Помните, когда многофакторная аутентификация (MFA) давала специалистам по безопасности то приятное, теплое чувство, что их данные и пользователи защищены? Те времена прошли. Традиционные подходы к MFA больше не помогают, поскольку злоумышленники разработали эффективные обходные пути для взлома этой двери настежь. В качестве доказательства рассмотрим громкие прошлогодние нарушения в Okta, Uber и Cisco, и это лишь некоторые из них. Срочно необходим лучший подход — и он начинается со спецификаций аутентификации пользователя FIDO2.
Слабые стороны MFA
Зачем нам нужен новый подход к аутентификации? Обход существующих методов MFA для получения учетных данных сотрудников или захвата учетных записей сотрудников стал детской забавой для злоумышленников. На YouTube даже есть видеоролики, объясняющие, как это сделать. Методы варьируются от простого фишинга до push-бомбардировки, когда злоумышленники отправляют push-уведомления до тех пор, пока сотрудник не примет их, до более сложных эксплойтов протокола связи SS7 для получения текстовых кодов MFA.
Например, возьмем в качестве второго фактора распространенный метод MFA использования push-уведомлений.
Один из распространенных подходов, используемых злоумышленниками, заключается в создании поддельной страницы входа в компанию, а затем рассылке фишинговых электронных писем, чтобы привлечь сотрудников на эту страницу. Когда сотрудник вводит свое имя пользователя и пароль на поддельную страницу, злоумышленник просто берет учетные данные и вводит их на настоящую страницу входа. Когда сотрудник получает запрос MFA (push-уведомление), он, скорее всего, сочтет его подлинным и нажмет “Да”. С помощью этого простого подхода злоумышленник теперь скомпрометировал учетную запись сотрудника и получил плацдарм в сети компании, который может позволить ему перемещаться вбок и устанавливать вредоносное ПО или программу-вымогатель.
Люди как точка отказа
Не все уязвимости являются техническими. Социальная инженерия становится все более изощренной: злоумышленники используют текстовые сообщения и голосовые вызовы, нацеленные на конкретных сотрудников, чтобы придать достоверности и срочности этому фишинговому электронному письму. Злоумышленники выдают себя за ИТ-специалистов или других доверенных лиц, чтобы создать доверительные отношения с целевым сотрудником. Эти методы могут быть очень эффективными, поскольку незадачливые пользователи охотно сделают то, о чем их просят, предполагая, что они разговаривают с доверенным лицом из своей собственной организации.
Введите стандарт FIDO2
Итак, что такое FIDO2 и как он может помочь устранить эти уязвимости MFA? Разработанный альянсом Fast Identity Online (FIDO), FIDO2 представляет собой метод аутентификации, содержащий два компонента: WebAuthn (W3C) и CTAP (FIDO Alliance), которые вместе устраняют пробелы в безопасности стандартных сервисов MFA.
С FIDO2 сайт, запрашивающий аутентификацию, создает запрос аутентификации, шифрует его с помощью открытого ключа зарегистрированного аутентификатора и отправляет его пользователю через пользовательский агент (браузер), который первоначально запрашивал доступ. Браузер добавляет некоторый контекст и перенаправляет на подключенный аутентификатор. Аутентификатор расшифровывает запрос с помощью своего закрытого ключа и сравнивает его со своими собственными регистрационными записями и контекстом, предоставляемым браузером. По природе этого процесса злоумышленники, использующие украденные учетные данные, блокируются (они получают вызов, но ничего не могут сделать, поскольку у них нет средства аутентификации). Злоумышленники, которые активно используют man-in-the-middle, также обнаруживаются и блокируются (они могут воспроизводить двунаправленный трафик, но они не могут создать вызов, который был бы принят аутентификатором). Этот метод делает практически невозможным компрометацию MFA. Ключевыми особенностями FIDO2 являются:
- Учетные данные для аутентификации основаны на парах закрытого / открытого ключей.
- Нет общих секретов — закрытый ключ генерируется аутентификатором FIDO2, хранится на защищенном оборудовании в аутентификаторе и не может быть экспортирован или изменен. При регистрации на серверную часть (веб-сайт) отправляется только открытый ключ.
- Вызовы аутентификации доставляются агенту пользователя (браузеру), который добавляет контекст о вызове, а затем передает его подключенному аутентификатору FIDO2, который позволяет обнаружить посредника.
- Платформенные аутентификаторы (привязанные к платформе и доступные только на этом устройстве) и перемещаемые аутентификаторы (которые можно использовать на любом устройстве).
Почему не все используют FIDO2 MFA?
Специалисты по безопасности признают ценность MFA на основе FIDO2. Однако, поскольку компаниям необходимо покупать, распространять и управлять физическими ключами безопасности FIDO2, дополнительные затраты и сложность замедлили внедрение. Кроме того, пользователям действительно не нравится использовать физический ключ безопасности — это еще одна часть оборудования, которую им приходится носить с собой. Из-за этих факторов многие компании будут внедрять FIDO2 для сотрудников с высоким риском, но использовать стандартный MFA для других сотрудников.
Защита от фишинга
Методы аутентификации, основанные на FIDO2, наиболее близки к решению, защищенному от фишинга, и сообщество безопасности приняло это к сведению. Агентство по кибербезопасности и инфраструктурной безопасности (CISA) недавно назвало FIDO “золотым стандартом” аутентификации, призвав корпоративных лидеров сделать это частью своей стратегии MFA. Федеральные агентства США также переходят на FIDO2 для устранения уязвимостей существующих методов MFA.
По мере того, как он получает все более широкое признание, ожидайте увидеть FIDO2 в качестве рекомендуемого или даже обязательного стандарта для онлайн-взаимодействий / транзакций, где критически важные данные должны быть защищены. В настоящее время большинству страховщиков киберстрахования требуется внедрение MFA для получения страхового покрытия. нетрудно представить, что это требование распространяется и на FIDO2.
Время улучшить свою игру
Для любой организации, обеспокоенной киберпреступностью — и экономическим риском для репутации, который она представляет, — упреждающее внедрение аутентификации FIDO2 кажется разумным деловым шагом. Для организаций, которые полагаются на поставщиков или партнеров в онлайн-взаимодействии с сотрудниками и / или клиентами, сейчас самое подходящее время выяснить, внедрили ли они FIDO2.
Поскольку киберпреступники продолжают свою игру, организации должны поступать аналогичным образом. Не ждите, пока злоумышленник обнаружит ваше слабое место. Сейчас самое время критически взглянуть на ваши протоколы аутентификации и посмотреть, как FIDO2 может устранить недостатки MFA и закрыть эту дверь.