【安全资讯】凭证泄露后，传统多因素认证（MFA）为何形同虚设？

概要：

在网络安全领域，多因素认证（MFA）长期以来被视为账户安全的最后防线。然而，近期金融科技公司Figure的数据泄露事件暴露了近百万条电子邮件记录，揭示了当攻击者掌握有效凭证后，传统MFA机制可能不堪一击。这一事件凸显了现代网络攻击已从技术漏洞利用转向针对身份验证体系本身的系统性弱点，对金融、科技等依赖数字身份验证的行业构成了严峻挑战。

主要内容：

Figure公司泄露的96.7万条电子邮件记录本身并非漏洞利用的结果，却为后续攻击链提供了关键“库存”。攻击者利用这些数据并行开展三大自动化工作流：凭证填充攻击、AI驱动的精准钓鱼以及针对IT服务台的社会工程学攻击。这些攻击均无需利用技术漏洞，其核心目标是“以合法用户身份登录”，直接绕过了传统安全边界。

传统MFA（如推送通知、短信验证码、TOTP动态令牌）在面对实时钓鱼中继攻击时存在根本缺陷。攻击者使用如Evilginx等公开工具包建立反向代理，在用户与真实服务之间进行中间人拦截。当用户在仿冒页面输入凭证时，代理会实时将其转发至真实站点并中继MFA质询。由于MFA提示本身是真实的，用户极易在无察觉的情况下完成验证，使攻击者获得合法会话。

更深层的问题是传统身份验证架构无法回答关键问题：授权用户本人在认证时刻是否物理在场并完成了生物特征验证？推送通知、短信代码等仅验证了代码交换，无法区分直接会话与被代理的会话。审计方与监管机构日益要求证明“授权个体在场”，而设备在场已不能等同于人在场。

真正能抵御中继攻击的钓鱼抵抗型认证需同时具备三大属性：密码学源绑定确保凭证与特定域名数学绑定；硬件绑定私钥永不离开安全硬件；实时生物特征验证确认授权者物理在场。只有满足所有这些条件，中继攻击才无计可施。当前许多MFA方案将最终决策点置于用户，而攻击工具链正专门利用这一人为弱点。