Mutt
Professional
- Messages
- 1,457
- Reaction score
- 1,268
- Points
- 113
Всегда используйте двухфакторную аутентификацию (2FA), когда она предлагается, но не думайте, что она полностью безопасна.
Мне нравится двухфакторная аутентификация (2FA), и мне нравится работать в ИТ, когда ее достоинства, наконец, оцениваются и развертываются на широком спектре сайтов и служб. Когда-то обычные люди использовали двухфакторную аутентификацию для проверки подлинности веб-сайтов и учетных записей, которые раньше использовались только в государственных и корпоративных сценариях с высоким уровнем безопасности. Двухфакторная аутентификация может только снизить риск взлома.
С учетом сказанного, слишком многие люди чрезмерно уверены в безопасности, которую обеспечивает 2FA. Они думают, что 2FA нельзя взломать… непобедимо, хотя это явно не так. Они думают, что 2FA остановит продвинутые постоянные угрозы (APT), победит фишинг и социальную инженерию и остановит все виды угроз, для которых он никогда не был предназначен. 2FA страдает проблемой восприятия, из-за которой ей доверяют больше, чем она заслуживает. Его можно взломать множеством способов, в том числе и те, о которых я быстро подумал ниже.
1. Атаки "злоумышленник посередине"
Если злоумышленник-посредник (MitM) может обманом заставить вас посетить свой мошеннический веб-сайт и запросить ваши учетные данные 2FA, по сути, игра окончена. Злоумышленник MitM может подделать веб-сайт, которому вы доверяете, где вы используете 2FA, а затем обманом заставить вас ответить на запрос и украсть ваши учетные данные, созданные с помощью 2FA. Еще более распространено то, что после успешной аутентификации с использованием 2FA они могут украсть полученный токен (не 2FA). Вот отличный пример этого типа атаки.
Большинство людей не понимают, что после аутентификации с использованием 2FA (независимо от того, как вы это делаете - будь то биометрический, аппаратный токен или смарт-карта), операционная система теперь обрабатывает вашу авторизацию для разрешенных объектов, используя вторично сгенерированный программный токен. Этот токен можно украсть и использовать повторно. Например, вашему ноутбуку с Windows требуется отпечаток пальца для аутентификации и входа в систему. Как только вы это успешно сделаете, за кулисами он часто использует NT Lan Manager (NTLM) или токены Kerberos. Как вы аутентифицируетесь, обычно мало влияет на то, как вы затем авторизуетесь для доступа к объектам. Если вы собираетесь хорошо разбираться в компьютерной безопасности, вам необходимо понять эту концепцию и ее последствия. Они огромные.
2. Атаки типа "злоумышленник в конечной точке"
Подобно атакам MitM, если хакер может загрузить свое вредоносное программное обеспечение на ваш компьютер, он может изменить программное обеспечение, которое используется в вашем процессе 2FA, достаточно, чтобы либо украсть секреты, защищенные токеном 2FA, либо использовать вашу уже утвержденную аутентификацию для доступа к чему-то, что находится за ним. сцены.
Банковские (или банковские) троянцы занимаются этим с начала 2000-х годов. По сути, эти трояны ждут, пока вы успешно пройдете аутентификацию, а затем запускают скрытые мошеннические сеансы в фоновом режиме. Вы думаете, что просто проверяете свой банковский счет, а за кулисами троянец переводит все ваши деньги на оффшорный банковский счет.
Банки думали, что они победили эти типы троянов, сгенерировав вторичный код двухфакторной аутентификации, связанный с цифрой транзакции и уникальный для этой транзакции. Создатели троянца Bancos в ответ перехватили исходную запрошенную транзакцию, сгенерировали и отправили свою, гораздо более крупную транзакцию и отправили ее в банк. Банк, не подозревая, что новая транзакция была фиктивной, создаст вторичную транзакцию 2FA, используя мошенническую фигуру, а затем отправит ее законному пользователю. Законный пользователь вводил вторичный код 2FA, никогда не зная, что отправленный им код действителен только для скрытой мошеннической транзакции, которая крала все его деньги.
Банки ответили на эти новые типы атак, отправив пользователю сумму транзакции (и другие связанные данные) для подтверждения ввода кода 2FA. Банки были удивлены, узнав, что многие клиенты банков не обращали внимания на детали транзакции и были довольны вводом кода. Троянцы Bancos во многих случаях все еще могли воровать деньги.
Независимо от того, как вы аутентифицируетесь на своем компьютере или устройстве, двухфакторная аутентификация или нет, после аутентификации скрытый мошеннический пользователь или вредоносная программа могут делать все, что захотят. Он просто ждет, пока ваш компьютер не отключится, пока вы, вероятно, спите, или пока вы не заблокируете экран. Даже когда вы заблокируете экран, ваши токены аутентификации и авторизации активны и могут быть использованы повторно.
3. Взломанное программное обеспечение 2FA.
Специализированная атака «злоумышленник в конечной точке» - это компрометация программного обеспечения, связанного с устройством 2FA. Например, чтобы использовать смарт-карту на устройстве, оно должно иметь связанное со смарт-картой программное обеспечение, которое работает и распознает смарт-карту. Поставщик смарт-карты может предоставить вам программное обеспечение для установки, или общий драйвер может быть предварительно установлен на используемую вами операционную систему или устройство.
Если вы позволите хакеру установить мошенническое программное обеспечение, он сможет манипулировать или заменить законное программное обеспечение, связанное с 2FA. В случае примера смарт-карты программное обеспечение могло бы попросить смарт-карту поделиться своими сохраненными секретами при следующем использовании смарт-карты или сохранить в памяти активный токен, указывающий на успешную аутентификацию, в течение гораздо более длительного времени, чем обычно позволяет легитимное программное обеспечение. , позволяя хакеру украсть или переиграть. В некоторых сценариях мошенническое программное обеспечение может использоваться для полного кражи и замены смарт-карты на другом мошенническом устройстве.
4. Украсть и воспроизвести генератор кодов доступа.
Многие аппаратные и программные токены 2FA генерируют одноразовый код, уникальный для этого пользователя и устройства. И программное обеспечение для аутентификации, и устройство пользователя могут одновременно сгенерировать одноразовый код, а затем сравнить отправленный пользователем код с собственной копией, сгенерированной системой аутентификации, чтобы увидеть, идентичны ли они.
В большинстве случаев одноразовые коды генерируются на неограниченный срок из общего случайного «начального» значения, уникального для каждого устройства 2FA и пользователя, а затем все последующие коды генерируются из начального числа через заранее установленные интервалы времени с использованием общего алгоритм. Это тип токена 2FA, при котором пользователю предлагается ввести одноразовый код, и у него есть только от 30 секунд до нескольких минут, чтобы ответить, прежде чем будет сгенерировано новое значение. Токены RSA SecureID популяризировали эти типы устройств 2FA, хотя сегодня существуют десятки, если не сотни аналогичных аппаратных токенов, и сотни, если не тысячи, версий, основанных только на программном обеспечении.
(В общем, версии на основе только программного обеспечения не так безопасны, как версии на основе оборудования, потому что версии программного обеспечения намного легче скомпрометировать. Аппаратные токены обычно требуют физического доступа для компрометации.)
Хакеры давно узнали, что если они могут захватить исходное начальное значение и знать алгоритм генерации с синхронизацией по времени, то они могут сгенерировать и сопоставить один и тот же односторонний код так же точно, как реальная система и устройство 2FA. Некоторые устройства 2FA использовали такие слабые генераторы одноразового кода, что злоумышленники могли захватить любое из одноразовых значений, а затем сгенерировать все будущие значения. Если это может произойти без знания исходного случайного начального значения, используемый алгоритм не очень надежен с криптографической точки зрения. У вас не должно быть возможности захватить одно случайно сгенерированное значение и использовать его для более легкого поиска следующего «случайно сгенерированного» значения.
Общие широко используемые повседневные хакерские инструменты включают в себя связанные функции, так что, если хакер может получить начальное значение, он может создать поддельное устройство 2FA. Злоумышленники APT также использовали эти типы атак в своих интересах. Самый известный пример - это когда китайские хакеры взломали RSA, чтобы получить начальные значения Lockheed Martin, которые они затем использовали для взлома Lockheed Martin.
5. 2FA не требуется
Многие сервисы, в том числе популярные веб-сайты, которые позволяют использовать 2FA, не требуют этого, и это противоречит его назначению. Большинство пользователей думают, что после включения двухфакторной аутентификации ее нужно использовать всегда. Часто это не так. Большинство веб-сайтов позволяют пользователям вводить свой пароль, отвечать на вопросы по сбросу пароля или звонить в службу технической поддержки, чтобы обойти блокировщик 2FA.
На сайтах, которые позволяют пользователям входить в систему с использованием нескольких методов, включая 2FA, но не позволяют законному пользователю требовать 2FA, хакеры стали экспертами в социальной инженерии, когда техническая поддержка этих сайтов сбрасывает пароль пользователя, или хакеры просто считают и ответьте на вопросы по сбросу пароля.
Ненавижу вопросы по сбросу пароля. Их всегда легче угадать на миллионы заказов, чем защищаемый ими пароль. Я считаю вопросы сброса пароля бичом индустрии аутентификации. Их нужно истреблять, как таракана.
Хакеры также могут использовать социальную инженерию пользователя с учетными данными пароля для того же сайта, а затем использовать учетные данные с паролем вместо входа в систему 2FA. Когда сайт с поддержкой 2FA не требует входа в систему во всех случаях, это сводит на нет цель наличия 2FA.
Если ваш корпоративный мир использует 2FA, но не поддерживает его на всех сайтах и сервисах компании, это означает, что у вас есть корпоративное имя и пароль для входа в систему, и это в значительной степени сводит на нет цель использования 2FA, по крайней мере, на сайтах, которые будут использовать вашу обычную аутентификацию. Вместо этого - учетные данные -2FA.
6. Подделка предмета.
Вот маленький грязный секрет, о котором производители смарт-карт не хотят, чтобы вы знали. Каждое устройство / программное обеспечение 2FA привязано к личности пользователя / устройства. Этот идентификатор должен быть уникальным в системе аутентификации. Во многих системах 2FA, особенно смарт-картах, если вы можете изменить личность человека, даже временно, вы можете использовать любое устройство 2FA, даже подключенное к другому человеку, и использовать его для аутентификации в качестве целевого пользователя. Разрешите пояснить на примере.
Предположим, ваша смарт-карта привязана к идентификатору с именем user1@example.com. Хакер, получивший любую другую смарт-карту и PIN-код (скажем, от пользователя user2), может войти в систему аутентификации и изменить идентификатор пользователя user1 на user2 и наоборот. Затем они могут войти в систему как user2, используя смарт-карту и PIN-код пользователя user2, и система зарегистрирует их и будет отслеживать их при аудите, как если бы они были user1. После того, как они выполнят свои мошеннические действия, они могут просто переключить идентификационные данные обратно, даже не зная PIN-код пользователя user1 и не обладая смарт-картой пользователя user1, и user1 не станет мудрее. Смарт-карты готовы к внутренним инсайдерским атакам с двухфакторной аутентификацией.
Это верно для многих устройств 2FA. Все, что используется для однозначной идентификации пользователя / устройства, «привязывает» устройство 2FA к этому пользователю / устройству. Если у кого-то есть разрешения на изменение чьей-либо личности, он может буквально переключить личность этого пользователя / устройства на любое другое устройство 2FA (которым он управляет). Вы должны контролировать и проверять любые изменения атрибутов идентичности так же тщательно, как и изменения пароля.
7. Украденные биометрические данные.
Атрибуты вашей биометрической идентичности (например, отпечатки пальцев или сканирование сетчатки глаза) могут быть украдены и повторно использованы, и вам будет трудно отказать злоумышленнику в их использовании. Есть много других проблем с биометрической идентификацией (например, огромное количество ложноотрицательных и ложноположительных результатов), но самая большая заключается в том, что в случае их кражи они навсегда скомпрометированы. Если пароль украден, его можно просто изменить. Вы не можете легко изменить свои отпечатки пальцев или сканирование сетчатки глаза.
8. Общая интегрированная проверка подлинности.
Я большой поклонник общих интегрированных схем аутентификации, таких как oAuth, которые позволяют пользователю войти в систему один раз, а затем повторно использовать эти учетные данные (часто за кулисами) для входа в другие службы и веб-сайты. При интеграции используется общая проверка подлинности, часто компонент 2FA, который требовался при исходной проверке подлинности, не требуется снова для второго и других последующих входов в систему, даже если для этого последующего входа обычно требуется вход в систему 2FA. Интегрированные общие входы в систему часто используют уже аутентифицированный маркер для дополнительных входов.
9. Социальная инженерия
Поскольку все больше и больше веб-сайтов разрешают или требуют двухфакторной аутентификации, хакеры научились извлекать из них социальную инженерию пользователей. Эти атаки могут быть похожи на атаки MitM или «человек в конечной точке», о которых я говорил выше, но могут быть более сложными и вовлекать поставщика, которому требуется непреднамеренное участие 2FA. Вот пример такой атаки. Короче говоря, то, что вы используете двухфакторную аутентификацию, не означает, что вас нельзя обмануть.
10. Атаки методом перебора 2FA.
Нет ничего удивительного в том, что токены 2FA могут быть потеряны и восстановлены хакерами. Если сайт или служба, использующие вход в систему с помощью двухфакторной аутентификации, не имеют средств контроля неудачных попыток входа в систему, злоумышленники могут снова и снова угадывать введенный двухфакторной аутентификацией требуемый ПИН-код, пока не получат все правильно. На большинстве сайтов с 2FA есть элементы управления блокировкой, но не на всех. Вот недавний пример, когда кто-то жалуется на отсутствие плохих элементов управления входом в очень популярную службу, что впоследствии было исправлено.
11. Реализации багги
Можно с уверенностью сказать, что существует больше сайтов и программного обеспечения для входа в систему с 2FA, которые содержат ошибки, позволяющие обойти 2FA, чем сайтов, которые имеют его полностью защищенным. Вот пример, но есть еще сотни примеров ошибочных реализаций 2FA.
Как защититься от атак 2FA
Тот факт, что вход в систему с двухфакторной аутентификацией может быть успешно атакован, не означает, что вы не можете усложнить задачу. Вот несколько рекомендаций, чтобы остановить атаки 2FA, многие из которых вы уже должны использовать:
Мне нравится двухфакторная аутентификация (2FA), и мне нравится работать в ИТ, когда ее достоинства, наконец, оцениваются и развертываются на широком спектре сайтов и служб. Когда-то обычные люди использовали двухфакторную аутентификацию для проверки подлинности веб-сайтов и учетных записей, которые раньше использовались только в государственных и корпоративных сценариях с высоким уровнем безопасности. Двухфакторная аутентификация может только снизить риск взлома.
С учетом сказанного, слишком многие люди чрезмерно уверены в безопасности, которую обеспечивает 2FA. Они думают, что 2FA нельзя взломать… непобедимо, хотя это явно не так. Они думают, что 2FA остановит продвинутые постоянные угрозы (APT), победит фишинг и социальную инженерию и остановит все виды угроз, для которых он никогда не был предназначен. 2FA страдает проблемой восприятия, из-за которой ей доверяют больше, чем она заслуживает. Его можно взломать множеством способов, в том числе и те, о которых я быстро подумал ниже.
1. Атаки "злоумышленник посередине"
Если злоумышленник-посредник (MitM) может обманом заставить вас посетить свой мошеннический веб-сайт и запросить ваши учетные данные 2FA, по сути, игра окончена. Злоумышленник MitM может подделать веб-сайт, которому вы доверяете, где вы используете 2FA, а затем обманом заставить вас ответить на запрос и украсть ваши учетные данные, созданные с помощью 2FA. Еще более распространено то, что после успешной аутентификации с использованием 2FA они могут украсть полученный токен (не 2FA). Вот отличный пример этого типа атаки.
Большинство людей не понимают, что после аутентификации с использованием 2FA (независимо от того, как вы это делаете - будь то биометрический, аппаратный токен или смарт-карта), операционная система теперь обрабатывает вашу авторизацию для разрешенных объектов, используя вторично сгенерированный программный токен. Этот токен можно украсть и использовать повторно. Например, вашему ноутбуку с Windows требуется отпечаток пальца для аутентификации и входа в систему. Как только вы это успешно сделаете, за кулисами он часто использует NT Lan Manager (NTLM) или токены Kerberos. Как вы аутентифицируетесь, обычно мало влияет на то, как вы затем авторизуетесь для доступа к объектам. Если вы собираетесь хорошо разбираться в компьютерной безопасности, вам необходимо понять эту концепцию и ее последствия. Они огромные.
2. Атаки типа "злоумышленник в конечной точке"
Подобно атакам MitM, если хакер может загрузить свое вредоносное программное обеспечение на ваш компьютер, он может изменить программное обеспечение, которое используется в вашем процессе 2FA, достаточно, чтобы либо украсть секреты, защищенные токеном 2FA, либо использовать вашу уже утвержденную аутентификацию для доступа к чему-то, что находится за ним. сцены.
Банковские (или банковские) троянцы занимаются этим с начала 2000-х годов. По сути, эти трояны ждут, пока вы успешно пройдете аутентификацию, а затем запускают скрытые мошеннические сеансы в фоновом режиме. Вы думаете, что просто проверяете свой банковский счет, а за кулисами троянец переводит все ваши деньги на оффшорный банковский счет.
Банки думали, что они победили эти типы троянов, сгенерировав вторичный код двухфакторной аутентификации, связанный с цифрой транзакции и уникальный для этой транзакции. Создатели троянца Bancos в ответ перехватили исходную запрошенную транзакцию, сгенерировали и отправили свою, гораздо более крупную транзакцию и отправили ее в банк. Банк, не подозревая, что новая транзакция была фиктивной, создаст вторичную транзакцию 2FA, используя мошенническую фигуру, а затем отправит ее законному пользователю. Законный пользователь вводил вторичный код 2FA, никогда не зная, что отправленный им код действителен только для скрытой мошеннической транзакции, которая крала все его деньги.
Банки ответили на эти новые типы атак, отправив пользователю сумму транзакции (и другие связанные данные) для подтверждения ввода кода 2FA. Банки были удивлены, узнав, что многие клиенты банков не обращали внимания на детали транзакции и были довольны вводом кода. Троянцы Bancos во многих случаях все еще могли воровать деньги.
Независимо от того, как вы аутентифицируетесь на своем компьютере или устройстве, двухфакторная аутентификация или нет, после аутентификации скрытый мошеннический пользователь или вредоносная программа могут делать все, что захотят. Он просто ждет, пока ваш компьютер не отключится, пока вы, вероятно, спите, или пока вы не заблокируете экран. Даже когда вы заблокируете экран, ваши токены аутентификации и авторизации активны и могут быть использованы повторно.
3. Взломанное программное обеспечение 2FA.
Специализированная атака «злоумышленник в конечной точке» - это компрометация программного обеспечения, связанного с устройством 2FA. Например, чтобы использовать смарт-карту на устройстве, оно должно иметь связанное со смарт-картой программное обеспечение, которое работает и распознает смарт-карту. Поставщик смарт-карты может предоставить вам программное обеспечение для установки, или общий драйвер может быть предварительно установлен на используемую вами операционную систему или устройство.
Если вы позволите хакеру установить мошенническое программное обеспечение, он сможет манипулировать или заменить законное программное обеспечение, связанное с 2FA. В случае примера смарт-карты программное обеспечение могло бы попросить смарт-карту поделиться своими сохраненными секретами при следующем использовании смарт-карты или сохранить в памяти активный токен, указывающий на успешную аутентификацию, в течение гораздо более длительного времени, чем обычно позволяет легитимное программное обеспечение. , позволяя хакеру украсть или переиграть. В некоторых сценариях мошенническое программное обеспечение может использоваться для полного кражи и замены смарт-карты на другом мошенническом устройстве.
4. Украсть и воспроизвести генератор кодов доступа.
Многие аппаратные и программные токены 2FA генерируют одноразовый код, уникальный для этого пользователя и устройства. И программное обеспечение для аутентификации, и устройство пользователя могут одновременно сгенерировать одноразовый код, а затем сравнить отправленный пользователем код с собственной копией, сгенерированной системой аутентификации, чтобы увидеть, идентичны ли они.
В большинстве случаев одноразовые коды генерируются на неограниченный срок из общего случайного «начального» значения, уникального для каждого устройства 2FA и пользователя, а затем все последующие коды генерируются из начального числа через заранее установленные интервалы времени с использованием общего алгоритм. Это тип токена 2FA, при котором пользователю предлагается ввести одноразовый код, и у него есть только от 30 секунд до нескольких минут, чтобы ответить, прежде чем будет сгенерировано новое значение. Токены RSA SecureID популяризировали эти типы устройств 2FA, хотя сегодня существуют десятки, если не сотни аналогичных аппаратных токенов, и сотни, если не тысячи, версий, основанных только на программном обеспечении.
(В общем, версии на основе только программного обеспечения не так безопасны, как версии на основе оборудования, потому что версии программного обеспечения намного легче скомпрометировать. Аппаратные токены обычно требуют физического доступа для компрометации.)
Хакеры давно узнали, что если они могут захватить исходное начальное значение и знать алгоритм генерации с синхронизацией по времени, то они могут сгенерировать и сопоставить один и тот же односторонний код так же точно, как реальная система и устройство 2FA. Некоторые устройства 2FA использовали такие слабые генераторы одноразового кода, что злоумышленники могли захватить любое из одноразовых значений, а затем сгенерировать все будущие значения. Если это может произойти без знания исходного случайного начального значения, используемый алгоритм не очень надежен с криптографической точки зрения. У вас не должно быть возможности захватить одно случайно сгенерированное значение и использовать его для более легкого поиска следующего «случайно сгенерированного» значения.
Общие широко используемые повседневные хакерские инструменты включают в себя связанные функции, так что, если хакер может получить начальное значение, он может создать поддельное устройство 2FA. Злоумышленники APT также использовали эти типы атак в своих интересах. Самый известный пример - это когда китайские хакеры взломали RSA, чтобы получить начальные значения Lockheed Martin, которые они затем использовали для взлома Lockheed Martin.
5. 2FA не требуется
Многие сервисы, в том числе популярные веб-сайты, которые позволяют использовать 2FA, не требуют этого, и это противоречит его назначению. Большинство пользователей думают, что после включения двухфакторной аутентификации ее нужно использовать всегда. Часто это не так. Большинство веб-сайтов позволяют пользователям вводить свой пароль, отвечать на вопросы по сбросу пароля или звонить в службу технической поддержки, чтобы обойти блокировщик 2FA.
На сайтах, которые позволяют пользователям входить в систему с использованием нескольких методов, включая 2FA, но не позволяют законному пользователю требовать 2FA, хакеры стали экспертами в социальной инженерии, когда техническая поддержка этих сайтов сбрасывает пароль пользователя, или хакеры просто считают и ответьте на вопросы по сбросу пароля.
Ненавижу вопросы по сбросу пароля. Их всегда легче угадать на миллионы заказов, чем защищаемый ими пароль. Я считаю вопросы сброса пароля бичом индустрии аутентификации. Их нужно истреблять, как таракана.
Хакеры также могут использовать социальную инженерию пользователя с учетными данными пароля для того же сайта, а затем использовать учетные данные с паролем вместо входа в систему 2FA. Когда сайт с поддержкой 2FA не требует входа в систему во всех случаях, это сводит на нет цель наличия 2FA.
Если ваш корпоративный мир использует 2FA, но не поддерживает его на всех сайтах и сервисах компании, это означает, что у вас есть корпоративное имя и пароль для входа в систему, и это в значительной степени сводит на нет цель использования 2FA, по крайней мере, на сайтах, которые будут использовать вашу обычную аутентификацию. Вместо этого - учетные данные -2FA.
6. Подделка предмета.
Вот маленький грязный секрет, о котором производители смарт-карт не хотят, чтобы вы знали. Каждое устройство / программное обеспечение 2FA привязано к личности пользователя / устройства. Этот идентификатор должен быть уникальным в системе аутентификации. Во многих системах 2FA, особенно смарт-картах, если вы можете изменить личность человека, даже временно, вы можете использовать любое устройство 2FA, даже подключенное к другому человеку, и использовать его для аутентификации в качестве целевого пользователя. Разрешите пояснить на примере.
Предположим, ваша смарт-карта привязана к идентификатору с именем user1@example.com. Хакер, получивший любую другую смарт-карту и PIN-код (скажем, от пользователя user2), может войти в систему аутентификации и изменить идентификатор пользователя user1 на user2 и наоборот. Затем они могут войти в систему как user2, используя смарт-карту и PIN-код пользователя user2, и система зарегистрирует их и будет отслеживать их при аудите, как если бы они были user1. После того, как они выполнят свои мошеннические действия, они могут просто переключить идентификационные данные обратно, даже не зная PIN-код пользователя user1 и не обладая смарт-картой пользователя user1, и user1 не станет мудрее. Смарт-карты готовы к внутренним инсайдерским атакам с двухфакторной аутентификацией.
Это верно для многих устройств 2FA. Все, что используется для однозначной идентификации пользователя / устройства, «привязывает» устройство 2FA к этому пользователю / устройству. Если у кого-то есть разрешения на изменение чьей-либо личности, он может буквально переключить личность этого пользователя / устройства на любое другое устройство 2FA (которым он управляет). Вы должны контролировать и проверять любые изменения атрибутов идентичности так же тщательно, как и изменения пароля.
7. Украденные биометрические данные.
Атрибуты вашей биометрической идентичности (например, отпечатки пальцев или сканирование сетчатки глаза) могут быть украдены и повторно использованы, и вам будет трудно отказать злоумышленнику в их использовании. Есть много других проблем с биометрической идентификацией (например, огромное количество ложноотрицательных и ложноположительных результатов), но самая большая заключается в том, что в случае их кражи они навсегда скомпрометированы. Если пароль украден, его можно просто изменить. Вы не можете легко изменить свои отпечатки пальцев или сканирование сетчатки глаза.
8. Общая интегрированная проверка подлинности.
Я большой поклонник общих интегрированных схем аутентификации, таких как oAuth, которые позволяют пользователю войти в систему один раз, а затем повторно использовать эти учетные данные (часто за кулисами) для входа в другие службы и веб-сайты. При интеграции используется общая проверка подлинности, часто компонент 2FA, который требовался при исходной проверке подлинности, не требуется снова для второго и других последующих входов в систему, даже если для этого последующего входа обычно требуется вход в систему 2FA. Интегрированные общие входы в систему часто используют уже аутентифицированный маркер для дополнительных входов.
9. Социальная инженерия
Поскольку все больше и больше веб-сайтов разрешают или требуют двухфакторной аутентификации, хакеры научились извлекать из них социальную инженерию пользователей. Эти атаки могут быть похожи на атаки MitM или «человек в конечной точке», о которых я говорил выше, но могут быть более сложными и вовлекать поставщика, которому требуется непреднамеренное участие 2FA. Вот пример такой атаки. Короче говоря, то, что вы используете двухфакторную аутентификацию, не означает, что вас нельзя обмануть.
10. Атаки методом перебора 2FA.
Нет ничего удивительного в том, что токены 2FA могут быть потеряны и восстановлены хакерами. Если сайт или служба, использующие вход в систему с помощью двухфакторной аутентификации, не имеют средств контроля неудачных попыток входа в систему, злоумышленники могут снова и снова угадывать введенный двухфакторной аутентификацией требуемый ПИН-код, пока не получат все правильно. На большинстве сайтов с 2FA есть элементы управления блокировкой, но не на всех. Вот недавний пример, когда кто-то жалуется на отсутствие плохих элементов управления входом в очень популярную службу, что впоследствии было исправлено.
11. Реализации багги
Можно с уверенностью сказать, что существует больше сайтов и программного обеспечения для входа в систему с 2FA, которые содержат ошибки, позволяющие обойти 2FA, чем сайтов, которые имеют его полностью защищенным. Вот пример, но есть еще сотни примеров ошибочных реализаций 2FA.
Как защититься от атак 2FA
Тот факт, что вход в систему с двухфакторной аутентификацией может быть успешно атакован, не означает, что вы не можете усложнить задачу. Вот несколько рекомендаций, чтобы остановить атаки 2FA, многие из которых вы уже должны использовать:
- Информируйте администраторов и пользователей об угрозах и атаках двухфакторной аутентификации.
- Спросите своего поставщика, насколько хорошо они справляются с каждым из вышеупомянутых сценариев атак, если они применимы к вашему использованию 2FA.
- Убедитесь, что в системах всегда установлено новейшее антивирусное программное обеспечение для обнаружения и предотвращения вредоносных программ и хакеров, которые могут попытаться обойти или украсть ваши учетные данные 2FA.
- Убедитесь, что ваши пользователи понимают и обучены сценариям 2FA-социальной инженерии. Им не следует с готовностью раздавать свои PIN-коды 2FA или использовать свои устройства / программное обеспечение 2FA для каждого веб-сайта и электронной почты с запросом.
- Если на сайте или в сервисе разрешено использование двухфакторной аутентификации, используйте ее. Когда его можно использовать и вы можете включить требование 2FA для входа в систему, включите необходимое использование.
- Узнайте, что ваш поставщик двухфакторной аутентификации позволяет использовать двухфакторную аутентификацию. Могут ли они быть социально спроектированы на основе ваших учетных данных 2FA?
- Спросите своего поставщика учетных данных 2FA, использовали ли они передовые методы кодирования безопасного жизненного цикла разработки (SDL) при разработке оборудования и программного обеспечения.
- Защита и аудит атрибутов идентификации, используемых 2FA для уникальной идентификации входов в систему.
- Не отвечайте на вопросы по сбросу пароля, используя честные ответы.
- Поощряйте и используйте сайты и службы для использования динамической аутентификации, которая увеличивает количество вопросов или факторов, необходимых, когда запрос входа в систему исходит от нового устройства или какого-либо другого неестественного атрибута (например, иностранное местоположение или необычное время).
