Implementace vícefaktorové autentizace (MFA) je vynikající strategií pro posílení bezpečnosti vašich online účtů, ale sofistikované phishingové útoky mohou MFA obejít. Zvažte tedy přijetí silné metody MFA odolné proti phishingu v boji proti moderním phishingovým kampaním.
Jak je tradiční MFA náchylná k phishingovým útokům? Co je řešení MFA odolné proti phishingu a jak může zabránit phishingovým útokům?
Co je vícefaktorová autentizace?
Jak termín napovídá, vícefaktorová autentizace vyžaduje, abyste pro přístup ke svým účtům předložili dva nebo více ověřovacích faktorů.
Faktor v procesu ověřování je prostředek k ověření vaší identity, když se pokoušíte přihlásit.
Nejčastějšími faktory jsou:
- Něco, co víš: heslo nebo PIN, které si pamatujete
- Něco co máš: bezpečný USB klíč nebo chytrý telefon, který máte
- Něco, co jsi: rozpoznávání obličeje nebo otisk prstu
Vícefaktorové ověřování přidává vašim účtům další vrstvy zabezpečení. Je to jako přidat druhý nebo třetí zámek do vaší skříňky.
V typickém procesu vícefaktorové autentizace nejprve zadáte své heslo nebo PIN. Poté můžete na svůj smartphone obdržet druhý faktor. Tímto druhým faktorem může být SMS nebo upozornění na ověřovací aplikaci. V závislosti na vašem nastavení MFA můžete vyžadovat ověření identity pomocí biometrických údajů.
Existují mnoho důvodů pro použití vícefaktorové autentizace, ale dokáže phishingu zcela odolat?
Bohužel odpověď je „ne“.
Kybernetické hrozby pro vícefaktorovou autentizaci
Ačkoli jsou metody MFA bezpečnější než metody jednofaktorové autentizace, aktéři hrozeb je mohou zneužít pomocí různých technik.
Zde jsou způsoby, jak mohou hackeři obejít MFA.
Útoky hrubou silou
Pokud hackeři mají vaše přihlašovací údaje a jako druhý faktor jste nastavili 4místný PIN, mohou provádět útoky hrubou silou, aby uhádli bezpečnostní špendlík, aby obešli multifaktor autentizace.
Hackování SIM karty
Aktéři hrozeb dnes používají techniky, jako je výměna SIM karty, klonování SIM karty a připojení k SIM kartě hacknout vaši SIM kartu. A jakmile budou mít kontrolu nad vaší SIM kartou, mohou snadno zachytit druhý faktor založený na SMS a ohrozit váš mechanismus MFA.
Únavové útoky MFA
V an Únavový záchvat MFA, hacker vás bombarduje přívalem push notifikací, dokud se nevzdáte. Jakmile schválíte žádost o přihlášení, hacker bude mít přístup k vašemu účtu.
Protivník ve středních útocích
Hackeři mohou používat rámce AiTM, jako je Evilginx, k zachycení přihlašovacích údajů i tokenu druhého faktoru. Poté se mohou přihlásit k vašemu účtu a dělat jakoukoli ošklivou věc, která se jim líbí.
Pass-the-Cookie útoky
Jakmile dokončíte proces vícefaktorové autentizace, vytvoří se cookie prohlížeče a uchová se pro vaši relaci. Hackeři mohou tento soubor cookie extrahovat a použít k zahájení relace v jiném prohlížeči na jiném systému.
Phishing
Phishing, jeden z nejčastějších běžné taktiky sociálního inženýrství, se často používá pro přístup k druhému faktoru, když aktér hrozby již má vaše uživatelské jméno a heslo.
Například používáte dodavatele softwaru jako služby (SaaS) a vaše přihlašovací údaje jsou ohroženy. Hacker vám zavolá (nebo pošle e-mail), který se bude vydávat za vašeho dodavatele SaaS a požádá o ověření druhého faktoru. Jakmile sdílíte ověřovací kód, hacker získá přístup k vašemu účtu. A mohou ukrást nebo zašifrovat data ovlivňující vás a vašeho dodavatele.
V těchto dnech zaměstnávají hackeři pokročilé techniky phishingu. Takže pozor na phishingové útoky.
Co je MFA odolná proti phishingu?
MFA odolná proti phishingu je necitlivá na všechny druhy sociálního inženýrství, včetně phishingových útoků, útoků na vycpávání pověření, útoků typu Man-in-the-Middle a dalších.
Protože lidé jsou středem útoků sociálního inženýrství, MFA odolná proti phishingu odstraňuje lidský prvek z procesu ověřování.
Aby byl autentizátor považován za mechanismus MFA odolný proti phishingu, měl by být kryptograficky vázán na doménu. A měl by rozpoznat falešnou doménu vytvořenou hackerem.
Níže je uvedeno, jak funguje technologie MFA odolná proti phishingu.
Vytvořte silnou vazbu
Kromě registrace vašeho autentizátora dokončíte kryptografickou registraci, včetně ověření identity, abyste vytvořili silnou vazbu mezi vaším ověřovatelem a identitou poskytovatel (IDP). To vašemu autentizátoru umožní identifikovat falešné webové stránky.
Využijte asymetrickou kryptografii
Pevná vazba dvou stran založená na asymetrické kryptografii (kryptografie s veřejným klíčem) eliminuje potřebu sdílených tajemství, jako jsou hesla.
Pro zahájení relací budou vyžadovány oba klíče (veřejné klíče i soukromé klíče). Hackeři se nemohou pro přihlášení ověřit, protože soukromé klíče budou bezpečně uloženy v hardwarových bezpečnostních klíčích.
Odpovídejte pouze na platné požadavky na ověření
MFA odolná proti phishingu odpovídá pouze na platné požadavky. Všechny pokusy vydávající se za legitimní požadavky budou zmařeny.
Ověřte záměr
Ověření MFA odolné proti phishingu musí ověřit záměr uživatele tím, že jej vyzve k provedení akce, která indikuje aktivní zapojení uživatele do ověření požadavku na přihlášení.
Proč byste měli implementovat MFA odolné proti phishingu
Přijetí MFA odolného proti phishingu nabízí řadu výhod. Eliminuje lidský prvek z rovnice. Protože systém dokáže automaticky rozpoznat falešné webové stránky nebo neautorizovaný požadavek na ověření, může zabránit všem typům phishingových útoků, jejichž cílem je přimět uživatele, aby prozradil přihlašovací údaje. V důsledku toho mohou MFA odolné proti phishingu zabránit narušení dat ve vaší společnosti.
A co víc, dobrá MFA odolná proti phishingu, jako je nejnovější metoda ověřování FIDO2, zlepšuje uživatelskou zkušenost. K přístupu ke svým účtům totiž můžete použít biometrii nebo snadno implementovatelné bezpečnostní klíče.
V neposlední řadě MFA odolná proti phishingu zvyšuje zabezpečení vašich účtů a zařízení, čímž se zlepšuje pastvina kybernetické bezpečnosti Ve vaší společnosti.
Americký úřad pro řízení a rozpočet (OMB) vydal Dokument Federal Zero Trust Strategy, který vyžaduje, aby federální agentury do konce roku 2024 používaly pouze MFA odolné proti phishingu.
Můžete tedy pochopit, že MFA odolná proti phishingu je pro kybernetickou bezpečnost zásadní.
Jak implementovat MFA odolné proti phishingu
Podle Zpráva o stavu zabezpečené identity připravený týmem Okta's Auth0, MFA bypass útoky jsou na vzestupu.
Vzhledem k tomu, že phishing je předním vektorem útoků v útocích založených na identitě, implementace vícefaktorové autentizace odolné proti phishingu vám může pomoci zabezpečit vaše účty.
FIDO2/WebAuthn Authentication je široce používaná metoda ověřování odolná proti phishingu. Umožňuje používat běžná zařízení k ověřování v mobilních a desktopových prostředích.
Autentizace FIDO2 nabízí silné zabezpečení prostřednictvím kryptografických přihlašovacích údajů jedinečných pro každý web. A přihlašovací údaje nikdy neopustí vaše zařízení.
A co víc, k odblokování kryptografických přihlašovacích údajů můžete využít vestavěné funkce vašeho zařízení, jako je čtečka otisků prstů.
Můžeš zkontrolujte produkty FIDO2 vybrat správný produkt pro implementaci MFA odolného proti phishingu.
Dalším způsobem implementace MFA odolného proti phishingu je použití řešení založená na infrastruktuře veřejných klíčů (PKI). Chytré karty PIV, kreditní karty a elektronické pasy využívají tuto technologii založenou na PKI.
MFA odolná proti phishingu je budoucnost
Phishingových útoků přibývá a implementace pouze tradičních metod vícefaktorové autentizace nenabízí ochranu před sofistikovanými phishingovými kampaněmi. Implementujte tedy MFA odolné proti phishingu, abyste zabránili hackerům převzít vaše účty.