Implementacja uwierzytelniania wieloskładnikowego (MFA) to doskonała strategia zwiększania bezpieczeństwa kont internetowych, ale wyrafinowane ataki typu phishing mogą ominąć MFA. Rozważ więc przyjęcie silnej, odpornej na phishing metody MFA do walki z nowoczesnymi kampaniami phishingowymi.
W jaki sposób tradycyjne MFA jest podatne na ataki typu phishing? Co to jest odporne na phishing rozwiązanie MFA i jak może zapobiegać atakom phishingowym?
Co to jest uwierzytelnianie wieloskładnikowe?
Jak sugeruje termin, uwierzytelnianie wieloskładnikowe wymaga przedstawienia dwóch lub więcej czynników weryfikacyjnych w celu uzyskania dostępu do kont.
Czynnik w procesie uwierzytelniania jest sposobem weryfikacji Twojej tożsamości podczas próby zalogowania.
Najczęstsze czynniki to:
- Coś, co wiesz: zapamiętane hasło lub PIN
- Coś, co masz: bezpieczny klucz USB lub posiadany smartfon
- Coś, czym jesteś: rozpoznawanie twarzy lub odcisk palca
Uwierzytelnianie wieloskładnikowe dodaje dodatkowe warstwy bezpieczeństwa do Twoich kont. To jak dodanie drugiego lub trzeciego zamka do szafki.
W typowym procesie uwierzytelniania wieloskładnikowego najpierw należy wprowadzić hasło lub kod PIN. Wtedy możesz otrzymać drugi czynnik na swoim smartfonie. Tym drugim czynnikiem może być SMS lub powiadomienie w aplikacji uwierzytelniającej. W zależności od ustawień usługi MFA może być wymagana weryfikacja tożsamości za pomocą danych biometrycznych.
Tam są wiele powodów, aby korzystać z uwierzytelniania wieloskładnikowego, ale może całkowicie oprzeć się phishingowi?
Niestety, odpowiedź brzmi „nie”.
Cyberzagrożenia dla uwierzytelniania wieloskładnikowego
Chociaż metody MFA są bezpieczniejsze niż metody uwierzytelniania jednoskładnikowego, cyberprzestępcy mogą je wykorzystywać przy użyciu różnych technik.
Oto sposoby, w jaki hakerzy mogą ominąć MFA.
Ataki brutalnej siły
Jeśli hakerzy mają twoje dane logowania i ustawiłeś 4-cyfrowy kod PIN, który ma być używany jako drugi czynnik, mogą przeprowadzać ataki siłowe, aby odgadnąć kod zabezpieczający w celu ominięcia wieloczynnikowego uwierzytelnianie.
Hakowanie karty SIM
Obecnie cyberprzestępcy wykorzystują techniki takie jak zamiana kart SIM, klonowanie kart SIM i podłączanie kart SIM do zhakuj swoją kartę SIM. A kiedy przejmą kontrolę nad Twoją kartą SIM, mogą łatwo przechwycić drugi czynnik oparty na SMS-ach, naruszając mechanizm MFA.
Ataki zmęczenia MSZ
w Atak zmęczenia MFA, haker bombarduje Cię lawiną powiadomień push, dopóki się nie poddasz. Gdy zatwierdzisz prośbę o zalogowanie, haker będzie mógł uzyskać dostęp do Twojego konta.
Przeciwnik w środkowych atakach
Hakerzy mogą używać platform AiTM, takich jak Evilginx, do przechwytywania zarówno danych logowania, jak i tokena drugiego czynnika. Następnie mogą zalogować się na twoje konto i zrobić każdą paskudną rzecz, która im się spodoba.
Ataki typu pass-the-cookie
Po zakończeniu procesu uwierzytelniania wieloskładnikowego tworzony jest plik cookie przeglądarki, który jest przechowywany dla Twojej sesji. Hakerzy mogą wyodrębnić ten plik cookie i użyć go do rozpoczęcia sesji w innej przeglądarce w innym systemie.
Wyłudzanie informacji
Phishing, jeden z najbardziej popularne taktyki socjotechniczne, jest często używany do uzyskiwania dostępu do drugiego czynnika, gdy cyberprzestępca ma już Twoją nazwę użytkownika i hasło.
Na przykład korzystasz z dostawcy oprogramowania jako usługi (SaaS), a Twoje dane logowania są zagrożone. Haker zadzwoni do Ciebie (lub wyśle e-mail), podając się za dostawcę SaaS, aby poprosić o weryfikację drugiego czynnika. Gdy udostępnisz kod weryfikacyjny, haker będzie mógł uzyskać dostęp do Twojego konta. Mogą też kraść lub szyfrować dane, które mają wpływ na Ciebie i Twojego dostawcę.
W dzisiejszych czasach hakerzy zatrudniają zaawansowane techniki phishingu. Uważaj więc na ataki phishingowe.
Co to jest MFA odporne na phishing?
Usługa MFA odporna na phishing jest niewrażliwa na wszelkiego rodzaju socjotechniki, w tym ataki phishingowe, ataki polegające na upychaniu danych uwierzytelniających, ataki typu Man-in-the-Middle i inne.
Ponieważ w centrum ataków socjotechnicznych znajdują się ludzie, MFA odporne na phishing usuwa czynnik ludzki z procesu uwierzytelniania.
Aby można było uznać mechanizm MFA odporny na phishing, uwierzytelniacz powinien być kryptograficznie powiązany z domeną. I powinien rozpoznać fałszywą domenę stworzoną przez hakera.
Poniżej przedstawiono działanie technologii MFA odpornej na phishing.
Stwórz silne wiązanie
Oprócz rejestracji swojego tokena uwierzytelniającego, dokonasz rejestracji kryptograficznej, w tym sprawdzanie tożsamości, aby stworzyć silne powiązanie między Twoim uwierzytelniającym a tożsamością dostawca (IDP). Umożliwi to Twojemu uwierzytelniaczowi zidentyfikowanie fałszywych stron internetowych.
Skorzystaj z kryptografii asymetrycznej
Solidne powiązanie dwóch stron w oparciu o kryptografię asymetryczną (kryptografia z kluczem publicznym) eliminuje potrzebę współdzielenia tajemnic, takich jak hasła.
Do rozpoczęcia sesji wymagane będą oba klucze (publiczny i prywatny). Hakerzy nie mogą się uwierzytelnić, aby się zalogować, ponieważ klucze prywatne będą bezpiecznie przechowywane w sprzętowych kluczach bezpieczeństwa.
Odpowiadaj tylko na ważne żądania uwierzytelnienia
Usługa MFA odporna na phishing odpowiada tylko na prawidłowe żądania. Wszelkie próby podszywania się pod uzasadnione żądania zostaną udaremnione.
Zweryfikuj zamiar
Uwierzytelnianie MFA odporne na phishing musi sprawdzać intencje użytkownika, monitując użytkownika o podjęcie akcji wskazującej na aktywne zaangażowanie użytkownika w uwierzytelnianie żądania logowania.
Dlaczego warto wdrożyć MFA odporne na phishing
Wdrożenie MFA odpornego na phishing oferuje wiele korzyści. Eliminuje czynnik ludzki z równania. Ponieważ system może automatycznie wykryć fałszywą stronę internetową lub żądanie nieautoryzowanego uwierzytelnienia, może zapobiegać wszelkim atakom phishingowym mającym na celu nakłonienie użytkowników do podania danych logowania. W rezultacie MFA odporne na phishing może zapobiegać naruszeniom danych w Twojej firmie.
Co więcej, dobre MFA odporne na phishing, takie jak najnowsza metoda uwierzytelniania FIDO2, poprawia wrażenia użytkownika. Wynika to z faktu, że możesz korzystać z danych biometrycznych lub łatwych do wdrożenia kluczy bezpieczeństwa, aby uzyskać dostęp do swoich kont.
Wreszcie, odporne na phishing MFA zwiększa bezpieczeństwo Twoich kont i urządzeń, poprawiając w ten sposób pastwisko cyberbezpieczeństwa W twojej firmie.
Amerykańskie Biuro Zarządzania i Budżetu (OMB) wydało tzw Dokument federalnej strategii zerowego zaufania, który wymaga, aby agencje federalne do końca 2024 roku korzystały wyłącznie z MFA odpornego na phishing.
Możesz więc zrozumieć, że MFA odporne na phishing ma kluczowe znaczenie dla cyberbezpieczeństwa.
Jak wdrożyć MFA odporne na phishing
Według Raport o stanie bezpiecznej tożsamości przygotowanych przez zespół Auth0 firmy Okta, rośnie liczba ataków omijających MFA.
Ponieważ phishing jest wiodącym wektorem ataków w przypadku ataków opartych na tożsamości, wdrożenie odpornego na phishing uwierzytelniania wieloskładnikowego może pomóc w zabezpieczeniu kont.
Uwierzytelnianie FIDO2/WebAuthn to szeroko stosowana metoda uwierzytelniania odporna na phishing. Pozwala używać popularnych urządzeń do uwierzytelniania w środowiskach mobilnych i stacjonarnych.
Uwierzytelnianie FIDO2 zapewnia silne bezpieczeństwo dzięki kryptograficznym poświadczeniom logowania unikalnym dla każdej witryny. A dane logowania nigdy nie opuszczają Twojego urządzenia.
Co więcej, możesz użyć wbudowanych funkcji swojego urządzenia, takich jak czytnik linii papilarnych, aby odblokować kryptograficzne dane logowania.
Możesz sprawdź produkty FIDO2 wybrać odpowiedni produkt do wdrożenia odpornego na phishing MFA.
Innym sposobem wdrożenia MFA odpornego na phishing jest wykorzystanie rozwiązań opartych na infrastrukturze klucza publicznego (PKI). Karty inteligentne PIV, karty kredytowe i e-paszporty korzystają z tej technologii opartej na PKI.
Odporne na phishing MFA to przyszłość
Ataki phishingowe są coraz częstsze, a wdrażanie wyłącznie tradycyjnych metod uwierzytelniania wieloskładnikowego nie zapewnia ochrony przed wyrafinowanymi kampaniami phishingowymi. Zaimplementuj więc MFA odporne na phishing, aby uniemożliwić hakerom przejęcie Twoich kont.
