隨著生物辨識、通行金鑰和硬體認證令牌等無密碼認證技術蓬勃發展,資安界卻面臨一個嚴重問題:帳號復原機制的安全性遠遠跟不上創新腳步。這個落差正為企業和個人用戶帶來前所未有的風險。
Nokia 貝爾實驗室高級安全研究科學家 Sid Rao 與 Wolt 安全工程師 Gabriela Sonkeria 在今年 Black Hat USA 資安大會上發表研究指出,現行復原機制普遍依賴電子郵件和簡訊等不安全通訊管道。更令人意外的是,統計數據顯示五分之四的用戶在過去 90 天內曾忘記密碼,且 25% 的用戶每天都需要使用復原機制。
這項發現凸顯帳號復原已成為日常網路使用的必要功能,而非偶發需求。然而,不論攻擊者技術水準如何,都能輕易利用復原機制漏洞執行帳號劫持或永久封鎖用戶帳號。
22 大網站測試揭露三大安全缺陷
研究團隊針對 22 個最受歡迎網站進行深度測試,設計正常用戶與惡意攻擊者兩種角色,模擬各種可疑行為模式,包括異地登入、更換瀏覽器等情境。透過虛擬機、多種瀏覽器和代理伺服器建置的測試環境,研究人員發現三大類安全漏洞:
- 設計缺陷:多數網站在允許用戶透過電子郵件或手機進行復原前,未要求用戶證明確實擁有這些通訊管道
- 安全政策不足:驗證方法不一致,且系統允許多個工作階段同時存在
- 缺乏最佳實踐:復原過程明顯缺乏多因素驗證機制
最令人擔憂的情況是,當駭客成功變更密碼並取得存取權後,合法用戶無法登入自己帳號,只能再次觸發復原流程。這演變成一場無止境的拉鋸戰:雙方輪流控制帳號,而帳號擁有者往往無法察覺異常活動實為惡意攻擊所致。
在無密碼環境中,駭客甚至可以將復原方式改為自己偏好的驗證方式,進而導致帳號被永久鎖定,這成為無密碼時代的「隱藏風險」。
防護建議:用戶與服務商的雙重責任
面對這些挑戰,專家建議採取以下防護措施:
用戶端:
服務提供商端:
- 建立強健的預設工作階段處理流程
- 實施完成復原後終止現有登入工作階段並發出警報
- 要求使用新憑證並使舊憑證失效
- 加強復原流程的多因素驗證機制
隨著無密碼認證技術持續演進,如何平衡用戶體驗與安全性,將是資安業界必須正視的重要課題。唯有用戶與服務提供商攜手合作,才能在享受便利的同時確保帳號安全。
本文轉載自 DarkReading。