双因素身份验证拦截

建议使用双因素或多因素身份验证，这提供比仅使用用户名和密码更高级别的安全性，但组织应该了解可以用来拦截和绕过这些安全机制的技术。 攻击者可能攻击身份验证机制（如智能卡），以获取对系统，服务和网络资源的访问权限。 如果使用智能卡进行双因素身份验证 (2FA)，则在正常使用期间需要使用键盘记录器获取与智能卡关联的密码。 通过插入的卡和对智能卡密码的访问，攻击者可以利用受感染的系统连接到网络资源，并用插入的硬件令牌代理身份验证。

攻击者也可以使用键盘记录程序以类似的方式破解其他硬件令牌，比如 RSA SecurID。 捕获令牌输入（包括用户的个人标识码）可以提供临时访问（即重放一次性密码直到变为下个值），并可能使攻击者可靠地预测未来的身份验证值（给予对算法和用于生成附加临时代码的任何种子值的访问权）。

2FA 的其他方法可能被攻击者拦截并被用于身份验证。 通常通过带外通信（电子邮件、短信）发送一次性代码。 如果设备和/或服务不安全，那么它可能很容易被拦截。 虽然主要集中在网络罪犯，这些认证机制已成为高级攻击者的目标。

缓解

在不使用智能卡时请将其移除。 保护用于传输和接收带外（out-of-band）代码的设备和服务。 在适当的情况下使用白名单工具（如 AppLocker，或软件限制策略），识别并阻止可能用于拦截系统上 2FA 凭据的潜在恶意软件。

检测

检测攻击者使用代理智能卡连接可能比较困难，因为它需要将令牌插入系统中；因此，它更有可能被合法用户使用并与其他网络行为结合。 与输入捕获类似，键盘记录活动可以采用各种形式，但可以通过安装驱动程序、设置 hook 或使用与轮询拦截键盘击键相关的特定 API 调用来检测。