MFA otporan na phishing - nova normala
Mnoge organizacije još uvijek ne koriste MFA za autentifikaciju svojih korisnika, a čak i one koje ga koriste postale su ranjive na najnovije tehnike krađe identiteta.
Počevši od 2021. i nastavljajući do 2022., Microsoft i drugi dobavljači su viđali sve sofisticiranije alate phishing-as-a-service koji ciljaju na račune s omogućenim MFA u SaaS uslugama (kao što je Microsoft365). Jednostavno rečeno, zlonamjerni akteri su naučili ne samo kako prikupiti korisničko ime i lozinku, već i jednokratne kodove koje proizvodi aplikacija za autentifikaciju svojih mobilnih telefona.
Za organizacije u kojima MFA ne uključuje jednokratne kodove koji se unose u upit za prijavu u aplikaciju, već se oslanjaju na push obavijesti mobilnog telefona, napadači su razvili takozvanu tehniku push bombinga (također poznatu kao push zamor ili prompt bombing). U ovom slučaju zlonamjerni akteri bombarduju korisnika push notifikacijama sve dok ne kliknu dugme "Prihvati", dozvoljavajući tako zlonamjernom akteru pristup mreži.
Vrijeme je za MFA koji je otporan na phishing - ili barem na podudaranje brojeva
Postoje dva široka načina za rješavanje krađe identiteta kod MFA:
Prvo, ako koristite push obavještenja, povećajte MFA podudaranjem brojeva. Ovo će riješiti problem MFA push bombardiranja, iako blago otežati lakoću korišćenja MFA. Podudaranje brojeva je postavka koja prisiljava korisnika da unese broj prikazan u push obavijesti u svoju aplikaciju kako bi odobrio zahtjev za autentifikaciju. U ovom scenariju, korisnici ne mogu odobriti push zahtjeve bez unosa brojeva na ekranu za prijavu. Podudaranje brojeva sprječava korisnike da prihvate upit za push obavještenje bez poznavanja brojeva. Ovo ublažavanje u suštini kombinuje jednokratne lozinke sa push obaveštenjima.
MFA dobavljači podržavaju funkcije podudaranja brojeva pod različitim nazivima brendova. Nekoliko uobičajenih primjera uključuje Microsoft Number Matching, Duo Verified Push, Okta TOTP.
Drugi pristup je korištenje odgovarajućih MFA implementacija otpornih na krađu identiteta koje se oslanjaju na kriptografiju javnog ključa, što može biti:
FIDO/WebAuthn autentifikacija
MFA baziran na PKI
FIDO/WebAuthn autentifikaciju je lakše implementirati i izbjegava teret administriranja PKI infrastrukture. FIDO Alliance izvorno je razvio protokol WebAuthn kao dio standarda FIDO2, a sada ga objavljuje World Wide Web Consortium (W3C). Podrška za WebAuthn uključena je u glavne preglednike, operativne sustave i pametne telefone. WebAuthn radi s povezanim standardom FIDO2 kako bi osigurao autentifikator otporan na krađu identiteta. WebAuthn autentifikatori mogu biti:
odvojeni fizički tokeni (koji se nazivaju "roaming" autentifikatori) povezani na uređaj putem USB-a ili komunikacije bliskog polja (NFC), ili
ugrađeni u laptope ili mobilne uređaje kao autentifikatore "platforme" (npr. podržani od strane Windows OS Hello funkcije).
Drugi pristup je da se omogući MFA otporan na phishing povezan sa PKI-jem preduzeća. MFA baziran na PKI obično dolazi u obliku pametnih kartica (ili USB PKI tokena) koje čuvaju privatni ključ korisnika u sigurnosnom čipu, a kartica mora biti direktno povezana s uređajem kako bi se korisnik mogao prijaviti u sistem (sa tačnim PIN-om). Iako MFA baziran na PKI-u pruža snažnu sigurnost, teško ga je administrirati i održavati, što ga čini razumnim rješenjem samo za najveće i najsloženije organizacije.
