Hvorfor tofaktorautentisering ikke er idiotsikker

Slik konfigurerer du SSH-nøkkelgodkjenning og tofaktorautentisering på Linux for ekstern innlogging. Slik får du deg gjennom å sette opp både tofaktorautentisering og SSH-nøkkelgodkjenning for en bunnsolid ekstern innlogging av Linux-serverne dine.

Jeg har jobbet med to-faktor autentisering (2FA) i mange år, først og fremst ved hjelp av VPN-tilkoblinger og tilgang til svært sikre systemer. Det fungerer via en noe-du-har-pluss-noe-du-vet-mekanisme der brukere angir en pin / passord etterfulgt av tallene som vises på en sikker tokenhet.

Mer om cybersecurity

  • Cybersikkerhet i 2020: Åtte skremmende spådommer
  • De ti viktigste cyberangrepene i tiåret
  • Slik blir du en cybersecurity-proff: Et jukseark
  • Famous con man Frank Abagnale: Kriminalitet er 4000 ganger enklere i dag

Målet er å gjøre det umulig for angripere å få tilgang til sikrede systemer og kontoer, men det er ikke perfekt. Jeg snakket om 2FA-sårbarheter og forebyggingstips med to leverandører av sikkerhetsløsninger: Stephen Cox, visepresident og sjef for sikkerhetsarkitekt hos SecureAuth; og Bojan Simic, medgründer og CTO, HYPR.

VPN-brukspolicy (TechRepublic Premium)

Er 2FA sikker?

Scott Matteson: Hvor sikker er 2FA?

Stephen Cox: Forbrukere og arbeidskraftsbrukere fortsetter å bruke 2FA for å beskytte mot identitetstyveri og brudd på bedriftsdata, men de skal ikke lules inn i en falsk følelse av sikkerhet. 2FA er definitivt et skritt i riktig retning i dagens trussellandskap, men veien til sterkere sikkerhet og ekte sinnsro går langt utover grunnleggende 2FA.

Bojan Simic: 2FA eksisterer på tvers av mange organisasjoner, men det er ekstremt lave adopsjonssatser på grunn av den tungvint brukeropplevelsen. Bedrifter begynner å gi både forbrukere og ansatte sterke autentiseringsfunksjoner som reduserer friksjon og ikke er utsatt for automatiserte angrep, slik 2FA for tiden er.

Scott Matteson: Hva er noen nylige angrep som omgått 2FA?

Stephen Cox: Disse angrepene vokser. Flere viktige hendelser har skjedd alene det siste året.

I november 2018 utsatte et databaser brudd som involverte kommunikasjonsselskapet Vovox mer enn 25 millioner tekstmeldinger, som inneholdt privat kundeinformasjon inkludert tilbakestilling av passord, forsendelsesvarsler og 2FA-koder.

I august 2018 ble flere Reddit-ansattkontoer brutt, slik at angriperen fikk tilgang til sikkerhetskopidata. Dette fikk Reddit-tjenestemenn til å skrive: "Vi fikk vite at SMS-basert autentisering ikke er så sikker som vi håper."

Bojan Simic: Modlishka er et verktøy som tillater automatisering av å angripe delte hemmeligheter-baserte 2FA. Det er også PUSH-angrep, som blir mer populære etter hvert som PUSH-varsler brukes til å godkjenne godkjenningsforespørsler.

Passordbehandlere: Hvordan og hvorfor bruke dem (gratis PDF) (TechRepublic)

Hvordan 2FA-angrep fungerer

Scott Matteson: Hvordan fungerte disse 2FA-angrepene?

Stephen Cox: Noen av disse angrepene er åpenbart enkle når 2FA er det eneste sikkerhetstiltaket på plass. Angripere kan faktisk bruke oppover et halvt dusin metoder for å omgå 2FA. Disse inkluderer:

  • Nettfisking i sanntid, der angripere sender e-post, ringer og utvikler replika-nettsteder for å etterligne andre og lokke godkjenningsdetaljer fra brukere.
  • Tekst- og anropsavskjæring, et smutthull i Signal System 7 (SS7) -protokollen som brukes av telefonselskapets nettverk som angriperne kan avlytte meldinger sendt til mobiltelefoner.
  • Malware, betegnelsen på ondsinnet kode som er installert på PCer, nettbrett og smarttelefoner via åpne dører som angriperne kan kopiere og videresende engangs 2FA-passkoder gjennom.
  • Varslingsutmattelse, noe som er spesielt effektivt når brukere mottar flere falske godkjenningsforespørsler og bare trenger å klikke på "godta." Irriterte brukere vil ofte godta forespørselen bare for å fjerne varselet.
  • Kunnskapsbasert autentisering, også kjent som "delte hemmeligheter", er en annen form for sosial ingeniørarbeid der angripere bruker lett tilgjengelig personlig informasjon for å få tilgang til en tjeneste som en bank.
  • Svindel av telefonporting (aka SIM-kortbytte), der en nettkriminell overbeviser en telefonoperatør om å overføre kontrollen over offerets SIM-kort, noe som går ut over all fremtidig telefonbasert autentisering.

Bojan Simic: Verktøy som Modlishka fungerer ved å utgi seg etter et domene og fungere som en proxy, slik at brukeren ser hva som ser ut som et legitimt nettsted og lures til å tilby 2FA-en.

PUSH-tretthetsanfall blir betydelig fordi det antas en økende antakelse om at passordet allerede var kompromittert. PUSH angriper i utgangspunktet spam offeret med varsler for å autentisere til de blir lei av det og godtar en. Selv om en lav suksessrate på under 3% er distribuert i masseskala.

Informasjonssikkerhetspolicy (TechRepublic Premium)

Mål og angripere

Scott Matteson: Hvem ble målrettet, og hvem mistenkes å ha utført disse angrepene?

Stephen Cox: Ondsinnede SIM-kortbytter blir ganske vanlig. I ett tilfelle, nær San Francisco, etterlignet hackere seg til en mann og overbeviste mobiltelefonens transportør om å bytte nummeret på SIM-kortet og legge det på angriperens telefon. Deretter omdirigerte de samtalene og tekstmeldingene hans for å avskjære autentiseringskoder. Kort fortalt handlet de sparepengene hans på 1 million dollar til bitcoin og tømte kontoen.

Vovox-hendelsen var enda mer illevarslende, men heldigvis ble ingen livsbesparelser stjålet. En sikkerhetsforsker oppdaget at en database Vovox administrerte var ubeskyttet og lett søkbar etter navn, telefonnumre og tekstmeldinger sendt fra blant andre Google, Amazon og Microsoft. Han varslet en populær teknologibasert nettpublikasjon, som varslet Vovox om den åpne døren. Databasen stengte, men det var en kort periode hvor en hacker kunne ha overvåket en datastrøm for å avskjære tofaktors autentiseringskoder overført etter å ha prøvd å logge inn på andres konto.

Bojan Simic: Disse angrepene påvirker både forbrukere og ansatte og kan utføres av alle med begrenset datakunnskaper. Tenårings nevøen min er mer enn i stand til å utføre disse angrepene med minimal innsats hvis han var tilbøyelig til å gjøre det. Automatisering av 2FA-angrep blir mer populært ettersom tjenester begynner å kreve flere faktorer.

Hva organisasjonen kan gjøre

Scott Matteson: Hva kan beskytte organisasjoner mot disse angrepene, og hva bør organisasjoner gjøre i fremtiden?

Stephen Cox: To-faktor autentisering er absolutt mer effektiv enn bare et brukernavn og passord. Men risikoen for angrep og brudd på data forblir hvis 2FA er dårlig implementert, spesielt i tilfeller der passende kontroller ikke er inkludert før godkjenningsutfordringene blir presentert.

Passordlekkasje og misbruk av legitimasjon øker, og angripere utvikler kontinuerlig nye måter å få feil tilgang til organisasjoner og systemer. Vi må omfatte utviklende tilnærminger til identitetssikkerhet som forbedrer sikkerhetsstillingen og samtidig beholder en enkel brukeropplevelse.

Moderne, tilpasningsdyktige, risikobaserte tilnærminger som utnytter metadata i sanntid og trusselregistreringsteknikker må være standard. Intelligens må bygges inn i autentiseringsprosessen som utnytter dynamiske kontroller i sanntid. De trenger også muligheten til å blokkere godkjenningsforespørsler når de anses for å være høy risiko.

Disse risikofaktorene inkluderer å oppdage anonym proxy-bruk, påvisning av ondsinnede IP-adresser, dynamiske geokontroller, enhetskontroller og analyse for uvanlige tilgangsmønstre eller altfor privilegerte kontoer. Når disse adaptive lagene er passert, kan autentiseringskontrollene på en ansvarlig måte presenteres for brukeren.

Bojan Simic: Organisasjoner bør distribuere sterk autentisering som ikke er avhengig av delte hemmeligheter, men heller PKC (offentlig nøkkelkryptografi) eller PKI (offentlig nøkkelinfrastruktur). Dette kan oppnås ved å distribuere standardbaserte løsninger med FIDO-spesifikasjonen eller ved å bruke andre metoder for PKI-basert autentisering. Implementering av autentisering uten en delt hemmelighet resulterer i at hackere må ha fysisk tilgang til enheten som de ønsker å få tilgang til, noe som er økonomisk umulig å gjøre.

To-faktor autentisering: Et jukseark (TechRepublic)

Sluttbrukerbeskyttelse

Scott Matteson: Hvordan skal sluttbrukere fokusere på å beskytte seg selv?

Stephen Cox: Brukere må styrke passordene sine. Selv om vi mener adaptive autentiseringsmetoder er den beste måten å folie de mest snikende angrepene i dag, vil ikke passord forsvinne når som helst. Åtti prosent av bekreftede datainnbrudd i dag innebærer fortsatt svake, standard eller stjålne passord. Se på de mest populære passordvalgene: "123456, " "123456789, " "qwerty" og "passord."

Like farlig er det at folk bruker passordene sine til flere kontoer til tross for utbredt publisitetsadvarsel mot denne praksisen. Syv av ti brukere har dupliserte passord.

Utover passord, slå på 2FA når det er tilgjengelig (som med Gmail, Twitter og Apple, blant mange andre organisasjoner). Bruk også biometri når det er mulig, fra Face ID på iPhone til fingeravtrykklesere i Windows-bærbare datamaskiner.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2021 | pepebotifarra.com