帳號竊取仍是最大資安威脅,AI時代MFA如何進化?
Posted On 2025 年 3 月 17 日
文:Anson
重大訊息公告規範的變更
近年來,資安攻擊手法層出不窮,但在所有的攻擊向量中,「帳號竊取」仍然是駭客最愛的方式之一。根據最新的資安報告,憑證竊取、釣魚攻擊與密碼暴力破解等手法,依然是導致企業與個人資料外洩的主要原因。
然而,隨著人工智慧(AI)技術的進步,傳統的多因素驗證(MFA)機制正面臨新的挑戰。許多企業與使用者過去倚賴的驗證方式,已逐漸無法有效抵禦新型態攻擊,甚至可能成為駭客繞過資安防護的突破點。
AI技術進步,傳統MFA逐漸失效
MFA 長期以來被視為提升帳號安全的關鍵措施,然而駭客的手法也隨之進化。透過 AI 生成的釣魚網站、社交工程攻擊,甚至是攔截驗證碼的惡意軟體,許多企業開始發現傳統的 MFA 方式,如一次性密碼(OTP)、簡訊驗證碼(SMS 2FA)等,正逐步失去效用。
以近期微軟 Authenticator 的漏洞AuthQuake為例,攻擊者可以利用 Windows 推播通知機制進行「MFA 疲勞攻擊」(MFA Fatigue Attack),透過不斷發送驗證請求,使得使用者因為疲於應對而誤點通過驗證,導致帳號被劫持。這類攻擊顯示,即使採用了 MFA,若是驗證機制不夠強化,仍然可能被駭客輕易繞過。
美國 FBI 與 CISA:企業應採用防釣魚 MFA
面對 MFA 的弱點,美國聯邦調查局(FBI)與美國網路安全與基礎設施安全局(CISA)近期聯合發布公告(公告編號 AA24-242A),建議企業應優先採用「防釣魚的 MFA(Phishing-Resistant MFA)」。
這類 MFA 技術包含公私鑰驗證(如 FIDO2)、基於硬體安全模組(HSM)的解決方案,或是生物辨識驗證。透過這些技術,使用者無需輸入傳統的 OTP,而是透過裝置內建的安全憑證或生物特徵來進行身份驗證,大幅降低釣魚攻擊成功的可能性。
OETH:專為 AI 時代設計的防釣魚 MFA
面對這些資安挑戰,我們的 OETH 解決方案提供更安全的身份驗證方式。OETH 採用基於 FIDO 標準的無密碼驗證技術,結合生物辨識與硬體安全機制,確保使用者帳號在任何環境下都能安全存取,無懼 AI 釣魚攻擊。
與傳統 MFA 相比,OETH 不僅提供更高強度的防護,還能有效減少使用者因頻繁驗證而感到疲勞,提升安全性與使用體驗。
隨著 AI 技術的不斷演進,駭客的攻擊手法也愈趨精細,帳號竊取仍是企業與個人最需關注的資安風險。傳統 MFA 已逐漸無法有效防禦新型態攻擊,因此企業應採用更安全的防釣魚 MFA,如 OETH,以確保帳號與資料的安全。
未來的身份驗證不僅要防駭客,更要適應新技術帶來的挑戰。現在,就是升級身份驗證機制的最佳時機!
訂閱偉康科技洞察室部落格,掌握最新科技趨勢!
專人協助
由偉康業務人員為您詳細說明偉康的解決方案,以及相關產業經驗。
About The Author
