Implementering af multi-factor authentication (MFA) er en fremragende strategi til at styrke sikkerheden på dine onlinekonti, men sofistikerede phishing-angreb kan omgå MFA. Så overvej at anvende en stærk phishing-resistent MFA-metode til at bekæmpe moderne phishing-kampagner.
Hvordan er traditionel MFA modtagelig for phishing-angreb? Hvad er en phishing-resistent MFA-løsning, og hvordan kan den forhindre phishing-angreb?
Hvad er Multi-Factor Authentication?
Som udtrykket antyder, kræver multifaktorgodkendelse, at du præsenterer to eller flere verifikationsfaktorer for at få adgang til dine konti.
En faktor i en godkendelsesproces er et middel til at bekræfte din identitet, når du forsøger at logge ind.
De mest almindelige faktorer er:
- Noget du ved: en adgangskode eller en pinkode, du husker
- Noget du har: en sikker USB-nøgle eller en smartphone du har
- Noget du er: dit ansigtsgenkendelse eller fingeraftryk
Multifaktorgodkendelse tilføjer ekstra lag af sikkerhed til dine konti. Det er som at tilføje en anden eller tredje lås til dit skab.
I en typisk multifaktorgodkendelsesproces skal du først indtaste din adgangskode eller PIN-kode. Derefter modtager du muligvis den anden faktor på din smartphone. Denne anden faktor kan være en SMS eller notifikation på en godkendelsesapp. Afhængigt af dine MFA-indstillinger skal du muligvis bekræfte din identitet gennem biometri.
Der er mange grunde til at bruge multifaktorgodkendelse, men kan helt modstå phishing?
Desværre er svaret "nej".
Cybertrusler mod multi-faktor-autentificering
Selvom MFA-metoder er sikrere end single-factor autentificeringsmetoder, kan trusselsaktører udnytte dem ved hjælp af forskellige teknikker.
Her er måder, hvordan hackere kan omgå MFA.
Brute-Force-angreb
Hvis hackere har dine loginoplysninger, og du har indstillet en 4-cifret PIN-kode, der skal bruges som den anden faktor, de kan udføre brute-force-angreb for at gætte sikkerhedsnålen for at omgå multi-faktor Godkendelse.
SIM-hacking
I disse dage bruger trusselsaktører teknikker som SIM-bytning, SIM-kloning og SIM-jacking til hacke dit SIM-kort. Og når de først har kontrol over dit SIM-kort, kan de nemt opsnappe sms-baseret anden faktor, hvilket kompromitterer din MFA-mekanisme.
MFA træthedsangreb
I en MFA træthedsangreb, bombarderer en hacker dig med en byge af push-meddelelser, indtil du giver efter. Når du har godkendt login-anmodningen, kan hackeren få adgang til din konto.
Modstander i midten angreb
Hackere kan bruge AiTM-frameworks som Evilginx til at opsnappe både login-legitimationsoplysninger og anden faktor-token. Så kan de logge ind på din konto og gøre enhver grim ting, som de har lyst til.
Pass-the-Cookie-angreb
Når du har gennemført multi-faktor-godkendelsesprocessen, oprettes en browser-cookie og opbevares til din session. Hackere kan udtrække denne cookie og bruge den til at starte en session i en anden browser på et andet system.
Phishing
Phishing, en af de mest almindelige social engineering taktikker, bruges ofte til at få adgang til den anden faktor, når trusselsaktøren allerede har dit brugernavn og adgangskode.
For eksempel bruger du en software-as-a-service (SaaS)-leverandør, og dine login-legitimationsoplysninger er kompromitteret. En hacker vil ringe (eller e-maile) til dig, der udgiver dig som din SaaS-leverandør for at anmode om den anden faktor til verifikation. Når du deler bekræftelseskoden, kan hackeren få adgang til din konto. Og de kan stjæle eller kryptere data, der påvirker dig og din leverandør.
I disse dage beskæftiger hackere avancerede phishing-teknikker. Så pas på phishing-angreb.
Hvad er phishing-resistent MFA?
Phishing-resistent MFA er ufølsom over for alle former for social engineering, inklusive phishing-angreb, credential stuffing-angreb, Man-in-the-Middle-angreb og mere.
Da mennesker er i centrum for social engineering-angreb, fjerner phishing-resistent MFA det menneskelige element fra autentificeringsprocessen.
For at blive betragtet som en phishing-resistent MFA-mekanisme, skal autentificeringsværktøjet være kryptografisk bundet til domænet. Og den burde genkende et falsk domæne, der er oprettet af en hacker.
Det følgende er, hvordan den phishing-resistente MFA-teknologi fungerer.
Skab stærk binding
Ud over at registrere din autentificering, skal du gennemføre en kryptografisk registrering, herunder identitetsbevis, for at skabe en stærk binding mellem din autentificering og identitet udbyder (IDP). Dette vil gøre det muligt for din autentificering at identificere falske websteder.
Gør brug af asymmetrisk kryptografi
En solid binding af to parter baseret på asymmetrisk kryptografi (public-key kryptografi) eliminerer behovet for delte hemmeligheder som adgangskoder.
For at starte sessioner kræves begge nøgler (offentlige nøgler og private nøgler). Hackere kan ikke autentificere for at logge ind, da private nøgler vil blive opbevaret sikkert i hardwaresikkerhedsnøgler.
Besvar kun gyldige godkendelsesanmodninger
Phishing-resistent MFA svarer kun på gyldige anmodninger. Alle forsøg på at efterligne legitime anmodninger vil blive forpurret.
Bekræft hensigten
Phishing-resistent MFA-godkendelse skal validere brugerens hensigt ved at bede brugeren om at foretage en handling, der angiver brugerens aktive involvering for at godkende login-anmodningen.
Hvorfor du bør implementere phishing-resistent MFA
Vedtagelse af phishing-resistent MFA giver flere fordele. Det eliminerer det menneskelige element fra ligningen. Da systemet automatisk kan opdage en falsk hjemmeside eller en uautoriseret godkendelsesanmodning, kan det forhindre alle typer phishing-angreb, der har til formål at narre brugere til at give login-legitimationsoplysninger væk. Derfor kan phishing-resistent MFA forhindre databrud i din virksomhed.
Hvad mere er, en god phishing-resistent MFA, som den seneste FIDO2-godkendelsesmetode, forbedrer brugeroplevelsen. Dette skyldes, at du kan bruge biometri eller sikkerhedsnøgler, der er nemme at implementere, for at få adgang til dine konti.
Sidst men ikke mindst øger phishing-resistent MFA sikkerheden på dine konti og enheder og forbedrer derved cybersikkerhed græsgange i din virksomhed.
Det amerikanske kontor for ledelse og budget (OMB) udstedte Federal Zero Trust Strategidokument, som kræver, at føderale agenturer kun bruger phishing-resistent MFA inden udgangen af 2024.
Så du kan forstå, at phishing-resistent MFA er afgørende for cybersikkerhed.
Sådan implementeres phishing-resistent MFA
Ifølge Status for sikker identitetsrapport udarbejdet af Oktas Auth0-team, er MFA bypass-angreb i stigning.
Da phishing er den førende angrebsvektor inden for identitetsbaserede angreb, kan implementering af phishing-resistent multifaktorautentificering hjælpe dig med at sikre dine konti.
FIDO2/WebAuthn Authentication er en meget brugt phishing-resistent godkendelsesmetode. Det giver dig mulighed for at bruge almindelige enheder til at godkende i mobil- og desktopmiljøer.
FIDO2-godkendelse tilbyder stærk sikkerhed gennem kryptografiske login-legitimationsoplysninger, der er unikke for hvert websted. Og loginoplysningerne forlader aldrig din enhed.
Hvad mere er, kan du bruge indbyggede funktioner på din enhed, såsom en fingeraftrykslæser til at fjerne blokeringen af kryptografiske login-legitimationsoplysninger.
Du kan tjek FIDO2 produkter at vælge det rigtige produkt til at implementere phishing-resistent MFA.
En anden måde at implementere phishing-resistent MFA på er at bruge public key infrastructure (PKI) baserede løsninger. PIV-smartkort, kreditkort og e-pas bruger denne PKI-baserede teknologi.
Phishing-resistent MFA er fremtiden
Phishing-angreb er stigende, og implementering af traditionelle multi-faktor-godkendelsesmetoder giver ikke beskyttelse mod sofistikerede phishing-kampagner. Så implementer phishing-resistent MFA for at forhindre hackere i at overtage dine konti.
