Računari i Galaksija

Multifaktorska autentifikacija (MFA) putem smartphone-a? Postaje sve nesigurnija

Napadači ciljaju korisničke identitete sve sofisticiranijim tehnikama phishinga, jer kompromitovani akreditivi znatno olakšavaju infiltriranje u IT sistem organizacije.

PCPress.rs Image

Oslanjanje samo na lozinke za zaštitu identiteta sada je praktično poziv na sajber napad. Čak 82% proboja uključuje upotrebu ukradenih akreditiva kroz phishing (prema Verizon-ovom Data Breach Investigation Report 2022). Izveštaj SANS Security Awareness Report upozorava da ljudski rizik ostaje najveća pretnja, pri čemu zaposleni postaju primarni vektor napada širom sveta. Jačanje autentifikacije dodatnim faktorima (tzv. multifaktorska autentifikacija ili MFA) je stoga nezaobilazna praksa za sve ulazne tačke u organizaciju – od VPN-a, preko e-pošte i deljenja datoteka do poslovnih aplikacija koje pokrivaju finansijsko računovodstvo, ERP, CRM itd.

Uobičajeno je implementirati MFA pomoću aplikacije za pametne telefone koja deluje kao autentifikator. Na ovaj način, korisnik odobrava autentifikaciju putem push notifikacije pametnog telefona čim pokuša da pristupi određenoj aplikaciji sa drugog uređaja (tzv. out-of-band autentifikacija). Od Google Authenticator-a do Microsoft Authenticator-a, svi smo ovih dana navikli na ove out-of-band metode uz pomoć pametnog telefona.

Međutim, napadači od nedavno rutinski zaobilaze ovakav MFA. Koristeći attacker-in-the-middle proxy tehnike (AitM) i tzv. prompt bombing, ovaj popularni metod višefaktorske autentifikacije postaje ranjiv na phishing napade. Nedavni napadi i uspešne krađe akreditiva u kompanijama kao što su Uber, Twilio, Mailchimp, Cloudflare i mnoge druge potvrđuju da su nove tehnike zaobilaženja MFA široko rasprostranjene. Zbog ovog relativno nedavnog razvoja događaja, nije iznenađujuće da Američka agencija za sajber bezbednost i bezbednost infrastrukture (CISA) sada savetuje svim organizacijama da hitno implementiraju MFA otporan na krađu identiteta (phishing-resistant MFA).

PCPress.rs Image

Prijavljuje li se korisnik na legitimnu web stranicu?

Koje su glavne slabosti out-of-band MFA autentifikacije?

Konkretno, napadači efikasno koriste dve ključne slabosti out-of-band MFA autentifikacije putem push notifikacije sa pametnog telefona:

  1. Da li se korisnik prijavljuje na legitimnu veb lokaciju? Korisnici se upućuju da pristupe lažnoj stranici koja ima isti izgled kao original (npr. 0ffice.com umesto office.com), koja prima i prosleđuje sve korisničke veb zahteve i odgovore sa legitimnog servera (eng. attacker-in-the-middle). Mobilni push autentifikator po definiciji nije svestan da li korisnik pristupa stranici preko AitM servera koji krade akreditive. Ako korisnik ne primeti i odobri zahtev za autentifikaciju, akreditivi i pristupni tokeni će biti ukradeni.
  2. Da li korisnik zaista pokreće autentifikaciju? Napadač može pokrenuti zahtev za autentifikaciju koji će rezultirati push notifikacijom na telefonu korisnika. Od korisnika može biti zatraženo da odobri takav push zahtev čak i ako ne pristupa aplikaciji ili se ne nalazi u blizini uređaja koji zahteva pristup. U suštini, napadač šalje niz takvih upita i računa na umor ili grešku korisnika koji će prihvatiti i odobriti push notifikaciju (prompt bombing). Fizičko prisustvo na uređaju ne proverava.

MFA otporan na krađu identiteta rešava ove probleme premeštanjem (ili bolje rečeno, vraćanjem) autentifikacije na isti uređaj na kojem se korisnik prijavljuje (umesto out-of-band pristupa kao što je push na pametnom telefonu). U praksi to znači ili autentifikator integrisan u uređaj (laptop sa sistemom Windows) ili zasebni fizički token (povezan sa uređajem putem USB-a ili NFC-a/Bluetootha).

PCPress.rs Image

Scenario 1: Da li je autentifikaciju zaista pokrenuo korisnik?

PCPress.rs Image

Scenario 2: Da li je autentifikaciju zaista pokrenuo korisnik?

MFA autentifikacija otporna na phishing

Trenutno su zastupljene dve metode MFA autentikacije otporne na phishing:

  1. FIDO2/Webauthn token: Podržavaju ga sve glavne platforme (Windows, Google, Apple) i integrisan je u sve glavne pretraživače. To ga čini pogodnim za mobilne i laptop scenarije, sa posebnom pažnjom posvećenom antiphishing-u (pogledajte dole).
  2. PKI token: Tradicionalna tehnika zasnovana na kriptografiji javnog ključa nudi snažnu autentifikaciju, ali često uključuje klijentski softver koji je komplikovan za održavanje u kontekstu organizacije. Takođe, ima lošu podršku za mobilne scenarije. PKI je takođe neophodan za digitalno potpisivanje i šifrovanje sadržaja (e-pošte, fajlova, itd.).

FIDO2 tokeni imaju dva različita svojstva koja ih čine otpornima na krađu identiteta:

  1. Autentifikator automatski potvrđuje da razgovara sa dodeljenom aplikacijom/veb-sajtom. Neće se autentifikovati na lažnoj veb lokaciji koja posreduje zahteve i odgovore s legitimnog servisa. Ovo je ključni element za prevenciju phishinga.
  2. Pored PIN-a, fizičko prisustvo se proverava „gestom“, npr. dodirivanjem uređaja ili biometrijskom verifikacijom (otisak prsta, prepoznavanje lica, itd.), pre otključavanja autentifikatora.

Dodatno, standard FIDO2/Webauthn donosi sve prednosti PKI-ja kao što je snažna autentifikacija temeljena na kriptografiji s javnim ključem, ali uz smanjene administrativne troškove i širu podršku za različite uređaje i platforme. Kao i kod PKI-ja, korisnički privatni ključ nikada ne napušta autentifikator i ne pohranjuje se u aplikaciji odnosno na strani poslužitelja. Uporedite to s tradicionalnim kredencijalima kao što su hash lozinke, koje se moraju pohraniti na strani poslužitelja.

Želite testirati najnoviju FIDO2 tehnologiju? Kontaktirajte Exclusive Networks i preuzmite svoj besplatni primerak FIDO2 tokena!

Facebook komentari:
SBB

Tagovi: , , , , ,

One thought on “Multifaktorska autentifikacija (MFA) putem smartphone-a? Postaje sve nesigurnija

  • 20. 03. 2023. at 12:53
    Permalink

    Kada prevodite sa hrvatskog, uradite to do kraja i naravno navedite izvor iz koga ste tekst kopirali!

Comments are closed.