Implementarea autentificării multi-factor (MFA) este o strategie excelentă pentru a consolida securitatea conturilor dvs. online, dar atacurile sofisticate de phishing pot ocoli MFA. Prin urmare, luați în considerare adoptarea unei metode MFA puternice, rezistente la phishing, pentru a lupta împotriva campaniilor moderne de phishing.
Cum este MFA tradițional susceptibil la atacuri de tip phishing? Ce este o soluție MFA rezistentă la phishing și cum poate preveni atacurile de phishing?
Ce este autentificarea cu mai mulți factori?
După cum sugerează termenul, autentificarea cu mai mulți factori necesită să prezentați doi sau mai mulți factori de verificare pentru a vă accesa conturile.
Un factor în procesul de autentificare este un mijloc de a vă verifica identitatea atunci când încercați să vă conectați.
Cei mai comuni factori sunt:
- Ceva ce stii: o parolă sau un cod PIN de care vă amintiți
- Ceva ce ai: o cheie USB securizată sau un smartphone pe care îl aveți
- Ceva tu esti: recunoașterea facială sau amprenta dvs
Autentificarea cu mai mulți factori adaugă straturi suplimentare de securitate conturilor dvs. Este ca și cum ai adăuga un al doilea sau al treilea încuietor la dulapul tău.
Într-un proces tipic de autentificare cu mai mulți factori, mai întâi veți introduce parola sau codul PIN. Apoi, este posibil să primiți al doilea factor pe smartphone. Acest al doilea factor poate fi un SMS sau o notificare pe o aplicație de autentificare. În funcție de setările dvs. MFA, este posibil să aveți nevoie să vă verificați identitatea prin biometrie.
Sunt multe motive pentru a utiliza autentificarea cu mai mulți factori, dar poate rezista complet phishing-ului?
Din păcate, răspunsul este „nu”.
Amenințări cibernetice la adresa autentificării cu mai mulți factori
Deși metodele MFA sunt mai sigure decât metodele de autentificare cu un singur factor, actorii amenințărilor le pot exploata folosind diferite tehnici.
Iată modalități prin care hackerii pot ocoli MFA.
Atacurile cu forță brută
Dacă hackerii au acreditările dvs. de conectare și ați setat un PIN din 4 cifre pentru a fi utilizat ca al doilea factor, pot efectua atacuri cu forță brută pentru a ghici codul de securitate pentru a ocoli factorii multipli autentificare.
Hacking SIM
În zilele noastre, actorii amenințărilor folosesc tehnici precum schimbarea SIM, clonarea SIM și conectarea SIM la spargeți cartela SIM. Și odată ce au controlul asupra SIM-ului dvs., ei pot intercepta cu ușurință al doilea factor bazat pe sms, compromițând mecanismul dvs. MFA.
Atacurile de oboseală MFA
Într-un Atacul de oboseală MFA, un hacker te bombardează cu un val de notificări push până ce cedezi. Odată ce ați aprobat cererea de conectare, hackerul vă poate accesa contul.
Adversarul în Atacurile din mijloc
Hackerii pot folosi cadre AiTM precum Evilginx pentru a intercepta atât acreditările de conectare, cât și cel de-al doilea factor. Apoi se pot conecta la contul tău și pot face orice lucru urât care le place.
Atacurile de tip pass-the-cookie
Odată ce finalizați procesul de autentificare cu mai mulți factori, un cookie de browser este creat și păstrat pentru sesiunea dvs. Hackerii pot extrage acest cookie și îl pot folosi pentru a începe o sesiune într-un alt browser pe un alt sistem.
phishing
Phishing, unul dintre cele mai multe tactici comune de inginerie socială, este adesea folosit pentru a accesa al doilea factor atunci când actorul amenințării are deja numele dvs. de utilizator și parola.
De exemplu, utilizați un furnizor de software-as-a-service (SaaS), iar acreditările dvs. de conectare sunt compromise. Un hacker vă va suna (sau vă va trimite un e-mail) pretinzându-vă ca furnizorul dvs. SaaS pentru a solicita al doilea factor pentru verificare. Odată ce partajați codul de verificare, hackerul vă poate accesa contul. Și pot fura sau cripta datele care vă afectează pe dvs. și pe furnizorul dvs.
În aceste zile, hackerii angajează tehnici avansate de phishing. Așa că ai grijă la atacurile de tip phishing.
Ce este MFA rezistent la phishing?
MFA rezistent la phishing este insensibil la toate tipurile de inginerie socială, inclusiv atacuri de phishing, atacuri de completare a acreditărilor, atacuri Man-in-the-Middle și multe altele.
Întrucât oamenii se află în centrul atacurilor de inginerie socială, MFA rezistent la phishing elimină elementul uman din procesul de autentificare.
Pentru a fi considerat un mecanism MFA rezistent la phishing, autentificatorul ar trebui să fie legat criptografic de domeniu. Și ar trebui să recunoască un domeniu fals creat de un hacker.
Iată cum funcționează tehnologia MFA rezistentă la phishing.
Creați o legare puternică
Pe lângă înregistrarea autentificatorului, veți finaliza o înregistrare criptografică, inclusiv verificarea identității, pentru a crea o legătură puternică între autentificator și identitate furnizor (IDP). Acest lucru va permite autentificatorului dvs. să identifice site-uri web false.
Utilizați criptografia asimetrică
O legare solidă a două părți bazată pe criptografia asimetrică (criptografia cu cheie publică) elimină nevoia de secrete partajate, cum ar fi parolele.
Pentru a începe sesiunile, vor fi necesare ambele chei (chei publice și chei private). Hackerii nu se pot autentifica pentru a se conecta, deoarece cheile private vor fi stocate în siguranță în cheile de securitate hardware.
Răspundeți numai la solicitările de autentificare valide
MFA rezistent la phishing răspunde numai solicitărilor valide. Toate încercările de uzurpare a identității cererilor legitime vor fi zădărnicite.
Verificați intenția
Autentificarea MFA rezistentă la phishing trebuie să valideze intenția utilizatorului, solicitând utilizatorului să ia o acțiune care indică implicarea activă a utilizatorului pentru autentificarea cererii de conectare.
De ce ar trebui să implementați MFA rezistent la phishing
Adoptarea MFA rezistentă la phishing oferă multiple beneficii. Elimină elementul uman din ecuație. Deoarece sistemul poate detecta automat un site web fals sau o solicitare de autentificare neautorizată, poate preveni toate tipurile de atacuri de tip phishing care vizează păcălirea utilizatorilor pentru a oferi acreditările de conectare. În consecință, MFA rezistent la phishing poate preveni încălcarea datelor în compania dvs.
În plus, un MFA bun rezistent la phishing, precum cea mai recentă metodă de autentificare FIDO2, îmbunătățește experiența utilizatorului. Acest lucru se datorează faptului că puteți utiliza elemente biometrice sau chei de securitate ușor de implementat pentru a vă accesa conturile.
Nu în ultimul rând, MFA rezistent la phishing mărește securitatea conturilor și dispozitivelor dvs., îmbunătățind astfel pășune de securitate cibernetică in compania ta.
Oficiul SUA de Management și Buget (OMB) a emis Document Federal Zero Trust Strategy, care impune agențiilor federale să folosească numai MFA rezistent la phishing până la sfârșitul anului 2024.
Astfel, puteți înțelege că MFA rezistent la phishing este esențial pentru securitatea cibernetică.
Cum se implementează MFA rezistent la phishing
In conformitate cu Raport privind starea identității securizate pregătite de echipa Auth0 a lui Okta, atacurile de bypass MFA sunt în creștere.
Întrucât phishing-ul este principalul vector de atac în atacurile bazate pe identitate, implementarea autentificării multi-factor rezistente la phishing vă poate ajuta să vă securizați conturile.
Autentificarea FIDO2/WebAuthn este o metodă de autentificare rezistentă la phishing pe scară largă. Vă permite să utilizați dispozitive comune pentru a vă autentifica în medii mobile și desktop.
Autentificarea FIDO2 oferă securitate puternică prin acreditările criptografice de conectare unice pentru fiecare site web. Și acreditările de conectare nu părăsesc niciodată dispozitivul dvs.
În plus, puteți utiliza funcțiile încorporate ale dispozitivului dvs., cum ar fi un cititor de amprentă pentru a debloca acreditările criptografice de conectare.
Puteți verificați produsele FIDO2 pentru a selecta produsul potrivit pentru a implementa MFA rezistent la phishing.
O altă modalitate de a implementa MFA rezistent la phishing este utilizarea soluțiilor bazate pe infrastructura cu chei publice (PKI). Cardurile inteligente PIV, cardurile de credit și pașapoartele electronice folosesc această tehnologie bazată pe PKI.
MFA rezistent la phishing este viitorul
Atacurile de phishing sunt în creștere, iar implementarea numai a metodelor tradiționale de autentificare multifactor nu oferă protecție împotriva campaniilor sofisticate de phishing. Prin urmare, implementați MFA rezistent la phishing pentru a împiedica hackerii să vă preia conturile.
