微软将中国AI团队集体打包到美国;百度ECharts创始人“下海”养鱼|Q资讯

微信扫码关注该文公众号作者

来源:InfoQ

相关新闻

安远AI&北京大学:2024基础模型的负责任开源-超越开源闭源的二元对立:负责任开源的内涵、实践与方案报告一位中产爸爸的亲身实践:普通家庭,请不遗余力完成原始积累对话 Momenta 曹旭东:超越智驾的摩尔定律荣耀的新故事:超越华为之后,赵明目标指向全球市场探索 IT 架构治理之道:微众银行的实践与思考AI 时代的人力资源战略转型:香港中华煤气的实践分享智能纤毛粘附设计新范式:超越壁虎仿生设计的极限 | NSRGPT-4劲敌Claude 3来了,上下文和多模态显著提升:OpenAI是可被超越的【研究方法】1. 科学实践:对研究方法的介绍开源模型新纪录:超越Mixtral 8x7B Instruct的模型来了全面解析 Jenkins 部署架构:高效持续集成的最佳实践专家发言:00后超越父母成就的难题,职场启示录如何在 AI 浪潮中屹立不倒:来自企业的组织弹性实践基因检测:构筑超越百岁之道的新维度FIRST最佳纪录片《我要找到你》:漫漫寻子路,超越技艺的影像能量翠竹之道:中式管理哲学的崛起与实践稳定、省钱的 ClickHouse 读写分离方案:基于 JuiceFS 的主从架构实践安省免费新手钓鱼课开放报名:知识课+实践课,大人、小孩都可参加!超越思维链:大型语言模型的X链范式综述《我本是高山》摄影手记:半即兴的新自然主义实践“一次重新开始的机会”:县域中职教育的实践转型御宅族:一场怎样的生活审美实践?腾讯音乐娱乐集团:2023音质AIGC的应用与实践报告大模型时代的工业质检:技术革新与实践探讨
logo
联系我们隐私协议©2024 bendi.news
Bendi新闻
Bendi.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Bendi.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。