Implementering av multifaktorautentisering (MFA) er en utmerket strategi for å styrke sikkerheten til nettkontoene dine, men sofistikerte phishing-angrep kan omgå MFA. Så vurder å ta i bruk en sterk phishing-resistent MFA-metode for å bekjempe moderne phishing-kampanjer.
Hvordan er tradisjonell MFA mottakelig for phishing-angrep? Hva er en phishing-resistent MFA-løsning, og hvordan kan den forhindre phishing-angrep?
Hva er multifaktorautentisering?
Som begrepet antyder, krever multifaktorautentisering at du presenterer to eller flere bekreftelsesfaktorer for å få tilgang til kontoene dine.
En faktor i en autentiseringsprosess er et middel til å bekrefte identiteten din når du prøver å logge på.
De vanligste faktorene er:
- Noe du vet: et passord eller en PIN-kode du husker
- Noe du har: en sikker USB-nøkkel eller en smarttelefon du har
- Noe du er: ansiktsgjenkjenning eller fingeravtrykk
Multifaktorautentisering legger til ekstra lag med sikkerhet til kontoene dine. Det er som å legge til en andre eller tredje lås til skapet ditt.
I en typisk multifaktorautentiseringsprosess vil du først angi passordet eller PIN-koden. Deretter kan du motta den andre faktoren på smarttelefonen din. Denne andre faktoren kan være en SMS eller varsling på en autentiseringsapp. Avhengig av MFA-innstillingene dine, kan det hende du må bekrefte identiteten din gjennom biometri.
Det er mange grunner til å bruke multifaktorautentisering, men kan du motstå phishing helt?
Dessverre er svaret «nei».
Cybertrusler mot multifaktorautentisering
Selv om MFA-metoder er sikrere enn enkeltfaktorautentiseringsmetoder, kan trusselaktører utnytte dem ved hjelp av ulike teknikker.
Her er måter hackere kan omgå MFA.
Brute-Force-angrep
Hvis hackere har påloggingsinformasjonen din og du har angitt en 4-sifret PIN-kode som skal brukes som den andre faktoren, de kan utføre brute-force-angrep for å gjette sikkerhetsnålen for å omgå multifaktor autentisering.
SIM-hacking
I disse dager bruker trusselaktører teknikker som SIM-bytte, SIM-kloning og SIM-jacking hacke SIM-kortet ditt. Og når de først har kontroll over SIM-kortet ditt, kan de enkelt avskjære sms-basert andre faktor, og kompromittere MFA-mekanismen din.
MFA tretthetsangrep
I en MFA tretthetsangrep, bombarderer en hacker deg med en mengde push-varsler til du gir etter. Når du har godkjent påloggingsforespørselen, kan hackeren få tilgang til kontoen din.
Motstander i midten angrep
Hackere kan bruke AiTM-rammeverk som Evilginx for å avskjære både påloggingsinformasjon og andre faktor-token. Deretter kan de logge inn på kontoen din og gjøre alle de ekle ting som passer dem.
Pass-the-Cookie-angrep
Når du har fullført multifaktorautentiseringsprosessen, opprettes en nettleserinformasjonskapsel og beholdes for økten din. Hackere kan trekke ut denne informasjonskapselen og bruke den til å starte en økt i en annen nettleser på et annet system.
Phishing
Phishing, en av de mest vanlig sosial ingeniør-taktikk, brukes ofte for å få tilgang til den andre faktoren når trusselaktøren allerede har brukernavnet og passordet ditt.
For eksempel bruker du en programvare-som-en-tjeneste (SaaS)-leverandør, og påloggingsinformasjonen din er kompromittert. En hacker vil ringe (eller sende e-post) til deg som utgir seg for å være din SaaS-leverandør for å be om den andre faktoren for verifisering. Når du deler bekreftelseskoden, kan hackeren få tilgang til kontoen din. Og de kan stjele eller kryptere data som påvirker deg og leverandøren din.
I disse dager bruker hackere avanserte phishing-teknikker. Så pass opp for phishing-angrep.
Hva er phishing-resistent MFA?
Phishing-resistent MFA er ufølsom for all slags sosial ingeniørkunst, inkludert phishing-angrep, credential stuffing-angrep, Man-in-the-Middle-angrep og mer.
Ettersom mennesker er i sentrum av angrep fra sosial ingeniørkunst, fjerner phishing-resistent MFA det menneskelige elementet fra autentiseringsprosessen.
For å bli ansett som en phishing-resistent MFA-mekanisme, bør autentiseringen være kryptografisk bundet til domenet. Og den skal gjenkjenne et falskt domene opprettet av en hacker.
Følgende er hvordan den phishing-resistente MFA-teknologien fungerer.
Skap sterk binding
I tillegg til å registrere din autentisering, vil du fullføre en kryptografisk registrering, inkludert identitetsbekreftelse, for å skape en sterk binding mellom din autentisering og identitet leverandør (IDP). Dette vil gjøre det mulig for autentiseringsenheten din å identifisere falske nettsteder.
Bruk asymmetrisk kryptografi
En solid binding av to parter basert på asymmetrisk kryptografi (offentlig nøkkelkryptografi) eliminerer behovet for delte hemmeligheter som passord.
For å starte økter vil begge nøkler (offentlige nøkler og private nøkler) kreves. Hackere kan ikke autentisere seg for å logge på, da private nøkler vil bli lagret trygt i maskinvaresikkerhetsnøkler.
Svar kun på gyldige autentiseringsforespørsler
Phishing-resistent MFA svarer kun på gyldige forespørsler. Alle forsøk på å utgi seg for legitime forespørsler vil bli hindret.
Bekreft intensjonen
Phishing-resistent MFA-autentisering må validere brukerintensjon ved å be brukeren om å utføre en handling som indikerer brukerens aktive involvering for å autentisere påloggingsforespørselen.
Hvorfor du bør implementere phishing-resistent MFA
Å ta i bruk phishing-resistent MFA gir flere fordeler. Det eliminerer det menneskelige elementet fra ligningen. Siden systemet automatisk kan oppdage et falskt nettsted eller en uautorisert autentiseringsforespørsel, kan det forhindre alle typer phishing-angrep som har som mål å lure brukere til å gi bort påloggingsinformasjon. Følgelig kan phishing-resistent MFA forhindre datainnbrudd i din bedrift.
Dessuten forbedrer en god phishing-bestandig MFA, som den nyeste FIDO2-autentiseringsmetoden, brukeropplevelsen. Dette er fordi du kan bruke biometri eller sikkerhetsnøkler som er enkle å implementere for å få tilgang til kontoene dine.
Sist men ikke minst, phishing-resistent MFA øker sikkerheten til dine kontoer og enheter, og forbedrer derved cybersikkerhet beite i din bedrift.
US Office of Management and Budget (OMB) utstedte Federal Zero Trust Strategidokument, som krever at føderale byråer bare bruker phishing-resistent MFA innen utgangen av 2024.
Så du kan forstå at phishing-resistent MFA er avgjørende for cybersikkerhet.
Hvordan implementere phishing-resistent MFA
Ifølge Status for sikker identitetsrapport utarbeidet av Oktas Auth0-team, er MFA-bypass-angrep på vei oppover.
Siden phishing er den ledende angrepsvektoren innen identitetsbaserte angrep, kan implementering av phishing-resistent multifaktorautentisering hjelpe deg med å sikre kontoene dine.
FIDO2/WebAuthn Authentication er en mye brukt phishing-resistent autentiseringsmetode. Den lar deg bruke vanlige enheter for å autentisere i mobil- og skrivebordsmiljøer.
FIDO2-autentisering tilbyr sterk sikkerhet gjennom kryptografisk påloggingsinformasjon som er unik for hvert nettsted. Og påloggingsinformasjon forlater aldri enheten din.
Dessuten kan du bruke innebygde funksjoner på enheten din, for eksempel en fingeravtrykkleser for å fjerne blokkeringen av kryptografisk påloggingsinformasjon.
Du kan sjekk FIDO2-produkter å velge riktig produkt for å implementere phishing-resistent MFA.
En annen måte å implementere phishing-resistent MFA er å bruke offentlige nøkkelinfrastruktur (PKI)-baserte løsninger. PIV-smartkort, kredittkort og e-pass bruker denne PKI-baserte teknologien.
Phishing-resistent MFA er fremtiden
Phishing-angrep øker, og implementering av bare tradisjonelle multi-faktor autentiseringsmetoder gir ikke beskyttelse mot sofistikerte phishing-kampanjer. Så implementer phishing-resistent MFA for å hindre hackere i å ta over kontoene dine.
