Nem todos os MFA são iguais, e as diferenças importam muito

0 0

As pessoas estão começando a obter a mensagem esse texto/SMS é uma forma fraca de autenticação multifatorial (MFA). Menos pessoas sabem que há uma grande lacuna entre as opções de MFA pós-SMS também.

Como eu falei em o post CASSM original, há níveis para este jogo. Nesse post falamos sobre 8 níveis de segurança de senha, começando por usar senhas compartilhadas e fracas e ir até sem senha.

Este post explicará a principal diferença nos níveis mais altos — especificamente, o que torna o Nível 8 muito melhor do que 7 e abaixo?

A resposta é simples, na verdade — phishing.

Uma porcentagem crescente de pacotes de malware agora inclui solicitações não apenas para um nome de usuário e senha, mas também um código MFA. Isso significa que o MFA tradicional está se tornando cada vez mais inútil contra o phishing no mundo real.

O problema não é como você tem um código MFA — o problema é dar-lhe um código MFA em primeiro lugar.Relacionado

E realmente não importa como você conseguiu esse código MFA. Pode ter sido um texto, ou poderia ter sido algo “forte”, como um aplicativo de autenticação móvel como o Google Authenticator ou Authy. Seja como for, agora você tem, o que significa que agora você pode digitá-lo em um campo de texto de propriedade de um cara mau.

Então isso levanta a questão: existe um tipo de autenticação que protege contra isso? Em outras palavras, existe um tipo de MFA resistente ao phishing? A resposta é sim.

FIDO significa Fast Identity Online, e usa os protocolos Universal Authentication Framework (UAF) e Universal Second Factor (U2F). Os sistemas usam criptografia de chave pública e um token de acesso físico. A chave privada é armazenada no token e mantida com você, e a chave pública é armazenada com os serviços que você deseja autenticar.

Você não pode phish um código MFA que não existe.

Quando você autentica, você prova ao cliente/token que você é você (impressão digital, PIN, voz, etc.), e o cliente cria uma solicitação assinada que é enviada para o serviço. Essa solicitação é descriptografada e autenticada usando a chave pública, o que prova que a solicitação foi feita usando a chave privada, e você é então autenticado.

FIDO2 / WebAuthn é a versão sem senha do FIDO, e a parte sem senha é fundamental aqui. Muda completamente a forma como a autenticação é feita.

Em vez de você ser apresentado com um site — que pode ser malicioso — em que você insira credenciais, você navega para o site legítimo como de costume, e você é solicitado a autenticar.

Em seguida, você autentica usando seu token físico, que você mantém com você, tocando-o por exemplo. Ou usando seu rosto ou algo assim. E quando isso acontece (esta é a parte brilhante), seu token local cria um pedido e assina-o com a chave privada do seu token…

… e, em seguida, envia isso especificamente para a URL exata e legítima associada ao token!

Essa é a magia. Quando você inscreveu o token com, digamos, o Gmail, o token coletou a URL oficial para o Gmail, para que ele só possa enviar solicitações de autenticação para essa URL!

A melhor parte desse fluxo é que não há nada para digitar. Tudo o que você fez foi tocar em algo ou olhar para o seu dispositivo. Tudo o resto aconteceu no back-reinscimento automaticamente.

E já que não há nada para digitar também não há nada para phish!

É por isso que sem senha é o mais alto nível de o Modelo de Maturidade de Autenticação CASMM. Ele interrompe o fluxo de trabalho padrão de phishing removendo completamente a etapa de criar e inserir manualmente códigos MFA.

Resumo

TL;DR: O recurso que mais melhora o MFA é a evitação de códigos MFA manuais que devem ser inseridos em algum lugar pelos usuários, porque esse é o passo que é explorado durante ataques de phishing.

1. Nem toda autenticação multifatorial é a mesma em termos de fornecer proteção aos consumidores.
2. A principal ameaça interativa aos consumidores é o phishing, e o malware agora está ganhando a capacidade de phish para códigos MFA baseados em SMS e Aplicativos.
3. A maneira de lidar com isso é passar para o nível superior do modelo de segurança de autenticação CASMM, que permite autenticar sem ter que lidar com códigos MFA, que é o passo em que os ataques de phishing são baseados.
4. FIDO2 e WebAuthn são implementações desse modelo de autenticação “sem senha” que usa PKI em segundo plano para enviar automaticamente solicitações seguras para — e apenas para — uma URL pré-agendada e autorizada em segundo plano.
5. Como isso acontece com segurança em segundo plano, este sistema remove completamente a etapa dos códigos MFA dados a você por aplicativos de texto ou autenticador, que podem então ser inseridos em um site malicioso ou dados por telefone.
6. E como você não tem mais códigos MFA, esses códigos MFA não podem mais ser pescados.
7. Considere mudar para tokens de segurança baseados em FIDO2 / WebAuthn para suas contas mais críticas, como sua conta de e-mail, bancos, impostos, etc.

AUTOR: Daniel Miessler