多因素认证拦截

对手可能会针对多因素认证（MFA）机制（即智能卡、令牌生成器等）以获取可用于访问系统、服务和网络资源的凭据。使用MFA是推荐的，并提供比仅用户名和密码更高的安全级别，但组织应意识到可能用于拦截和绕过这些安全机制的技术。 如果智能卡用于多因素认证，则需要使用键盘记录器获取与智能卡关联的密码。在正常使用期间，插入卡并访问智能卡密码的对手可以使用受感染的系统代理插入的硬件令牌进行身份验证。(引用: Mandiant M Trends 2011) 对手还可能使用键盘记录器类似地针对其他硬件令牌，如RSA SecurID。捕获令牌输入（包括用户的个人识别码）可能提供临时访问（即重放一次性密码，直到下一个值翻转）以及可能使对手能够可靠地预测未来的认证值（假设访问生成附加临时代码的算法和任何种子值）。(引用: GCN RSA June 2011) 其他MFA方法可能被对手拦截并用于身份验证。一次性代码通过带外通信（电子邮件、SMS）发送是常见的。如果设备和/或服务未加密，则可能容易被拦截。服务提供商也可能成为目标：例如，对手可能会妥协SMS消息服务以窃取发送到用户手机的MFA代码。(引用: Okta Scatter Swine 2022)