0
0
É um fato bem conhecido e estatisticamente comprovado que as credenciais somente de senha representam o maior risco cibernético para pessoas e organizações. As senhas são facilmente comprometidas por meio de uma ampla variedade de ataques, como engenharia social e phishing, e muitas vezes embaladas e vendidas on-line.
Com a adoção generalizada do trabalho remoto durante e pós-pandemia, a necessidade de uma segurança mais rígida criou um ponto de inflexão para que as organizações finalmente adotassem soluções de autenticação multifator (MFA). A MFA existe há décadas e há muitas opções no mercado adequadas para todos os setores e organizações. Mas, embora a MFA seja inerentemente mais segura do que as credenciais somente de senha, nem todas as soluções de MFA são criadas da mesma forma, e cada uma deve ser configurada e gerenciada adequadamente para evitar que os invasores as contornem.
A premissa do MFA é que, ao exigir “múltiplos fatores” para autenticação – uma combinação de algo que você sabe, algo que você tem, algo que você é e algo que você faz – torna o trabalho de um invasor com, digamos, apenas uma senha roubada muito mais difícil. Infelizmente, quando o MFA é baseado em dois fatores mais fracos – como uma senha (algo que você sabe e pode lembrar facilmente) e uma notificação por push móvel (entregue a algo que você tem, como um aplicativo autenticador móvel) – ele ainda pode ser comprometido. Por exemplo, um ator mal-intencionado pode usar um ataque de dicionário para obter uma senha e, em seguida, ao encontrar uma etapa de verificação usando MFA, empregar phishing de notificação por push para bombardear e enganar o usuário para aprovar as solicitações repetidas. Esta técnica é comumente referida como fadiga MFA e foi recentemente usada por um adolescente para perpetrar um ataque bem-sucedido ao Uber.
MFA resistente a phishing
A boa notícia é que existem soluções de MFA resistentes a phishing baseadas em padrões do conjunto de especificações Fast Identity Online (FIDO 2.0), que inclui suporte para autenticação sem senha. Além disso, existem opções baseadas em hardware, como padrões e especificações de cartões inteligentes com base nos esforços da Secure Technology Alliance.
Muitas soluções de MFA empregam a biometria para um fator de autenticação “algo que você é”. A beleza da biometria é que eles possuem essas características fundamentais, que são:
- Universal: Pode-se esperar que todas as pessoas que usam um sistema ou aplicativo possuam o recurso (por exemplo, rosto, dedo, voz)
- Único: Cada pessoa tem aspectos únicos, diferentes e distinguíveis do recurso (por exemplo, características faciais, sulcos e vales de impressões digitais, tom de voz e entonação)
- Permanente: O recurso é razoavelmente estável, permanente e invariável ao longo do tempo para executar a correspondência
- Colecionáveis: O conjunto de recursos pode ser adquirido, medido e processado com facilidade durante a captura
- Defensável: O recurso pode ser defendido de abuso, uso indevido, roubo, imitação e substituição
- Performant: O recurso, quando combinado com a correspondência e a detecção de vivacidade, funciona com precisão, velocidade, escala e facilidade de uso
- Adoptível: A população que se espera que use suas características pessoais são adotantes e inscritos dispostos
O problema do Deepfake
Deixando de lado as críticas à biometria (sobre viés, coleta, uso indevido, privacidade e vigilância), os agentes de ameaças agora estão usando tipos de ataque de apresentação, como deepfakes e falsificações, para contorná-los. Embora possa parecer algo saído de um roteiro de filme, nos últimos anos instituições financeiras e bancos sofreram fraudes sem precedentes durante a criação de novas contas, pedidos de empréstimo, pagamentos e disputas de transações. Esses e outros setores altamente regulamentados são legalmente obrigados a realizar processos de verificação e prova de identidade chamados de “conhecimento eletrônico de seu cliente” (eKYC). Infelizmente, não só muitos candidatos legítimos não conseguem concluir o processo de prova e verificação devido à sua complexidade, mas os maus atores têm se passado por pessoas reais e usando dados sintéticos para “mascarar” suas identidades em documentos falsos e durante a inscrição biométrica.
Felizmente, deepfakes e spoofing podem ser frustrados por meio de técnicas (como a detecção passiva de vivacidade) que são indetectáveis por maus atores. Existem vários laboratórios de teste e certificação de terceiros que não apenas validam as soluções do fornecedor, mas também validam a implementação da solução para garantir que ela seja implantada de forma eficaz. E no mês passado, a terceira edição do “Handbook of Biometric Anti-Spoofing” foi lançada, que foi atualizada com uma cobertura mais ampla de métodos de detecção de ataque de apresentação (PAD) para uma variedade de modalidades biométricas, incluindo face, impressão digital, íris, voz, veia e reconhecimento de assinatura.
Não há dúvida de que o MFA fornece às organizações uma atualização significativa na proteção sobre senhas. Como a maioria das tecnologias de segurança cibernética, no entanto, o MFA não está imune ao cabo de guerra contínuo entre invasores e defensores. As organizações precisam pensar cuidadosamente sobre qual solução escolhem e como ela é implementada, para evitar serem vítimas das ameaças mais recentes.
FONTE: DARK READING