Multifaktorska avtentikacija (MFA) preko pametnega telefona? Postaja vse bolj negotova

Zanašanje samo na gesla za zaščito vaše identitete je zdaj praktično povabilo h kibernetskemu napadu. Kar 82 % kršitev vključuje uporabo ukradenih poverilnic z lažnim predstavljanjem (glede na Verizonovo poročilo o preiskavi kršitev podatkov za leto 2022). Poročilo SANS o varnostni ozaveščenosti opozarja, da tveganje za ljudi ostaja največja grožnja, pri čemer zaposleni postajajo glavni vektor napadov po vsem svetu. 

Krepitev avtentikacije z dodatnimi dejavniki (t. i. večfaktorska avtentikacija ali MFA) je torej nepogrešljiva praksa za vse vstopne točke v organizacijo – od VPN-jev, prek elektronske pošte in deljenja datotek do poslovnih aplikacij, ki pokrivajo finančno računovodstvo, ERP, CRM itd. Običajno je implementacija MFA z uporabo aplikacije za pametni telefon, ki deluje kot avtentifikator. Na ta način uporabnik potrdi avtentikacijo preko potisnega obvestila pametnega telefona takoj, ko poskuša dostopati do določene aplikacije z druge naprave (t. i. out-of-band avtentikacija). Od Google Authenticatorja do Microsoft Authenticatorja, danes smo vsi vajeni teh zunajpasovnih metod, ki jih podpira pametni telefon. 

Vendar so napadalci v zadnjem času redno zaobšli to vrsto MFA. Z uporabo tehnik napadalca na sredini (AitM) in t. i takojšnje bombardiranje postane ta priljubljena metoda večfaktorske avtentikacije ranljiva za lažno predstavljanje. Nedavni napadi in uspešne kraje poverilnic v podjetjih, kot so Uber, Twilio, Mailchimp, Cloudflare in mnoga druga, potrjujejo, da so nove obvodne tehnike MFA zelo razširjene. Zaradi teh razmeroma nedavnih dogodkov ni čudno, da Agencija ZDA za kibernetsko varnost in varnost infrastrukture (CISA) zdaj svetuje vsem organizacijam, naj nujno uvedejo MFA, odporen proti lažnemu predstavljanju. 

Katere so glavne slabosti “out-of-band” avtentikacije MFA? 

Zlasti napadalci učinkovito izkoriščajo dve ključni slabosti zunajpasovne avtentikacije MFA prek potisnih obvestil pametnega telefona: 

1. Ali se uporabnik prijavlja na zakonito spletno mesto? Uporabniki so usmerjeni k dostopu do lažne strani, ki ima enak videz in občutek kot izvirnik (npr. 0ffice.com namesto office.com), ki sprejema in posreduje vse uporabniške spletne zahteve in odgovore z zakonitega strežnika (napadalec v – sredina). Mobilni potisni avtentifikator po definiciji ne ve, ali uporabnik dostopa do strani prek strežnika AitM, ki ukrade poverilnice. Če uporabnik ne opazi in ne odobri zahteve za preverjanje pristnosti, bodo poverilnice in dostopni žetoni ukradeni. 

1. Ali uporabnik res sproži avtentikacijo? Napadalec lahko sproži zahtevo za preverjanje pristnosti, ki bo povzročila potisno obvestilo na uporabnikovem telefonu. Uporabnik je lahko pozvan, da odobri takšno potisno zahtevo, tudi če ne dostopa do aplikacije ali ni v bližini naprave, ki zahteva dostop. V bistvu napadalec pošlje niz takih poizvedb in računa na utrujenost ali napako uporabnika, ki bo sprejel in odobril potisno obvestilo (prompt bombing). Zato se fizična prisotnost na napravi ne preverja. 

MFA, ki je odporen proti lažnemu predstavljanju, rešuje te težave tako, da premakne (ali bolje rečeno vrne) preverjanje pristnosti na isto napravo, v kateri se uporabnik prijavi (namesto zunajpasovnega pristopa, kot je push na pametnem telefonu). V praksi to pomeni bodisi avtentifikator, ki je vgrajen v napravo (prenosnik Windows) ali ločen fizični žeton (povezan z napravo prek USB ali NFC/Bluetooth). 

MFA avtentikacija, odporna na lažno predstavljanje 

Trenutno obstajata dve metodi preverjanja pristnosti MFA, odporni proti lažnemu predstavljanju: 

1. Žeton FIDO2/Webauthn: Podprt na vseh večjih platformah (Windows, Google, Apple) in integriran v vse glavne brskalnike. Zaradi tega je primeren za mobilne in prenosne scenarije, pri čemer je posebna pozornost namenjena antiphishingu (glejte spodaj).

1. Žeton PKI: tradicionalna tehnika, ki temelji na kriptografiji z javnimi ključi, ponuja močno avtentikacijo, vendar pogosto vključuje odjemalsko programsko opremo, ki jo je v okviru organizacije zapleteno vzdrževati. Prav tako ima slabo podporo za mobilne scenarije. PKI je nepogrešljiv tudi za digitalno podpisovanje in šifriranje vsebine (e-pošte, datotek itd.). 

FIDO2 žetoni imajo dve različni lastnosti, zaradi katerih so odporni proti kraji identitete: 

1. Avtentifikator samodejno preveri, ali se pogovarja z dodeljeno aplikacijo/spletnim mestom. Ne bo se avtentificiral na lažnem spletnem mestu, ki posreduje zahteve in odgovore zakonite storitve. To je ključni element za preprečevanje lažnega predstavljanja.

1. Poleg kode PIN se fizična prisotnost preveri s »kretnjo«, npr. z dotikom naprave ali biometričnim preverjanjem (prstni odtis, prepoznavanje obraza itd.), preden odklenete avtentifikator. 

Poleg tega standard FIDO2/Webauthn prinaša vse prednosti PKI, kot je močno preverjanje pristnosti, ki temelji na kriptografiji z javnim ključem, vendar z zmanjšanimi administrativnimi stroški in širšo podporo za različne naprave in platforme. Tako kot pri PKI, zasebni ključ uporabnika nikoli ne zapusti avtentifikatorja in ni shranjen v aplikaciji ali na strani strežnika. Primerjajte to s tradicionalnimi poverilnicami, kot so zgoščene vrednosti gesel, ki morajo biti shranjene na strani strežnika. 

Želite preizkusiti najnovejšo tehnologijo FIDO2? Kontaktiraj nas!