Others
目录
无密码认证
现状
- 针对密码的攻击是 Public Breach 的 No1
- 通过克隆 SIM 来劫持短信验证码,进而绕过 MFA
- 应用本身存在漏洞,可以用于 bypass MFA(MiTM reverse proxy)
- MFA 轰炸:发送很多 MFA 请求,用户疲于验证则可能错误放行一些 MFA 请求
- 通过恶意软件直接窃取用户的 Cookie
传统的 Kerberos 中会使用密码进行登录,在 passwordless 中,一旦用户通过 Okta 等 SSO 登录之后,访问 legacy 网站时,可以使用 SSO 来进行认证,而不需要输入 Kerberos 密码。
底层机制:
- 用户登录 OS(使用 PIN 或者指纹)
- 用户登录 GP,完成准入(使用 Okta SSO)
- 用户访问 Legacy Kerberos App
- PANW 防火墙上的 Proxy 代替用户获取 Kerberos ticket
- 防火墙返回 SAML Assertion 给用户