為加快轉向零信任架構，落實零信任戰略，美國白宮管理與預算辦公室正著手推進一項反網絡釣魚計劃，這將是下一階段聯邦機構的重大任務；

　　該計劃將淘汰基于短信/郵件/應用的多因素認證，這些技術均已被網絡釣魚破解，轉為部署硬件安全密鑰和單點登錄技術；

　　強身份驗證是零信任架構的基礎組件，反網絡釣魚的多因素身份驗證也將成為聯邦政府安全基線中的重要組成部分。

　　美國白宮正著手推進一項雄心勃勃的計劃，希望顯著降低美國政府遭遇網絡釣魚侵擾的風險。其中的典型方法包括逐步淘汰基于短信/郵件/應用程序的多因素身份驗證，轉而替換為硬件安全密鑰等反網絡釣魚解決方案。

　　白宮管理與預算辦公室（OMB）的一位官員在電話采訪中表示，該計劃是聯邦政府接下來的一項重大任務。OMB認為這項網絡釣魚緩解措施代表著聯邦政府向“零信任”架構邁出的重要一步。

　　在這種新型架構中，組織的保護能力不再立足于對任何特定系統、網絡或服務的信任。相反，零信任系統會對試圖訪問系統的一切其他系統或個人執行驗證。這位官員指出，從本質上講，任何嘗試登錄政府網站或服務的訪問者都應接受對其聲稱身份與實際身份的嚴格驗證。而這項工作的前提，又落在了加強防范網絡釣魚上。

　　這位官員解釋道，管理與預算辦公室特別關注那些自動化、低成本且可擴展的網絡釣魚攻擊活動。這類服務能夠以“令人信服”的方式仿冒政府網站，還能從受害者手中騙取多因素身份驗證令牌。這位官員表示，通過短信、電子郵件發送或顯示在獨立應用內的一次性驗證碼，如今都已逐漸失去安全性。

　　事實上，這幾種多因素身份驗證令牌都可能以某種形式被釣魚或其他方式所劫持。SIM卡交換、針對電信員工的欺詐或賄賂、將受害者短信重新定向至黑客自己的手機等方法，都能成功獲取到目標人物的密碼或登錄令牌。此外，釣魚網站還可以請求由Google Authenticator等應用程序生成的用戶驗證碼。這位官員指出，某些多因素身份驗證系統使用的推送通知功能同樣可能受釣魚活動影響，例如通過惡意站點觸發這些彈窗并要求受害者批準登錄嘗試。

　　加快部署硬件安全密鑰和單點登錄技術

　　好消息是，硬件安全密鑰等解決方案不會受到釣魚活動的影響。

　　管理與預算辦公室最近發布了其聯邦零信任戰略草案。這份草案并沒有向機構明確指定應使用哪些產品，例如Yubikey、Google Titan等。相反，其中僅提到PIV（個人身份驗證）卡以及WebAuthn（一種允許使用硬件安全密鑰進行網站登錄的Web規范）。草案寫道，各機構必須在應用層面為機構雇員、承包商以及合作伙伴提供遏制網絡釣魚影響的多因素身份驗證方案。

　　美國聯邦政府機關數量眾多，而且大部分擁有自己的特定系統與基礎設施，對這套龐大的體系進行全面多因素身份驗證升級聽起來令人生畏。但這位官員表示，美國政府在這項工作上仍然具有優勢：他們已經在部分建筑物及系統的訪問/登錄中使用到PIV卡。而對網絡釣魚的防范，也可以說是把相同的指導原則擴展到使用U盤式密鑰登錄更多系統。當然，這項工作需要對機構內的基礎設施加以更新，再由各部門完成個人用戶卡片分發與使用方法培訓等工作。

　　管理與預算辦公室還建議各級部門建立單點登錄（SSO）服務。在這套體系中，用戶不再需要獨立登錄各個站點，而是可以通過單一總體系統（例如Okta）進行身份驗證，之后由該系統處理面向不同服務的登錄操作。這位官員介紹道，考慮到某些政府機關的規模較大，因此將多種不同身份系統整合起來可能效果更好，這樣可以減少保護對象數量、降低多因素身份驗證的實現難度等。該官員還補充道，單點登錄也是可用性與安全性有機結合的理想案例。

　　至于當下的工作，管理與預算辦公室計劃將最終確定聯邦政府零信任戰略文件，再與各級政府機構合作推進并監督后續的安全調整工作。

　　草案中寫道，“強身份驗證是零信任架構中的基礎組件，而多因素身份驗證也將成為聯邦政府安全基線中的重要組成部分。”