Miért nem kétfajta hitelesítés nem biztonságos?

Az SSH kulcs-hitelesítés és a kétfaktoros hitelesítés beállítása a távoli bejelentkezéshez Linuxon Ez a módszer segíti a kétfaktoros hitelesítés és az SSH kulcs-hitelesítés beállítását a Linux-kiszolgálók sziklaszilárd távoli bejelentkezéséhez.

Évek óta dolgozom kétfaktoros hitelesítéssel (2FA), elsősorban VPN-kapcsolatokat és a rendkívül biztonságos rendszerekhez való hozzáférést használva. Ez valami-ha-már-plusz-valami-tudod-mechanizmuson keresztül működik, amellyel a felhasználók beírnak egy PIN-kódot / jelszót, amelyet a biztonságos token eszközön megjelenített számok követnek.

További információ a kiberbiztonságról

  • Kiberbiztonság 2020-ban: Nyolc félelmetes előrejelzés
  • Az évtized tíz legfontosabb cyberatása
  • Hogyan válhat kiberbiztonsági profivá: A csaló lap
  • Frank Abagnale híres embere: Ma a bűncselekmény 4000-szer könnyebb

A cél az, hogy lehetetlenné tegye a támadók számára a biztonságos rendszerekhez és fiókokhoz való hozzáférést, de ez nem tökéletes. Két 2FA-sérülékenységről és megelőzési tippekről beszélt két biztonsági megoldás-szolgáltatóval: Stephen Cox, a SecureAuth alelnöke és fő biztonsági építésze; és Bojan Simic, a HYPR társalapítója és CTO.

VPN-használat irányelve (TechRepublic Premium)

A 2FA biztonságos?

Scott Matteson: Mennyire biztonságos a 2FA?

Stephen Cox: A fogyasztók és a munkaerő-használók továbbra is a 2FA-t használják az identitáslopások és a vállalati adatok megsértése elleni védekezésre, ám ezeket nem szabad megtéveszteni a téves biztonsági érzékben. A 2FA határozottan egy lépés a helyes irányba a mai veszélyhelyzetben, ám az erősebb biztonság és az igaz lelki nyugalom felé vezető út messze túlmutat az alapvető 2FA-n.

Bojan Simic: A 2FA sok szervezetben létezik, de rendkívül alacsony az elfogadási arány a nehézkes felhasználói élmény miatt. A vállalatok a fogyasztók és a munkavállalók számára egyaránt erős hitelesítési képességeket kínálnak, amelyek csökkentik a súrlódást és nem képesek érzékeltetni az automatikus támadásokat, ahogyan a 2FA jelenleg van.

Scott Matteson: Melyek a közelmúltban támadások, amelyek megkerülték a 2FA-t?

Stephen Cox: Ezek a támadások egyre növekszenek. Számos figyelemre méltó esemény történt önmagában az elmúlt évben.

2018 novemberében a Vovox hírközlési vállalkozást érintő adatbázis-megsértés több mint 25 millió szöveges üzenetet tett közzé, amelyek magánfeladatokat tartalmaztak, ideértve a jelszó-visszaállítási linkeket, a szállítási értesítéseket és a 2FA-kódokat.

2018 augusztusában több Reddit alkalmazott-fiókot megsértették, így a támadó hozzáférhet biztonsági mentési adatokhoz. Ez arra késztette a Reddit tisztviselőit, hogy írják: "Megtudtuk, hogy az SMS-alapú hitelesítés nem olyan biztonságos, mint azt remélnénk."

Bojan Simic: A Modlishka egy olyan eszköz, amely lehetővé teszi a megosztott titok-alapú 2FA megtámadását. Vannak olyan PUSH támadások is, amelyek egyre népszerűbbek, mivel a PUSH értesítéseket használják a hitelesítési kérelmek jóváhagyására.

Jelszókezelők: Hogyan és miért kell használni őket (ingyenes PDF) (TechRepublic)

Hogyan működnek a 2FA támadások?

Scott Matteson: Hogyan működtek ezek a 2FA támadások?

Stephen Cox: A támadások némelyike ​​nyilvánvalóan egyszerű, ha a 2FA az egyetlen helyettes biztonsági intézkedés. Valójában a támadók fél tucat módszerrel felfelé használhatják a 2FA megkerülését. Ezek tartalmazzák:

  • Valós idejű adathalászat, amelynek során a támadók e-maileket küldenek, hívásokat kezdeményeznek és replikával foglalkozó webhelyeket fejlesztenek, hogy másokkal megszemélyesítsék, és a felhasználók hitelesítési részleteit rávegyék.
  • Szöveges és hívás-elhallgatás, egy kiskapu a Signal System 7 (SS7) protokollban, amelyet a telefonszolgáltató hálózatok használnak, amelyen keresztül a támadók elfoghatják a mobiltelefonokra küldött üzeneteket.
  • Malware : a PC-kre, táblagépekre és okostelefonokra telepített rosszindulatú kód kifejezés nyitott ajtókon keresztül, amelyen keresztül a támadók másolhatják és továbbíthatják az egyszeri 2FA jelszavakat.
  • Értesítési fáradtság, ami különösen akkor hatékony, ha a felhasználók több hamis hitelesítési kérelmet kapnak, és csak az „elfogadás” gombra kell kattintaniuk. A bosszantott felhasználók gyakran elfogadják a bejelentés eltávolításának kérését.
  • A tudásalapú hitelesítés, más néven "megosztott titkok", a szociális mérnöki forma egy másik formája, amelyben a támadók könnyen hozzáférhető személyes információkat használnak szolgáltatáshoz, például bankhoz való hozzáféréshez.
  • Telefonhordozó csalás (más néven SIM-kártya csere), amelynek során egy számítógépes bűncselekmény meggyőzi a telefonszolgáltatót az áldozat SIM-kártya irányításának átruházásáról, veszélyeztetve a jövőbeni telefonos hitelesítést.

Bojan Simic: Az olyan eszközök, mint a Modlishka, úgy működnek, hogy megszemélyesítik a domaineket és proxyként működnek, így a felhasználó láthatja, hogy mi néz ki legitim webhelynek, és becsapják őket a 2FA-jaik biztosításába.

A PUSH fáradtságos támadása egyre jelentősebbé válik, mert egyre növekvő feltételezés áll fenn, hogy a jelszó már veszélybe került. A PUSH támadások alapjában véve értesítést küldnek az áldozatoknak, hogy hitelesítsék őket, amíg meg nem fáradtak belőle és nem fogadnak el egyet. Tömeges léptékben történő alkalmazás esetén még az alacsony, kevesebb, mint 3% -os siker is jelentős.

Információbiztonsági politika (TechRepublic Premium)

Célok és támadók

Scott Matteson: Ki volt a célpontja, és ki gyanítható, hogy kivitte ezeket a támadásokat?

Stephen Cox: A rosszindulatú SIM-kártyák cseréje meglehetősen általános. Egy esetben, San Francisco közelében, a hackerek megszemélyesítettek egy embert, és meggyőzték mobiltelefon-hordozóját, hogy cseréljék ki a SIM-kártyán lévő számot, és tegyék a támadó telefonjára. Aztán átirányították a hívásait és a szöveges üzeneteit a hitelesítési kódok elfogására. Röviden, egymillió dolláros megtakarítást cseréltek a bitcoinba, és kiürítették a számlát.

A Vovox-esemény még baljóslatosabb volt, de szerencsére senkit sem loptak el életben. Egy biztonsági kutató felfedezte, hogy a Vovox által kezelt adatbázis nem volt védett és könnyen megkereshető többek között a Google, az Amazon és a Microsoft által elküldött nevekre, telefonszámokra és szöveges üzenetekre. Bejelentette egy népszerű technológiai alapú webes kiadványt, amely figyelmeztette a Vovoxot a nyitott ajtóról. Az adatbázis bezáródott, de rövid idő alatt a hackerek megfigyelték az adatfolyamot, hogy elfogják a továbbított két tényezőjű hitelesítési kódokat, miután megpróbálták bejelentkezni valaki más fiókjába.

Bojan Simic: Ezek a támadások mind a fogyasztókat, mind az alkalmazottakat érintik, és korlátozott számítástechnikai ismeretekkel kivitelezhetők. Tizenéves unokaöcsém több mint képes végrehajtani ezeket a támadásokat minimális erőfeszítéssel, ha hajlandó volt erre. A 2FA támadások automatizálása egyre népszerűbbé válik, mivel a szolgáltatások egyre több tényezőt igényelnek.

Mit tehet a szervezet?

Scott Matteson: Mi megvédheti a szervezeteket a támadásoktól, és mit kell tennie a szervezeteknek a jövőben?

Stephen Cox: A két faktoros hitelesítés minden bizonnyal hatékonyabb, mint csupán a felhasználónév és a jelszó. De a támadás és az adatok megsértésének kockázata továbbra is fennáll, ha a 2FA-t rosszul alkalmazzák, különösen azokban az esetekben, amikor a megfelelő ellenőrzéseket nem veszik be a hitelesítési kihívások bemutatása előtt.

A jelszószivárgás és a hitelesítő adatokkal való visszaélés egyre növekszik, és a támadók folyamatosan új módszereket dolgoznak ki a szervezetekhez és rendszerekhez való nem megfelelő hozzáféréshez. Az identitásbiztonság fejlődő megközelítéseit át kell vennünk, amelyek javítják a biztonsági testtartást, miközben megőrzik az egyszerű felhasználói élményt.

A valós idejű metaadatokat és fenyegetés-észlelési technikákat kihasználó modern, adaptív, kockázatalapú megközelítéseknek kell szabványnak lennie. Az intelligenciát be kell építeni a hitelesítési folyamatba, amely valós időben használja ki a dinamikus vezérlőket. Szükségük van arra is, hogy blokkolják a hitelesítési kérelmeket, ha ezeket magas kockázatnak tekintik.

Ezek a kockázati tényezők magukban foglalják a névtelen proxyhasználat észlelését, a rosszindulatú IP-címek észlelését, a dinamikus földrajzi vezérléseket, az eszközvezérlőket, valamint a szokatlan hozzáférési minták vagy a túlzottan privilegizált fiókok elemzését. Miután ezeket az adaptív rétegeket átadták, a hitelesítési vezérlőket felelősségteljesen be lehet mutatni a felhasználónak.

Bojan Simic: A szervezeteknek olyan erős hitelesítést kell telepíteniük, amely nem a megosztott titkokra támaszkodik, hanem a PKC-re (nyilvános kulcsú kriptográfia) vagy a PKI-re (nyilvános kulcsú infrastruktúra). Ez elérhető a szabványalapú megoldások telepítésével a FIDO specifikációval vagy más módszerekkel a PKI-alapú hitelesítéshez. A hitelesítés központi titkosítás nélküli telepítése azt eredményezi, hogy a hackereknek fizikai hozzáféréssel kell rendelkezniük azon eszközhöz, amelyhez hozzáférni akarnak, és amelyhez gazdasági szempontból lehetetlen.

Két tényezős hitelesítés: Csalólap (TechRepublic)

Végfelhasználók védelme

Scott Matteson: Hogyan kell a végfelhasználóknak koncentrálniuk maguk védelmére?

Stephen Cox: A felhasználóknak meg kell erősíteniük jelszavaikat. Bár úgy gondoljuk, hogy az adaptív hitelesítési módszerek a legjobb módja a ma legtévesztőbb támadások leküzdésének, a jelszavak nem hamarosan eltűnnek. A megerősített adatsértések manapság továbbra is gyenge, alapértelmezett vagy ellopott jelszavakkal járnak. Nézze meg a legnépszerűbb jelszóválasztási lehetőségeket: "123456", "123456789", "qwerty" és "jelszó".

Ugyanilyen veszélyes, hogy az emberek több fiókhoz újra felhasználják jelszavaikat, annak ellenére, hogy széles körben figyelmeztettek erre a gyakorlatra. 10 felhasználó közül hétnek van duplikált jelszava.

A jelszavakon kívül kapcsolja be a 2FA-t, amikor elérhető (mint például a Gmail, a Twitter és az Apple, sok más szervezetnél). Ezenkívül, amikor csak lehetséges, használjon biometrikus adatokat, kezdve az iPhone Face ID-jétől a Windows laptopok ujjlenyomat-olvasójáig.

Kiberbiztonsági bennfentes hírlevél

Erősítse meg szervezetének informatikai biztonsági védelmét azáltal, hogy lépést tartson a legújabb kiberbiztonsági hírekkel, megoldásokkal és a bevált gyakorlatokkal. Keddenként és csütörtökön szállítva

Regisztrálj még ma

© Copyright 2021 | mobilegn.com