O MFA impede ataques de reprodução?
Eduque todas as partes interessadas da MFA sobre sua solução de MFA, ensine o que a solução faz e não protege e como reconhecer e impedir ataques comuns de engenharia social contra sua forma de MFA. Simulações contínuas de treinamento e phishing garantem que os funcionários tenham experiência em primeira mão das mais recentes técnicas de phishing e implementação prática das melhores práticas de segurança de que todos continuam falando. Dessa forma, mesmo que os cibercriminosos comprometam o MFA avançado em algum momento, a equipe de segurança capacitou os funcionários o suficiente para impedir os ataques de phishing, que provavelmente são o primeiro passo de muitas tentativas de roubo de credenciais.
Impedir ameaças comuns de segurança cibernética
Auth0 possui recursos de proteção de ataque que podem se proteger contra certos tipos de ataques.
Ataques da brigada de balde
Um tipo de ameaça é um ataque de brigada de balde, às vezes chamado de ataque de “homem no meio”, onde o atacante fica entre duas partes. Cada parte acha que está interagindo sobre uma conexão privada, mas a interação está realmente sendo controlada pelo atacante de terceiros. Para que esse tipo de ataque tenha sucesso, o invasor deve criar autenticação mútua entre ambas as partes.
Geralmente, ataques de brigada de balde envolvem o atacante usando um roteador WiFi para interceptar a comunicação de um usuário. O usuário se conecta ao roteador do invasor, visita um site e faz login com suas credenciais confidenciais. O invasor salva as credenciais de login desse usuário para as quais eles podem usar para se passar pelo usuário.
Alguns ataques de brigada de balde também podem modificar os dados transmitidos entre o aplicativo e o servidor. Os ataques podem ocorrer em novos testes de PC e software pré -instalado, ferramentas de atualização de software e outras vulnerabilidades de software. Na pior das hipóteses, isso pode resultar em execução de código remoto, backdooring do sistema, instalando malware e assim por diante. Isso também pode levar ao compromisso de outros ativos de rede.
Para ajudar a se defender contra esse tipo de ataque, é importante usar criptografia e autenticação fortes entre o aplicativo e o servidor. Usando a criptografia, o servidor autentica a solicitação do aplicativo apresentando um certificado digital e só então a conexão pode ser estabelecida. Por exemplo, o HTTPS usa a capacidade de camada de soquetes seguros (SSL) do navegador para mascarar o tráfego da web. Para descriptografar HTTPs, um invasor teria que obter as chaves usadas para criptografar o tráfego de rede.
Com a configuração do TLS em seus servidores, sugerimos o uso das recomendações do Mozilla Opsec que usam TLSV1.2. O Mozilla também fornece um gerador de configuração SSL, para usar isso primeiro, escolha qual plataforma seu servidor está em execução e depois escolha a configuração mais moderna com base no que sua base de aplicativos pode suportar. As configurações mais modernas fornecem cifras mais fortes para ajudar a evitar ataques.
Replay ataques
Os ataques de reprodução (ou reprodução) permitem que os atacantes:
- Obter acesso a uma rede e informações que não teriam sido facilmente acessíveis
- Completar uma transação duplicada
Estes são ataques ao protocolo de segurança usando replays de transmissão de dados de um remetente diferente para o sistema de recebimento pretendido. Os ataques enganam os participantes a acreditar que concluíram com êxito a transmissão de dados.
Os ataques de reprodução podem ser evitados usando tokens de sessão. No entanto, se essas credenciais forem roubadas do armazenamento local (como durante um ataque XSS), existem maneiras de impedir que alguém se mantenha a um token válido para sempre:
- Defina um curto tempo de validade para tokens
- Forneça uma maneira de adicionar tokens ao denilista que foram usados (e possivelmente até os usuários)
- Use senhas únicas
A especificação JWT fornece o campo JTI como uma maneira de evitar ataques de reprodução. Embora os tokens Auth0 atualmente não retornem o JTI, você pode adicionar tokens ao denilista usando o JTI para impedir que um token seja usado mais do que um número especificado de vezes. Dessa forma, você está implementando algo semelhante a um (pense na assinatura do token como o nonce). Se um token for roubado ou for usado mais do que o número especificado de vezes, ele deve ser adicionado ao denilista. Isso impede que um token válido seja usado maliciosamente. Uma vez que o token expirar, o invasor não poderá mais se passar pelo usuário.
Você também pode evitar ataques de reprodução usando senhas únicas. Com o Auth0, você pode usar a autenticação, que depende de códigos de uso único e links de email em vez de senhas tradicionais. Auth0 também fornece (MFA), que usa senhas únicas como uma autenticação de segundo fator que pode ser enviada por meio de notificações e textos push.
Falsificação de solicitação entre sites
Um ataque de falsificação de solicitação entre sites (CSRF ou XSRF) ocorre quando um programa malicioso faz. Esse tipo de ataque tem como alvo especificamente os pedidos de mudança de estado para iniciar um tipo de ação em vez de obter dados do usuário, porque o invasor não tem como ver a resposta da solicitação forjada.
Uma maneira de verificar os pedidos que estão sendo enviados é utilizar o parâmetro de estado do protocolo para autenticar a resposta.
Saber mais
- Tokens
- Proteção de ataque
- Dicas de segurança geral
O MFA impede ataques de reprodução?
Os ataques de reprodução interceptam dados válidos para refletir fraudulentamente um envio genuíno. Os invasores usam técnicas de registro para seguir e copiar fluxos de mensagens e reproduzir envios para um participante que, sem saber, processa uma mensagem como legítima. Os ataques de reprodução são uma preocupação particular para a autenticação biométrica em um CL
O MFA impede ataques de reprodução?
Eduque todas as partes interessadas da MFA sobre sua solução de MFA, ensine o que a solução faz e não faz’T Proteção contra e como reconhecer e prevenir ataques comuns de engenharia social contra sua forma de MFA. Simulações contínuas de treinamento e phishing garantem que os funcionários tenham experiência em primeira mão das mais recentes técnicas de phishing e implementação prática das melhores práticas de segurança de que todos continuam falando. Dessa forma, mesmo que os cibercriminosos comprometam o MFA avançado em algum momento, a equipe de segurança capacitou os funcionários o suficiente para impedir os ataques de phishing, que provavelmente são o primeiro passo de muitas tentativas de roubo de credenciais.
Impedir ameaças comuns de segurança cibernética
Auth0 possui recursos de proteção de ataque que podem se proteger contra certos tipos de ataques.
Ataques da brigada de balde
Um tipo de ameaça é um ataque de brigada de balde, às vezes chamado de ataque de “homem no meio”, onde o atacante fica entre duas partes. Cada parte acha que está interagindo sobre uma conexão privada, mas a interação está realmente sendo controlada pelo atacante de terceiros. Para que esse tipo de ataque tenha sucesso, o invasor deve criar autenticação mútua entre ambas as partes.
Geralmente, ataques de brigada de balde envolvem o atacante usando um roteador WiFi para interceptar a comunicação de um usuário. O usuário se conecta ao roteador do invasor, visita um site e faz login com suas credenciais confidenciais. O invasor salva as credenciais de login desse usuário para as quais eles podem usar para se passar pelo usuário.
Alguns ataques de brigada de balde também podem modificar os dados transmitidos entre o aplicativo e o servidor. Os ataques podem ocorrer em novos testes de PC e software pré -instalado, ferramentas de atualização de software e outras vulnerabilidades de software. Na pior das hipóteses, isso pode resultar em execução de código remoto, backdooring do sistema, instalando malware e assim por diante. Isso também pode levar ao compromisso de outros ativos de rede.
Para ajudar a se defender contra esse tipo de ataque, é importante usar criptografia e autenticação fortes entre o aplicativo e o servidor. Usando a criptografia, o servidor autentica a solicitação do aplicativo apresentando um certificado digital e só então a conexão pode ser estabelecida. Por exemplo, o HTTPS usa a capacidade de camada de soquetes seguros (SSL) do navegador para mascarar o tráfego da web. Para descriptografar HTTPs, um invasor teria que obter as chaves usadas para criptografar o tráfego de rede.
Com a configuração do TLS em seus servidores, sugerimos o uso das recomendações do Mozilla Opsec que usam TLSV1.2. O Mozilla também fornece um gerador de configuração SSL, para usar isso primeiro, escolha qual plataforma seu servidor está em execução e depois escolha a configuração mais moderna com base no que sua base de aplicativos pode suportar. As configurações mais modernas fornecem cifras mais fortes para ajudar a evitar ataques.
Replay ataques
Os ataques de reprodução (ou reprodução) permitem que os atacantes:
- Obter acesso a uma rede e informações que não teriam sido facilmente acessíveis
- Completar uma transação duplicada
Estes são ataques ao protocolo de segurança usando replays de transmissão de dados de um remetente diferente para o sistema de recebimento pretendido. Os ataques enganam os participantes a acreditar que concluíram com êxito a transmissão de dados.
Os ataques de reprodução podem ser evitados usando tokens de sessão. No entanto, se essas credenciais forem roubadas do armazenamento local (como durante um ataque XSS), existem maneiras de impedir que alguém se mantenha a um token válido para sempre:
- Defina um curto tempo de validade para tokens
- Forneça uma maneira de adicionar tokens ao denilista que foram usados (e possivelmente até os usuários)
- Use senhas únicas
A especificação JWT fornece o campo JTI como uma maneira de evitar ataques de reprodução. Embora os tokens Auth0 atualmente não retornem o JTI, você pode adicionar tokens ao denilista usando o JTI para impedir que um token seja usado mais do que um número especificado de vezes. Dessa forma, você está implementando algo semelhante a um (pense na assinatura do token como o nonce). Se um token for roubado ou for usado mais do que o número especificado de vezes, ele deve ser adicionado ao denilista. Isso impede que um token válido seja usado maliciosamente. Uma vez que o token expirar, o invasor não poderá mais se passar pelo usuário.
Você também pode evitar ataques de reprodução usando senhas únicas. Com o Auth0, você pode usar a autenticação, que depende de códigos de uso único e links de email em vez de senhas tradicionais. Auth0 também fornece (MFA), que usa senhas únicas como uma autenticação de segundo fator que pode ser enviada por meio de notificações e textos push.
Falsificação de solicitação entre sites
Um ataque de falsificação de solicitação entre sites (CSRF ou XSRF) ocorre quando um programa malicioso faz. Esse tipo de ataque tem como alvo especificamente os pedidos de mudança de estado para iniciar um tipo de ação em vez de obter dados do usuário, porque o invasor não tem como ver a resposta da solicitação forjada.
Uma maneira de verificar os pedidos que estão sendo enviados é utilizar o parâmetro de estado do protocolo para autenticar a resposta.
Saber mais
- Tokens
- Proteção de ataque
- Dicas de segurança geral
O MFA impede ataques de reprodução?
Os ataques de reprodução interceptam dados válidos para refletir fraudulentamente um envio genuíno. Os invasores usam técnicas de registro para seguir e copiar fluxos de mensagens e reproduzir envios para um participante que, sem saber, processa uma mensagem como legítima. Os ataques de reprodução são uma preocupação particular da autenticação biométrica em uma arquitetura cliente-servidor. Se um ataque bem-sucedido de homem no meio é montado, as credenciais biométricas podem ser roubadas. Ao contrário dos esquemas de senha, os atributos biométricos não são substituíveis e revogáveis. Eles podem ser roubados para a vida da vítima e reutilizados em todos os lugares que essas credenciais são válidas.
Implementando o Saespass Mitigates contra ataques de repetição.
Não é necessário cartão de crédito!
- Usuários
- Como usar
- Configuração de recuperação
- Como se recuperar
- Como apagar os serviços pessoais
- Notas seguras
- Clone ID do Saespass
- Vários dispositivos
- Gerenciamento de dispositivo
- Touch ID
- Impressão digital do Android
- Configurações do pino
- Teclado mexido
- 3D Touch
- Gerenciador de senhas
- Saespass Password Manager
- Gerenciador de senhas do Facebook
- Dropbox Password Manager
- Twitter Password Manager
- Gerenciador de senhas do Gmail
- Gerenciador de senhas do Github
- WordPress Password Manager
- LASTPASS MANDER MANEGER
- Evernote Password Manager
- Zoho Manager Manager
- Sinalizador único (SSO)
- Sinalizador único (SSO)
- Google Apps SSO
- OWA SSO
- Dropbox SSO
- Office365 SSO
- RADIUS SSO
- Salesforce SSO
- Zendesk SSO
- AWS SSO
- SSO Thinfinity
- Springcm SSO
- Saml
- Saml
- Google Apps Saml
- Owa saml
- Dropbox saml
- Office365 Saml
- Raio saml
- Salesforce Saml
- Zendesk Saml
- AWS SAML
- Saml Thinfinity
- Springcm Saml
- Autenticador
- Autenticador
- Facebook Authenticator 2FA & MFA
- Dropbox Authenticator 2FA & MFA
- Gmail Authenticator 2FA & MFA
- Evernote Authenticator 2FA & MFA
- Drupal Authenticator 2FA & MFA
- WordPress Authenticator 2FA & MFA
- WordPress.com Authenticator 2FA & MFA
- Joomla Authenticator 2FA & MFA
- Github Authenticator 2FA & MFA
- Salesforce Authenticator 2FA & MFA
- Transferências
- Lite de conector de computador Saespsass para Macosx
- Conector de computador Saespsass para Windows
- Plataformas
- Iphone
- Android
- Apple Watch
- Desgaste do Android
- Amora
- telefone do Windows
- Java me
- iPad
- iPad mini
- Tablet Android
- Tablet Windows
- Windows OS
- Vestuário
- óculos Google
- Acender
- Extensões do navegador
- cromada
- Raposa de fogo
- Ópera
- Safári
- Conformidade
- Autoridade bancária européia
- Ffiec
- HIPAA (HITECH)
- ISO ICE 27001
- Padrões de segurança de dados PCI (PCI DSS)
- Safe-biopharma
- Regulamento geral de proteção de dados – GDPR
- DFARS/NIST SP 800-171
- GLBA
- Fisma
- COBIT
- Cjis
- Nist
- Desenvolvedores
- Portal de desenvolvedor
- API repouso
- Java
- Nó.JS
- Pitão
- .Líquido
- Personalizado
- iOS SDK
- Android SDK
- Swift SDK
- Sobre
- Active Directory
- Verificação em duas etapas
- Autenticação de dois fatores
- 2 Autenticação de duas etapas
- Controle de acesso
- Biométrico
- Traga seu próprio aparelho
- Traga seu próprio token
- Segurança da computação em nuvem
- Autenticação de dois fatores baseada em nuvem
- Tokens difíceis
- Identidade das coisas
- Gerenciamento de identidade
- Gerente de identidade
- Internet das Coisas
- Internet de tudo
- LDAP
- Conecte-se
- Autenticação móvel
- Gerenciamento de identidade móvel
- Autenticação multifatorial
- Autenticação mútua
- Gerenciamento de identidade offline
- Passcode único
- Autenticação fora da banda
- Higiene de senha
- Gerenciador de senhas
- Força da senha
- Política de senha
- Redefinição de senha
- Gerador de números aleatórios
- SaaS
- Saml
- Segurança como serviço
- Segurança das coisas
- Token de segurança
- Inscrever-se
- Tokens suaves
- Software como um serviço
- Token de software
- TOTP
- O inferno de segurança
- A mudança de paradigma
- Perguntas frequentes
- Preço
- Contato
- Imprensa
- Papel de parede
- Sobre
- Termos
- Questões de segurança
- Tecnologias
- Login instantâneo
- Digitalize código de barras
- App móvel 2fa
- Web móvel 2fa
- No login do dispositivo
- Login remoto
- Senha única
- Login do computador
- Sinalizador único
- Assistência segura
- Registro instantâneo
- Usuários de SMS
- Ameaças
- Ataques de força bruta
- Ataques de Captcha
- Ataques de dicionário
- Envenenamento por cache do DNS
- Man-in-the Browser
- Homem no meio
- Man-the-Mobile
- Homem no telefone
- Ataques de farmings
- Ataques de phishing
- Ataques de ransomware
- Replay ataques
- Trojan ataques
- Verificação de duas etapas
- Verificação de duas etapas
- Facebook Duas etapas Verificação
- Dropbox Duas etapas Verificação
- Verificação de duas etapas do Gmail
- Evernote Duas etapas Verificação
- Verificação de duas etapas do Drupal
- WordPress Verificação de duas etapas
- WordPress.com verificação de duas etapas
- JOOMLA Duas etapas Verificação
- Verificação de duas etapas do github
- Verificação de duas etapas do Salesforce
- Fido
- Provedor de identidade Yubikey IDP
- Gerenciador de senhas da Yubikey Enterprise
- Provedor de identidade Hypersecu IDP
- Hypersecu Enterprise Password Manager
- IDP do provedor de identidade FIDO
- Fido Enterprise Password Manager
- Gerador de senhas
- Gerador de senha aleatória da área de trabalho
- Gerador de senha aleatória móvel
Replay Attack: Process, Impacts and Defense
Aprenda como a autenticação multifatores adaptativa combate as violações de dados, senhas fracas e ataques de phishing.
Atualizado: 24/02/2022 – 5:52
Hora de ler: 3 minutos
Um ataque de repetição envolve escutas em uma rede e interceptar um pacote de dados. Após o roubo, um hacker pode reenviar a mesma mensagem. O servidor, sem perceber o problema, faz exatamente o que o hacker quer.
Entender a proteção de reprodução é crítica. Em 2020, os violações de dados custam às empresas uma média de US $ 3.86 milhões. Os ataques de reprodução são perigosos, em parte, porque os hackers não precisam de habilidades avançadas para fazer um.
O que é um ataque de repetição?
Os dispositivos trocam informações via pacotes. Alguns contêm todos os pedaços que um hacker precisa para fazer um roubo muito real e perigoso.
Por exemplo, o seu dispositivo troca senhas e chaves de sessão com um servidor. Um hacker ouve e rouba essas informações. Mais tarde, o hacker envia as mesmas informações novamente. O servidor acredita que está falando com você. O hacker pode então fazer qualquer coisa que você possa fazer no servidor.
Os pesquisadores nos dizem muito sobre ataques de reprodução. Eles dizem que as empresas estão vulneráveis devido a estruturas de rede complexas. Muitos agentes trabalham juntos para realizar tarefas aparentemente simples. Ultrapassar apenas um pode levar a uma reação em cadeia de falhas.
Um hacker poderia usar um ataque de reprodução para:
- Roubar seu carro. Um dispositivo de gravação rouba a comunicação entre o seu chaveiro e seu veículo. O hacker então envia o sinal novamente e vai embora. Em 2016, os pesquisadores descobriram que vários tipos diferentes de veículos são vulneráveis a essa forma de ataque.
- Autorizar transferências bancárias. Um hacker copia um pacote enviado entre você e seu banco. Enviar isso novamente pode levar o banco a repetir a ação (como transferir fundos novamente, mas desta vez para um destino diferente). Os pesquisadores dizem que os hackers que usam essa abordagem reenviam pacotes muito rapidamente, e quase sempre são exatamente iguais.
Etapas de proteção de reprodução sem fio para tomar
Os ataques de reprodução funcionam porque os hackers podem roubar algo que você está usando agora e enviá -lo novamente sem mudar de coisa. Para bloquear esse ataque, você deve dificultar o roubo, permitir que os pacotes expirem ou anexe alguma outra forma de autenticação a cada pacote.
Vamos nos aprofundar nos detalhes. Você poderia tentar:
- Desafie a autenticação do aperto de mão. Um autenticador envia uma mensagem de desafio formal. O remetente deve responder com uma resposta com base em um segredo compartilhado. Esse próprio segredo compartilhado nunca é enviado, então não pode ser roubado.
- Kerberos. Este protocolo de autenticação é executado em registros de data e hora e as mensagens consideradas muito antigas são descartadas automaticamente.
- Senhas únicas. Cada transação vem com seu próprio método de autenticação que nunca mais é usado.
- Roteamento seguro. Firewalls e outros formulários de proteção garantem que os pacotes nunca sejam roubados em primeiro lugar.
- Identificadores de sessão. Cada mensagem vem com uma identificação de sessão e número do componente. Esses dois itens não são interdependentes, então eles são mais difíceis de roubar ou replicar. Mesmo que o roubo ocorra, o antigo ID da sessão não funcionará.
- TIMESTAMPS. Cada mensagem vem com um tempo de validade interno.
Saiba que essas etapas não impedirão um ataque de repetição em andamento. Pegue seu sistema offline, implemente essas etapas e reinicie. Dessa forma, um velho roubo não resultará em novas perdas.
Conversamos um pouco sobre pacotes nesta peça. Eles são críticos para o protocolo de mensagem de controle da Internet. Saiba mais sobre o ICMP e o que ele faz neste blog.
Como os sites protegem contra ataques de reprodução 2FA?
Estou imaginando um cenário em que um invasor pode ler o tráfego entre um usuário e um servidor. O invasor pega a senha do usuário e o código 2FA que eles usaram. O invasor então registra essas informações antes que o código 2FA expire. Como isso está protegido contra?
- Multi-fator
- detecção de reprodução
perguntou 18 de julho de 2018 às 8:32
261 1 1 crachá de prata 5 5 crachás de bronze
Criptografar seu tráfego não ajudará nessa situação?
18 de julho de 2018 às 9:01
Seu invasor pode impedir que a solicitação original seja concluída neste caso?
18 de julho de 2018 às 9:11
3 respostas 3
Você pode reutilização da lista negra. Basta economizar tempo (ou código) de login anterior e forçar o usuário a esperar até que o novo OTP seja gerado. Geralmente os tokens TOTP são atualizados a cada trinta segundos.
Você pode usar OTP baseado em contador; A reutilização nunca ocorrerá como ambos os dispositivos incrementam o contador.
respondeu 18 de julho de 2018 às 8:51
15.2k 2 2 crachás de ouro 44 44 crachás de prata 57 57 crachás de bronze
O que você quer dizer com “reutilização nunca ocorrerá, pois ambos os dispositivos incrementam o contador.”?
18 de julho de 2018 às 9:59
@Langehaare Cada código será válido apenas uma vez (para cada etapa dos contadores). Você deve Use o próximo código na próxima vez, portanto, a reutilização é impossível.
18 de julho de 2018 às 10:08
Este ataque MITM contra 2FA não importa (majoritariamente). Se um invasor tiver a capacidade de interceptar as comunicações simples entre o cliente e o servidor, ele poderá simplesmente roubar o cookie da sessão quando for enviado de volta. O único lugar que isso faz a diferença é se um código 2FA for necessário ao alterar a senha ou desativar o 2FA, caso em que o invasor poderia reproduzir o código para assumir a conta. Mesmo se a reprodução for impedida, porém, ter o cookie e a senha da sessão dariam a um invasor acesso total para fazer qualquer coisa que não exija um código 2FA adicional.
Para impedir a reutilização de um código 2FA interceptado por outros meios (e.g. interceptando SMS/email), o servidor deve permitir apenas que um código seja usado uma vez. Isso pode ser feito armazenando um código e enviando -o e excluindo o código uma vez usado.
Para o TOTP, a prevenção de reprodução pode ser feita armazenando a última janela de autorização bem -sucedida e impedindo que o código dessa janela (ou janelas anteriores) seja usado novamente. A RFC simplesmente requer uso único sem especificar nenhuma implementação específica:
O verificador não deve aceitar a segunda tentativa do OTP após a emissão de validação bem-sucedida para o primeiro OTP, o que garante o uso único de um OTP.
HOTP e U2F impedem o reprodução por design, HOTP por uso de um contador e U2F devido ao uso de um método de resposta desafio.
Os ataques de phishing anti-MFA estão aqui para ficar-as empresas precisam se preparar
O diretor da CISA, Jen Easterly’S colunista, Stu Sjouwerman, do KnowBe4, escreve que será necessário uma combinação de esforços da CISA e do setor privado, além de um forte treinamento de conscientização de segurança para tornar as organizações mais seguras. (Foto de Kevin Dietsch/Getty Images)
Ataques de phishing criados para roubar credenciais de log-on de usuário ainda são muito populares. De acordo com o grupo de trabalho anti-phishing, no 1T 2022, quase 59% de todos. Devido a essa ameaça, uma recomendação crescente de segurança de computadores (ou requisitos) tem sido para administradores e usuários implementar e usar a autenticação multifatores (MFA) em vez de nomes e senhas tradicionais de log-on.
Embora muito mais log-ons ainda envolvam senhas, uma porcentagem crescente de organizações e usuários está usando o MFA para fazer login no trabalho ou para outras contas. Hoje, o usuário típico tem uma ou mais soluções de MFA, diferentes para diferentes sites e serviços, além de ainda usar senhas.
Muitas organizações e fornecedores de segurança de computadores estão se esforçando para substituir as instâncias de senha restantes por soluções sem senha e MFA. Apple, Google e Microsoft lançaram campanhas para fazer com que os usuários adotem senha sem senha ou MFA. O u.S. A Agência de Segurança de Cibersegurança e Infraestrutura (CISA) também lançou uma campanha global para que mais empresas e pessoas se mudem para o MFA.
No entanto, exigir que o MFA não impeça os hackers de acessar nossos sistemas. Existem muitas maneiras de os invasores atacarem e ignoram o MFA, assim como fizeram com sistemas protegidos por senhas. Para cada método, um defensor permite parar um invasor, o atacante descobre uma maneira de ignorar uma defesa em um mundo protegido por MFA.
Truque comum de desvio do MFA
Por exemplo, uma manobra de atacante muito comum para hackear a MFA é levar o usuário a digitar suas credenciais fornecidas por MFA (geralmente conhecidas como palavras-passagens únicas) em um site falso, que são capturados e reutilizados pelo atacante para fazer login para a vítima’s site real. Nesse cenário, a vítima em potencial de alguma forma é direcionada para um site desonesto, geralmente por meio de um e -mail de phishing. O usuário abre e interage com o email pensando nisso’É um pedido legítimo do fornecedor real, mas realmente contém um link malicioso que leva o usuário a uma sessão de log-on falsa. A falsa sessão de log-on pode levar ao usuário suas credenciais de MFA com a mesma facilidade que elas poderiam levar ao usuário sua senha no passado e, uma vez capturado, o atacante pode usá-lo para fazer login na vítima’s site ou serviço.
Os atacantes manipulam o NOVNC para ignorar o MFA
Em um exemplo, um artigo de pesquisa destacou uma tática de ataque de navegador no meio (BITM) que usou acesso de phishing e navegador remoto por meio da popular combinação de programas NOVNC/VNC para ignorar o MFA. VNC, ou computação de rede virtual, tornou -se um programa de software de controle remoto muito popular, de código aberto (semelhante ao Microsoft’s protocolo de desktop remoto) que permite que os usuários controlem remotamente um dispositivo de computador. A técnica Bitm mais recente usa o NOVNC, um programa popular de servidor VNC, que pode ser executado nos modernos navegadores de computadores e móveis.
Os atacantes podem configurar um servidor NovNC em seu computador e depois abrir a página de log-on de um site ou serviço direcionado em seu navegador. O navegador deve ser executado no modo de quiosque, para que os sinais reveladores de um navegador em execução estejam ocultos do usuário de conexão. O invasor pode então enviar um email de phishing com o link da sessão VNC para a página da web desonesta disfarçada como a página de logon real.
Se a vítima clicar no link, ele redirecionará o usuário’S navegador para o atacante’S Hosting de navegador. Desde o atacante’O navegador S é executado no modo de quiosque, a vítima só pode ver a página de logon e não a barra de tarefas, que pode revelar que está usando outro navegador de dentro de seu navegador.
Se enganado com sucesso, a vítima se autenticaria no atacante’S navegador, onde o invasor tem controle total das informações legítimas de logon e log-on. Depois que a vítima autentica com sucesso, os atacantes podem então encerrar o usuário’S origem sessão remota e uso indevido da vítima’S Privilégios no site ou serviço autenticado legítimo. E se o invasor quiser, eles podem até usar as credenciais capturadas e registrar seu dispositivo desonesto como um dispositivo autorizado, para que o servidor não’T requer MFA no futuro. As possibilidades são infinitas.
MFA resistente a phishing explicou
Pense no MFA resistente a phishing como MFA que’está mais fortemente imune a ataques comuns de engenharia social. O MFA resistente a phishing não deve permitir ataques de proxy MITM ou Bitm. O MFA deve permanecer resistente a credenciais de MFA roubadas ou forçadas brutas e impedir ataques de reprodução.
As más notícias: a maioria das soluções de MFA atualmente implantadas atualmente não são resistentes a phishing. No entanto, as empresas têm muitas opções de crescimento para MFA mais forte resistente a phishing, como Fido2 (Identidade Fast Online) e Windows Hello for Business. Compradores e avaliadores do MFA devem garantir que as soluções de MFA que eles estão pensando em usar são resistentes ao phishing e se o que eles estão usando hoje não usa resistente a phishing, procure se mover para formas mais resistentes. Aqui’é uma lista de soluções de MFA resistentes a phishing.
Concentre -se na educação dos funcionários
Nenhuma quantidade de complexidade de autenticação ou soluções de MFA pode defender melhor uma empresa’s ativos do que a inteligência humana. Faça do treinamento de conscientização sobre segurança dos funcionários uma grande parte da empresa’s estratégia geral de segurança cibernética. Não importa o quão robustos sejam as defesas de segurança, os usuários estão sempre a um único clique de serem violados. O treinamento de conscientização sobre segurança pode ajudar os funcionários a evitar esse único clique que os leva a um site ou serviço desonesto.
Eduque todas as partes interessadas da MFA sobre sua solução de MFA, ensine o que a solução faz e não faz’T Proteção contra e como reconhecer e prevenir ataques comuns de engenharia social contra sua forma de MFA. Simulações contínuas de treinamento e phishing garantem que os funcionários tenham experiência em primeira mão das mais recentes técnicas de phishing e implementação prática das melhores práticas de segurança de que todos continuam falando. Dessa forma, mesmo que os cibercriminosos comprometam o MFA avançado em algum momento, a equipe de segurança capacitou os funcionários o suficiente para impedir os ataques de phishing, que provavelmente são o primeiro passo de muitas tentativas de roubo de credenciais.
Stu Sjouwerman, fundador e CEO, Knowbe4
