過往我們信賴的簡訊（SMS）和驗證器應用程式（Authenticator App）多重驗證（MFA）方式，如今已成為駭客輕易入侵帳戶的破口。文章指出，這些看似安全的防護，實則存在根本缺陷，容易受到釣魚攻擊，造成使用者產生虛假的安全感。即使是新興的通行金鑰（Passkeys），因其雲端同步的特性，也面臨被劫持的風險。

為此，本文提出了Token Ring和Token BioStick等生物辨識硬體驗證器，作為終極解決方案，強調其防釣魚、防竄改、指紋綁定且需實體臨近驗證的特性，才是真正安全的MFA標準。

早期，業界推崇使用簡訊作為MFA的第二重驗證，但由於簡訊容易被攔截，隨後轉而推薦使用驗證器App。然而，即使是驗證器App，雖然避免了簡訊攔截的問題，卻仍無法辨識使用者是否身處合法網站或完美的釣魚網站。這使得時間基礎的驗證碼（TOTP）極易被釣魚、轉發，甚至在設備被入侵時直接被攔截。核心問題在於，現有系統無法有效判斷驗證請求的來源是否合法，這導致即使是不同的驗證系統，也只是同一個安全漏洞的不同變體。

流程與手法

駭客入侵帳戶的手法日益精進，其中最受歡迎的方式是結合釣魚郵件和偽造網站。典型的攻擊流程是：使用者收到一封看似正常的釣魚郵件，點擊後進入一個與合法網站幾乎一模一樣的偽造頁面。使用者在該網站輸入帳號密碼，當收到驗證器App的MFA驗證通知時，使用者會在偽造網站上確認是本人操作。一旦確認，駭客便立即取得所需的驗證資訊，成功登入受害者的真實帳戶。這是因為驗證器App本身並不會驗證誰在請求驗證，或請求來自何處，導致使用者本身成為攻擊的突破口。這些即時的釣魚攻擊能有效規避SMS和驗證器App的防護。

技術與影響

此類攻擊主要利用了社交工程和惡意代理網站的技術，實現實時釣魚（Real-time Phishing）。駭客架設的偽造網站能無縫地代理使用者與真實網站之間的通訊，捕捉並利用動態生成的驗證碼。此攻擊手法直接繞過了傳統MFA的保護，導致多起高知名度企業（如Aflac、Erie Insurance和Philadelphia Insurance Companies）的資料外洩事件。這些事件證明，使用者對MFA的信任可能帶來虛假的安全感，讓他們在面對偽造網站和社交工程威脅時，幾乎毫無防備。即使是通行金鑰（Passkeys），雖然透過密碼學綁定登入憑證，減少人為錯誤，但由於其常透過雲端帳戶同步（如Apple或Google帳戶），一旦這些雲端帳戶被劫持或手機遺失/被盜，所有儲存的通行金鑰也可能隨之曝光。

建議措施

1. 淘汰簡訊（SMS）MFA：應立即停止使用簡訊作為第二因子驗證，美國網路安全和基礎設施安全局（CISA）已明確警告「不要使用簡訊作為第二因子」。
2. 避免依賴傳統驗證器App：儘管優於簡訊，但傳統驗證器App易受釣魚攻擊影響，不應作為唯一的MFA解決方案。
3. 慎用雲端同步通行金鑰：通行金鑰雖有進步，但需注意其雲端同步可能帶來的風險。建議定期審查綁定通行金鑰的雲端帳戶安全，並啟用該雲端帳戶的最強MFA保護。
4. 採用硬體生物辨識驗證器：企業和個人應積極轉向採用如Token Ring和Token BioStick這類專為安全設計的生物辨識硬體驗證器。
5. 提升資安警覺：提高對網路釣魚、偽造網站和社交工程的辨識能力，了解這些攻擊的最新手法。
6. 持續資安教育：企業應定期對員工進行資安意識培訓，並提供最新的威脅情報和防護建議。