- 综合排序
- 最热优先
- 最新优先
- 来自专栏用户8028881的专栏
如何抵御MFA验证攻击
事实证明,多因素验证(MFA)对保护用户凭据至关重要,许多公司正在采用MFA来确保访问者对其IT环境的安全访问。因此,有些攻击者可能就会设计破解和规避MFA的技术来获取组织的数据。 尽管MFA也不是完全不可穿透的,但还是有一些方法可以防止MFA攻击。这篇文章将介绍五种常见的MFA攻击方法,和美国联邦调查局(FBI)对这些攻击方法的应对机制。 虽然目前大多数MFA解决方案可以通过锁定帐户来限制用户身份验证的失败次数,但有些MFA解决方案还是不包含任何防御机制的。 联邦调查局提出的防御MFA破解的策略 值得说明的是,尽快MFA也可能被攻击,但这不能掩盖它在数据安全方面提供的优势。企业仍需配置MFA验证以保护其数据安全。 一款全面的MFA解决方案,旨在阻止MFA攻击 ManageEngine的ADSelf Service Plus是一款自助服务密码管理解决方案,它提供了一个强大的MFA验证方案,帮助公司有效避免MFA攻击
2K20发布于 2020-12-15 - 来自专栏深度学习与python
超越密码:Elastic 的防钓鱼 MFA 实践
这种安全的认证方法通过采用多层保护和加密注册过程超越了采用密码、短信验证码或生物识别技术的传统 MFA。 防钓鱼 MFA 通过确保认证请求仅来自可信来源,显著降低了钓鱼攻击的成功率。 防钓鱼 MFA 利用指纹、面部识别、PIN 码和硬件安全密钥等高级因子提供强大的保护。 这一事件凸显了积极防御性措施的重要性,特别是在面对像“MFA 轰炸”这样不断演变的威胁时。 在三个月的时间里,Elastic 在整个组织内实现了防钓鱼 MFA。 来源:实现防钓鱼 MFA:我们的数据驱动方法 Elastic 的宣传方式帮助推动了防钓鱼 MFA 计划的参与度。 他们不仅仅是在技术方面提供帮助,还积极教育用户了解防钓鱼 MFA 的重要性和好处。
46410编辑于 2024-05-22 - 来自专栏salesforce零基础学习
salesforce零基础学习(一百零八)MFA
本篇参考:https://security.salesforce.com/mfa https://sfdc.co/bvtuQT (MFA官方研讨会的文档) https://sfdc.co/iwiQK( 2fa,今天主要讲的是MFA。 MFA 官方的介绍是到2022年2月1日起,salesforce登录环境要强制要求启用MFA。换言之,MFA没搞定,不允许登录salesforce了。 什么场景使用 MFA 说MFA 强制使用也不是一个特别绝对的说法,也不必过度紧张。MFA强制使用也是有一个 scope范围的。我们基于用户的类型以及用户登录的媒介进行两个表格的梳理。 MFA和2FA的区别,按照官方的说法就是2FA是MFA的一部分,配置上可能也就省了session setting中的2fa的设置,整体MFA实施难度还好,无非就是针对app的安装,针对用户的training
2.3K10发布于 2021-10-09 网站测评:多因素认证(MFA)安全测试指南
MFA 核心攻击面测试绕过测试认证状态篡改:登录后修改URL参数(如authenticated=true)或Cookie,尝试跳过MFA验证。 强制浏览:直接访问登录后的URL(如/dashboard),观察是否触发MFA验证。响应篡改:拦截MFA验证请求,将响应码403改为200,观察是否放行。 逻辑漏洞测试MFA 启用/禁用逻辑禁用MFA后是否仍要求二次验证?重新启用MFA时是否验证原凭证(如密码)?会话管理缺陷同一会话在多个设备登录时,MFA状态是否同步失效? 修改密码后,已通过MFA的会话是否保持活跃?MFA 覆盖攻击在A设备发起MFA请求后,立即在B设备用相同账号登录,观察MFA状态是否被覆盖。 社会工程与物理测试MFA 疲劳攻击连续发送大量MFA推送通知,诱导用户误点"批准"。物理访问利用测试设备锁屏状态下能否绕过MFA(如USB调试劫持已认证会话)。
53610编辑于 2025-08-12- 来自专栏运维监控日志分析
Zabbix 7.0 LTS MFA 多因素身份验证
Zabbix MFA Zabbix 7.0 版本支持企业级 MFA多因素身份验证(MFA)认证,登录Zabbix 除了用户名和密码之外,还需提供了额外的安全层,增强Zabbix 前端的安全性。 Zabbix TOTP多因素身份验证 1.Zabbix中"用户"→"认证"→"MFA设置"→启用多重身份验证MFA。 注意:MFA功能依赖php-curl组件,如果未安装会存在错误提示。 Zabbix 前端 MFA登录异常,MySQL 数据库关闭多重身份验证MFA 查询zabbix.config 表结构 mysql> desc zabbix.config; 查询zabbix.config configid,mfa_status from zabbix.config; +----------+------------+ | configid | mfa_status | +------ 字段 mfa_status='0' 禁用MFA认证,mfa_status='1'启动MFA认证 mysql> update zabbix.config set mfa_status='0' where
1.1K10编辑于 2024-06-11 - 来自专栏DevOps
开源KMS之vault part12 使用userpass + MFA 登录验证
文档链接:MFA:https://developer.hashicorp.com/vault/tutorials/auth-methods/active-directory-mfa-login-totpuserpass 实际上这个MFA也支持其他方式,我这里为了便于演示,用的 userpass 的方式,这种省去了搭AD域环境的步骤。 '111111' -format=json | jq -r '.auth.entity_id'我这里的结果是: a6629f82-a140-b118-9acc-c32b58577d88Part2 启用MFA 工具去扫码添加(注意:目前遇到过再低版本的google MFA工具或者其他mfa工具可能出现扫码成功,但是在vault中登陆不成功的情况)。 vault write /identity/mfa/login-enforcement/adtotp \mfa_method_ids="$TOTP_METHOD_ID" \auth_method_accessors
32700编辑于 2025-06-26 - 来自专栏全栈程序员必看
双因素身份认证系统的技术特点_mfa多因素认证
大家好,又见面了,我是你们的朋友全栈君。 一般的状况下,用户通常使用的网络登录办法为:用户名称+密码。在密码为静态的状况下,将会产生某些问题,比如为了维护密码安全性,必须严格规定密码的长度、复杂性(例如:中英文数字夹杂,大小写间隔,长度须超过8个字符以上)及定期更换的频率。 用户为了方便记忆,常常习惯使用特殊的数字,例如家人的生日、自己的生日、身高体重、电话或门牌号码等,此种方法极不安全。 只要利用黑客工具,如字典攻击法等便能在短时间内将密码激活成功教程,甚至只要有人在身后窥视便可探知正在键入的密码,所以静态密码有很大的安全隐患。 目前绝大多数的网络服务,例如电子信箱、网上银行等,大都通过静态密码来进行身份认证。大多数人都不懂得如何妥善管理自己的密码,进而遭到数据甚至财物上的损失。 因此,我们需要采用一套更安全的身份认证方式,这就是目前被认为最安全的双因素认证机制。 双因素是密码学的一个概念,从理论上来说,身份认证有三个要素: 第一个要素(所知道的内容):需要使用者记忆的身份认证内容,例如密码和身份证号码等。 第二个要素(所拥有的物品):使用者拥有的特殊认证加强机制,例如动态密码卡,IC卡,磁卡等。 第三个要素(所具备的特征):使用者本身拥有的惟一特征,例如指纹、瞳孔、声音等。 单独来看,这三个要素中的任何一个都有问题。“所拥有的物品”可以被盗走;“所知道的内容”可以被猜出、被分享,复杂的内容可能会忘记;“所具备的特征”最为强大,但是代价昂贵且拥有者本身易受攻击,一般用在顶级安全需求中。把前两种要素结合起来的身份认证的方法就是“双因素认证”。 双因素认证和利用自动柜员机提款相似:使用者必须利用提款卡(认证设备),再输入个人识别号码(已知信息),才能提取其账户的款项。 由于需要用户身份的双重认证,双因素认证技术可抵御非法访问者,提高认证的可靠性。简而言之,该技术降低了电子商务的两大风险:来自外部非法访问者的身份欺诈和来自内部的更隐蔽的网络侵犯。
2.6K20编辑于 2022-11-01 - 来自专栏公共互联网反网络钓鱼(APCN)
基于实时代理架构的Starkiller钓鱼服务与MFA绕过机制研究
过去十年间,随着单因素认证(仅凭密码)被频繁突破,多因素认证(MFA)已成为企业安全基线的核心组成部分。据统计,启用MFA可阻断99.9%的自动化账户接管攻击。 2.3 交互式MFA绕过与会话劫持流程Starkiller对MFA的绕过是其区别于传统钓鱼的关键。其流程如下:凭证捕获:用户在代理页面输入用户名和密码。代理服务器将这些数据实时转发给真实IdP。 MFA挑战透传:真实IdP验证密码通过后,返回MFA挑战页面(如要求输入短信验证码、TOTP代码或确认推送通知)。代理服务器将此页面原样呈现给用户。实时中继:用户在代理页面输入MFA代码。 此时,MFA提供的额外安全层被完全 bypass,因为攻击者使用的是已通过MFA验证的有效会话。 再次,MFA的脆弱性显现。当前广泛采用的基于OTP(一次性密码)和Push推送的MFA机制,本质上是“共享秘密”或“同步确认”模式。在中间人攻击面前,这些信息只是被攻击者实时转发的数据流。
23710编辑于 2026-03-02 - 来自专栏公共互联网反网络钓鱼(APCN)
Instagram钓鱼攻击中MFA绕过机制与账户劫持链研究
3 MFA绕过技术与实时代理架构分析随着双重验证(2FA)成为标配,传统的“存储转发”式钓鱼(即先存密码,再手动登录)已无法满足攻击需求。 由于Session Token代表了已认证的会话,它通常能绕过后续的MFA检查,直到过期或被注销。这种架构的本质是“中间人攻击”(MitM)。 虽然这种方式在用户体验上可能不如反向代理流畅(例如可能出现延迟或界面不一致),但其核心目的——窃取MFA验证码——依然能够实现。 5 防御策略与技术对抗面对日益精进的钓鱼攻击与MFA绕过技术,单一的防御措施已难以奏效。必须构建一个涵盖用户、客户端及服务端的多层次防御体系。 全面推广基于FIDO2标准的无密码认证(Passkeys),利用其原生的抗钓鱼特性,是解决MFA绕过问题的根本途径。
17810编辑于 2026-03-03 多因素认证(MFA):守护主机安全的第一道防线
一、MFA在主机安全中的核心作用 防御密码泄露与撞库攻击:即使密码被窃取,攻击者仍需要第二重验证(如动态令牌、生物特征)才能登录,有效阻断大部分基于凭证的入侵。 遏制暴力破解与密码猜测:MFA机制使得单纯通过穷举密码的方式几乎失效,极大增加了攻击成本。 提升安全审计与溯源能力:结合登录日志,MFA可帮助管理员清晰识别异常登录行为,快速定位潜在威胁。 然而,MFA仅是主机安全的一个层面。全面的防护需要覆盖资产清点、漏洞管理、入侵检测、基线合规等多个维度。 其产品特性与MFA的防护理念高度契合: 多维度入侵检测:不仅支持异常登录实时监控(与MFA形成互补),还提供密码破解阻断、恶意请求检测、高危命令审计、本地提权监控、反弹Shell检测等,构建了立体的入侵防御网络 自动化资产管理:提供主机列表、进程、端口、账号等资产指纹信息的统一清点与管理,让安全状况一目了然,为制定精准的MFA策略提供数据基础。
20710编辑于 2026-03-12- 来自专栏公共互联网反网络钓鱼(APCN)
钓鱼即服务驱动下勒索软件入口演变与MFA绕过机制研究
MFA误判安全感:许多组织误认为启用MFA即可免疫凭证泄露,忽视会话层风险。攻击工具商品化:PhaaS平台提供一站式钓鱼页面托管、邮件投递、凭证收集与会话代理服务,使低技能攻击者也能发起高级攻击。 2.3 AitM攻击原理与MFA绕过机制AitM攻击的核心在于透明代理。 由于整个认证过程在微软服务器上真实发生,MFA完全生效,但其保护对象是攻击者的代理,而非最终用户。因此,MFA在此场景下形同虚设。 3 现有MFA机制的脆弱性分析3.1 常见MFA类型及其局限MFA类型 是否可被AitM绕过 原因短信/语音OTP 是 OTP在认证时被代理提交TOTP(如Google Authenticator) 是 6 讨论本文揭示了一个关键矛盾:MFA的有效性高度依赖其部署上下文。在传统静态认证模型中,MFA显著提升安全性;但在AitM代理面前,若缺乏会话绑定与持续验证,MFA反而制造虚假安全感。
36510编辑于 2025-12-12 - 来自专栏公共互联网反网络钓鱼(APCN)
基于Evilginx的高校MFA绕过攻击机制与防御体系研究
本研究为教育行业及其他高价值目标机构应对MFA绕过威胁提供了可落地的技术路径与策略参考。 尽管多数高校已部署多因素认证(MFA)以强化身份安全,但2025年Infoblox披露的钓鱼行动表明,传统基于时间令牌(TOTP)或短信验证码的MFA在面对Adversary-in-the-Middle 攻击者不再试图破解MFA本身,而是通过实时代理用户与合法服务之间的完整交互,在用户完成认证的同时窃取有效会话,从而绕过所有二次验证机制。 4 现有MFA机制的局限性4.1 会话与认证解耦当前主流MFA(如Google Authenticator、Duo Push)仅验证“登录时刻”的用户身份,但后续会话完全依赖Cookie。 一旦Cookie被窃,攻击者即可绕过所有MFA保护。这本质上是“认证”与“授权”未绑定的问题。
33510编辑于 2025-12-22 - 来自专栏腾讯云智能顾问
【最佳实践】巡检项:访问管理(CAM)账号是否绑定 MFA 设备
什么是MFA? Multi-Factor Authentication (MFA),即多因子认证,是一种简单有效的最佳安全实践方法,它能够在用户名和密码之外再额外增加一层安全保护。 那么,如何在账号中绑定 MFA 呢? ,原 MFA 可校验情况下,您自行在控制台解绑MFA,然后再做新的绑定即可。 解绑虚拟 MFA 设备:账号相关 解绑虚拟 MFA 设备 - 操作指南 - 文档中心 - 腾讯云 重新绑定虚拟MFA设备:账号相关 绑定虚拟 MFA 设备 - 操作指南 - 文档中心 - 腾讯云 MFA,我们操作完毕后,您可以在控制台上重新绑定MFA。
2.5K50编辑于 2022-03-29 - 来自专栏公共互联网反网络钓鱼(APCN)
钓鱼即服务工具包的演进与MFA绕过技术分析
重点聚焦于多因素认证(MFA)绕过机制与URL混淆策略两大核心攻击向量,结合实际攻击样本与技术实现细节,揭示其运作逻辑与检测难点。 研究进一步探讨现有防护机制的局限性,并提出融合实时URL分析、会话行为建模与MFA交互验证的纵深防御框架。 通过代码示例展示典型反向代理式MFA绕过流程及动态URL混淆构造方法,为安全研究人员与企业防御体系提供可操作的技术参考。 5.2 MFA交互上下文监控在MFA验证环节引入行为分析:若同一会话在短时间内从不同地理位置或设备类型发起认证请求,应触发二次验证或阻断。 MFA绕过与URL混淆已成为标配技术,其自动化、动态化与伪装性特征对传统安全体系构成严峻挑战。
17610编辑于 2026-01-22 - 来自专栏公共互联网反网络钓鱼(APCN)
钓鱼成勒索软件“头号入口”:PhaaS泛滥 + AitM攻击让MFA形同虚设
MFA为何失效?AitM攻击正在“偷走你的登录状态”如果说PhaaS解决了“如何骗到账号密码”,那么AitM(Attack-in-the-Middle)则解决了“如何绕过MFA”。 传统MFA(如短信验证码、认证器App)依赖“你知道什么(密码)+你拥有什么(手机)”来验证身份。 MFA必须升级,会话需持续验证面对PhaaS与AitM的双重夹击,专家一致认为:传统MFA已不足以保障安全,必须转向抗AitM的强认证方案。 “记住:MFA验证码只应在你主动访问官网时输入。任何要求你‘点击链接完成验证’的,都是钓鱼。”他说。 结语:身份安全进入“后MFA时代”钓鱼成为勒索软件头号入口,标志着网络攻击重心已从“突破边界”转向“冒充身份”。
40110编辑于 2025-11-05 - 来自专栏FreeBuf
联邦调查局警告称国家黑客正利用MFA漏洞进行横向移动
近日,美国联邦调查局(FBI)表示,俄罗斯政府支持的黑客组织正积极利用错误配置的默认多因素认证(MFA)协议,将自己的设备注册到机构组织的Duo MFA后,从而进入一些非政府组织的云端。 攻击的下一步是在修改域控制器文件后,通过将所有Duo MFA接入重定向到本地主机而不是Duo服务器来禁用MFA服务。 在这些被盗账户的帮助下,攻击者们能够在没有MFA执行的情况下横向移动,访问云存储和电子邮件账户,并窃取数据。 对此,FBI和CISA今天在一份联合网络安全咨询中给组织机构提供了以下缓解措施: 1. 执行MFA并检查配置策略,以防止“失败打开”和重新注册场景。 2. 确保跨Active Directory和MFA系统统一禁用不活跃账户。 3. 给所有系统打补丁,优先为已知被利用的漏洞打补丁。 参考来源 https://www.bleepingcomputer.com/news/security/fbi-warns-of-mfa-flaw-used-by-state-hackers-for-lateral-movement
77220编辑于 2022-04-11 - 来自专栏公共互联网反网络钓鱼(APCN)
基于恶意OAuth应用的MFA绕过攻击:微软身份体系中的新型钓鱼威胁研究
摘要多因素认证(Multi-Factor Authentication, MFA)长期被视为抵御凭证窃取的关键防线。 然而,近期多起安全事件表明,攻击者正通过滥用Microsoft Entra ID(原Azure AD)的OAuth 2.0授权框架,绕过MFA保护,直接获取对Microsoft 365账户的持久化访问权限 为保障账户安全,微软大力推广多因素认证(MFA),并宣称其可阻断99.9%的账户入侵尝试。然而,这一结论主要基于传统凭证钓鱼或暴力破解场景,未充分考虑身份授权机制本身的结构性风险。 该机制极大提升了用户体验,但也引入了新的攻击面:若用户被诱导授权一个恶意应用,攻击者即可绕过所有基于密码和MFA的验证环节,直接通过合法API接口操作账户。 关键点在于:MFA仅在第3步验证用户身份,而第5步的“同意”操作本身无二次验证。一旦用户授权,即使账户启用了MFA,攻击者仍可通过令牌直接访问资源。
40110编辑于 2025-12-02 - 来自专栏公共互联网反网络钓鱼(APCN)
钓鱼即服务驱动下勒索软件入口演变与MFA绕过机制研究
近年来,攻击者持续利用文件格式特性规避传统安全检测机制。2025年9月,Fortinet与BankInfoSecurity披露了一起针对乌克兰政府机构的定向钓鱼活动,其核心特征在于使用可缩放矢量图形(Scalable Vector Graphics, SVG)作为初始载体,通过诱导用户打开伪装成“电子请求”的elektronni_zapit_NPU.svg文件,触发多阶段恶意载荷投递链。该链条依次涉及浏览器重定向、密码保护ZIP压缩包下载、Compiled HTML Help(CHM)文件执行,并最终部署Amatera信息窃取器与PureMiner加密货币挖矿程序。本文系统剖析此攻击链的技术实现细节,重点揭示SVG在现代邮件安全体系中的检测盲区、CHM文件的代码执行能力及其与HTML Application(HTA)脚本宿主的协同滥用机制。在此基础上,提出分层防御框架,涵盖邮件网关策略强化、端点执行环境限制、沙箱行为增强及威胁狩猎指标构建。通过提供SVG内容解析、CHM行为模拟与自动化提取的代码示例,本文为安全运维人员提供可操作的技术工具,旨在提升对灰区文件格式攻击的识别与阻断能力。
30710编辑于 2025-12-12 - 来自专栏公共互联网反网络钓鱼(APCN)
钓鱼套件“军火化”:GhostFrame、BlackForce等新型工具正绕过MFA,大规模窃取数字身份
BlackForce、GhostFrame、InboxPrime AI及混合型“Salty-Tycoon”在内的新一代钓鱼套件正以“即服务”(PhaaS)模式在地下市场泛滥,其自动化程度、隐蔽性和绕过多因素认证(MFA 三、技术深剖:三大套件如何绕过MFA,直取数字身份(1)BlackForce:中间人浏览器注入,让MFA形同虚设传统观点认为,启用短信或TOTP(基于时间的一次性密码)即可防御钓鱼。 Real-time Proxy)机制:当用户访问钓鱼页时,BlackForce后台立即向真实目标网站(如login.microsoft.com)发起请求,将用户输入的账号密码同步提交,并将真实网站返回的MFA /sso',data={'login': email, 'passwd': password})# 若返回MFA页面,则原样返回给用户if "proofup" in real_resp.url:return 五、防御破局:从“凭证中心”转向“设备+行为”信任模型面对能绕过MFA的钓鱼套件,芦笛直言:“是时候重新思考‘身份验证’的本质了。”他提出三大技术方向:1.
22910编辑于 2026-01-09 - 来自专栏公共互联网反网络钓鱼(APCN)
针对加密货币平台的多阶段MFA钓鱼攻击机理与防御
近期,针对加密货币经纪平台Bitpanda的多步骤多因素认证(MFA)钓鱼活动揭示了攻击者从单纯窃取凭证向大规模收集个人身份信息(PII)的战略转变。 该网站不仅在视觉上与官方页面高度一致,更关键的是,它模拟了完整的MFA验证流程。 现有防御机制往往假设MFA是安全的终点,忽视了MFA流程本身被仿冒的风险。 5.2 MFA协议的升级与抗钓鱼改造现有的基于短信验证码或TOTP(时间同步一次性密码)的MFA机制极易被钓鱼网站模拟。平台应加速向抗钓鱼的认证协议迁移,首选FIDO2/WebAuthn标准。 单纯依赖用户辨别能力或静态的MFA验证已无法应对此类高级威胁。未来的安全防御必须向动态化、智能化和协议底层化方向发展。
14210编辑于 2026-03-04
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号