A többtényezős hitelesítés (MFA) megvalósítása kiváló stratégia az online fiókok biztonságának erősítésére, de a kifinomult adathalász támadások megkerülhetik az MFA-t. Ezért fontolja meg egy erős adathalászat-ellenálló MFA-módszer alkalmazását a modern adathalász kampányok elleni küzdelemben.
Hogyan érzékeny a hagyományos MFA az adathalász támadásokra? Mi az adathalászat-ellenálló MFA-megoldás, és hogyan akadályozhatja meg az adathalász támadásokat?
Mi az a többtényezős hitelesítés?
Ahogy a kifejezés is sugallja, a többtényezős hitelesítéshez két vagy több ellenőrzési tényező bemutatása szükséges a fiókokhoz való hozzáféréshez.
A hitelesítési folyamat egyik tényezője a személyazonosságának ellenőrzése, amikor megpróbál bejelentkezni.
A leggyakoribb tényezők a következők:
- Valami, amit tudsz: egy jelszót vagy egy PIN kódot, amelyre emlékszik
- Valami, ami van: egy biztonságos USB-kulcsot vagy egy okostelefont
- Valami te vagy: az arcfelismerés vagy az ujjlenyomat
A többtényezős hitelesítés további biztonsági rétegeket ad fiókjaihoz. Ez olyan, mintha egy második vagy harmadik zárat adna a szekrényhez.
Egy tipikus többtényezős hitelesítési folyamat során először meg kell adnia jelszavát vagy PIN-kódját. Ezután megkaphatja a második tényezőt az okostelefonján. Ez a második tényező lehet egy SMS vagy egy hitelesítő alkalmazás értesítése. MFA-beállításaitól függően előfordulhat, hogy biometrikus adatokkal igazolnia kell személyazonosságát.
Vannak sok oka van a többtényezős hitelesítés használatának, de képes-e teljesen ellenállni az adathalászatnak?
Sajnos a válasz "nem".
Kiberfenyegetések a többtényezős hitelesítéssel szemben
Bár az MFA-módszerek biztonságosabbak, mint az egytényezős hitelesítési módszerek, a fenyegetés szereplői különféle technikák segítségével kihasználhatják őket.
Íme, hogyan kerülhetik meg a hackerek az MFA-t.
Brute-Force támadások
Ha a hackerek rendelkeznek az Ön bejelentkezési adataival, és Ön egy 4 számjegyű PIN-kódot állított be második tényezőként, brute-force támadásokat hajthatnak végre, hogy kitalálják a biztonsági tűt, hogy megkerüljék a többtényezőt hitelesítés.
SIM-feltörés
Napjainkban a fenyegetés szereplői olyan technikákat alkalmaznak, mint a SIM-kártya cseréje, a SIM-klónozás és a SIM-kártya-feljavítás feltörni a SIM-kártyát. És ha már kézben tartják a SIM-kártyáját, könnyen lehallgathatják az SMS-alapú második tényezőt, ami veszélyezteti az MFA-mechanizmust.
MFA fáradtsági támadások
Egy MFA fáradtság támadás, egy hacker leküldéses értesítések özönével bombáz, amíg meg nem adod. Miután jóváhagyta a bejelentkezési kérelmet, a hacker hozzáférhet fiókjához.
Ellenfél a középső támadásokban
A hackerek használhatják az AiTM-keretrendszereket, például az Evilginx-et a bejelentkezési hitelesítő adatok és a második tényező token lehallgatására. Ezután bejelentkezhetnek a fiókjába, és bármilyen csúnya dolgot megtehetnek, ami kedvükre való.
Pass-the-cookie támadások
Miután befejezte a többtényezős hitelesítési folyamatot, egy böngésző cookie jön létre, amelyet a munkamenethez tárol. A hackerek kibonthatják ezt a cookie-t, és munkamenet indítására használhatják egy másik böngészőben egy másik rendszeren.
Adathalászat
Adathalászat, az egyik leggyakoribb elterjedt social engineering taktikák, gyakran használják a második tényező eléréséhez, amikor a fenyegetés szereplője már rendelkezik az Ön felhasználónevével és jelszavával.
Például egy szoftver-szolgáltatásként (SaaS) szállítót használ, és a bejelentkezési adatai veszélybe kerülnek. Egy hacker felhívja (vagy e-mailben) Önt SaaS-szolgáltatójaként, és kéri a második tényező ellenőrzését. Miután megosztotta az ellenőrző kódot, a hacker hozzáférhet fiókjához. És ellophatják vagy titkosíthatják az Önt és az eladót érintő adatokat.
Manapság a hackerek alkalmaznak fejlett adathalász technikák. Tehát vigyázzon az adathalász támadásokra.
Mi az az adathalászat-ellenálló MFA?
Az adathalászat-ellenálló MFA nem fogékony mindenféle társadalmi manipulációra, beleértve az adathalász támadásokat, a hitelesítő adatok kitöltésével kapcsolatos támadásokat, a Man-in-the-Middle támadásokat és még sok mást.
Mivel az emberek állnak a social engineering támadások középpontjában, az adathalászat-ellenálló MFA eltávolítja az emberi elemet a hitelesítési folyamatból.
Ahhoz, hogy adathalászat-ellenálló MFA-mechanizmusnak minősüljön, a hitelesítőt kriptográfiailag a tartományhoz kell kötni. És fel kell ismernie egy hacker által létrehozott hamis domaint.
Az alábbiakban bemutatjuk, hogyan működik az adathalászat-ellenálló MFA technológia.
Erős kötés létrehozása
A hitelesítő regisztrálása mellett egy kriptográfiai regisztrációt is végrehajt, ideértve a személyazonosság-igazolást is, hogy erős kötést hozzon létre a hitelesítő és a személyazonosság között szolgáltató (IDP). Ez lehetővé teszi a hitelesítő számára a hamis webhelyek azonosítását.
Használja az aszimmetrikus kriptográfiát
A két fél aszimmetrikus kriptográfián (nyilvános kulcsú titkosításon) alapuló szilárd összerendelése szükségtelenné teszi a megosztott titkokat, például a jelszavakat.
A munkamenetek indításához mindkét kulcsra (nyilvános kulcsra és privát kulcsra) szükség lesz. A hackerek nem tudnak hitelesíteni a bejelentkezéshez, mivel a privát kulcsokat biztonságosan tárolják a hardveres biztonsági kulcsokban.
Csak érvényes hitelesítési kérésekre válaszoljon
Az adathalászat-ellenálló MFA csak az érvényes kérésekre válaszol. Minden jogos kérésnek megszemélyesítő kísérlet meghiúsul.
Szándék igazolása
Az adathalászat-ellenálló MFA-hitelesítésnek érvényesítenie kell a felhasználói szándékot azáltal, hogy felkéri a felhasználót olyan művelet végrehajtására, amely jelzi a felhasználó aktív részvételét a bejelentkezési kérelem hitelesítésében.
Miért érdemes bevezetni az adathalászat-ellenálló MFA-t?
Az adathalászat-ellenálló MFA alkalmazása számos előnnyel jár. Kiiktatja az emberi elemet az egyenletből. Mivel a rendszer automatikusan észlel egy hamis webhelyet vagy egy jogosulatlan hitelesítési kérelmet, meg tudja akadályozni minden típusú adathalász támadást, amelynek célja, hogy a felhasználókat bejelentkezési hitelesítő adatok átadására csalja ki. Következésképpen az adathalászat-ellenálló MFA megakadályozhatja az adatszivárgást a vállalatnál.
Sőt, egy jó adathalászat-ellenálló MFA, mint a legújabb FIDO2 hitelesítési módszer, javítja a felhasználói élményt. Ennek az az oka, hogy biometrikus adatokat vagy könnyen megvalósítható biztonsági kulcsokat használhat fiókjaihoz való hozzáféréshez.
Végül, de nem utolsósorban, az adathalászat-ellenálló MFA fokozza fiókjai és eszközei biztonságát, ezáltal javítva kiberbiztonsági legelő az ön társaságában.
Az Egyesült Államok Irányítási és Költségvetési Hivatala (OMB) kiadta a Federal Zero Trust Strategy dokumentum, amely előírja a szövetségi ügynökségeknek, hogy 2024 végéig csak adathalászat-ellenálló MFA-t használjanak.
Így megértheti, hogy az adathalászat-ellenálló MFA kritikus fontosságú a kiberbiztonság szempontjából.
Az adathalászat-ellenálló MFA megvalósítása
Szerint a A biztonságos személyazonosság állapotáról szóló jelentés Az Okta Auth0 csapata készítette fel, az MFA bypass támadások egyre növekszenek.
Mivel az adathalászat a vezető támadási vektor az identitáson alapuló támadásokban, az adathalászat-ellenálló, többtényezős hitelesítés alkalmazása segíthet a fiókok biztonságában.
A FIDO2/WebAuthn Authentication egy széles körben használt adathalászat-ellenálló hitelesítési módszer. Lehetővé teszi, hogy általános eszközöket használjon a hitelesítéshez mobil és asztali környezetben.
A FIDO2 hitelesítés erős biztonságot kínál az egyes webhelyekre egyedi kriptográfiai bejelentkezési adatokkal. És a bejelentkezési adatok soha nem hagyják el az eszközt.
Sőt, használhatja eszköze beépített funkcióit, például ujjlenyomat-olvasót a kriptográfiai bejelentkezési adatok blokkolásának feloldásához.
tudsz ellenőrizze a FIDO2 termékeket hogy válassza ki a megfelelő terméket az adathalászat-ellenálló MFA megvalósításához.
Az adathalászat-ellenálló MFA megvalósításának másik módja a nyilvános kulcsú infrastruktúra (PKI) alapú megoldások használata. A PIV intelligens kártyák, hitelkártyák és e-Passportok ezt a PKI-alapú technológiát használják.
Az adathalászat-ellenálló MFA a jövő
Az adathalász támadások száma nő, és a hagyományos többtényezős hitelesítési módszerek alkalmazása nem nyújt védelmet a kifinomult adathalász kampányokkal szemben. Tehát alkalmazzon adathalászat-ellenálló MFA-t, hogy megakadályozza, hogy hackerek átvegyék fiókjait.