尽管通过短信、电子邮件或移动应用程序的 MFA 比单因素身份验证更安全,但攻击者可以拦截代码(例如 TOTP)。
符合 FIDO2 的密钥(例如 YubiKeys)一旦发布,就无法被攻击者拦截,几乎不可能在没有物理访问的情况下窃取。
身份提供程序通常支持密钥,但可能不允许管理员真正需要密钥。Cloudflare 简化了任何应用程序强制执行 MFA 方法。
最近,130多家公司通过社会工程遭受了一系列类似的账户接管攻击。作为 Zero Trust 战略的一部分,我们强大的身份验证导致了威胁参与者无法成功。
Cloudflare 安全团队收到以下报告:(1)员工收到了看似合法的短信,指向(2) Cloudfleal 的 Okta 登录页面。威胁参与者试图使用泄露的凭据登录时(3-4),他们无法通过 Cloudflare Zero Trust 激活的安全密钥要求。
尽管安全密钥并不是抵御所有攻击的万能措施,但它们加强了屏障,并与其他 Zero Trust 安全措施(如DNS 筛选、浏览器隔离、云电子邮件安全等)协同工作。