0
0
As pessoas estão começando a obter a mensagem esse texto/SMS é uma forma fraca de autenticação multifatorial (MFA). Menos pessoas sabem que há uma grande lacuna entre as opções de MFA pós-SMS também.
Como eu falei em o post CASSM original, há níveis para este jogo. Nesse post falamos sobre 8 níveis de segurança de senha, começando por usar senhas compartilhadas e fracas e ir até sem senha.
Este post explicará a principal diferença nos níveis mais altos — especificamente, o que torna o Nível 8 muito melhor do que 7 e abaixo?
A resposta é simples, na verdade — phishing.
Uma porcentagem crescente de pacotes de malware agora inclui solicitações não apenas para um nome de usuário e senha, mas também um código MFA. Isso significa que o MFA tradicional está se tornando cada vez mais inútil contra o phishing no mundo real.
O problema não é como você tem um código MFA — o problema é dar-lhe um código MFA em primeiro lugar.Relacionado
E realmente não importa como você conseguiu esse código MFA. Pode ter sido um texto, ou poderia ter sido algo “forte”, como um aplicativo de autenticação móvel como o Google Authenticator ou Authy. Seja como for, agora você tem, o que significa que agora você pode digitá-lo em um campo de texto de propriedade de um cara mau.
Então isso levanta a questão: existe um tipo de autenticação que protege contra isso? Em outras palavras, existe um tipo de MFA resistente ao phishing? A resposta é sim.
FIDO significa Fast Identity Online, e usa os protocolos Universal Authentication Framework (UAF) e Universal Second Factor (U2F). Os sistemas usam criptografia de chave pública e um token de acesso físico. A chave privada é armazenada no token e mantida com você, e a chave pública é armazenada com os serviços que você deseja autenticar.
Você não pode phish um código MFA que não existe.
Quando você autentica, você prova ao cliente/token que você é você (impressão digital, PIN, voz, etc.), e o cliente cria uma solicitação assinada que é enviada para o serviço. Essa solicitação é descriptografada e autenticada usando a chave pública, o que prova que a solicitação foi feita usando a chave privada, e você é então autenticado.
FIDO2 / WebAuthn é a versão sem senha do FIDO, e a parte sem senha é fundamental aqui. Muda completamente a forma como a autenticação é feita.
Em vez de você ser apresentado com um site — que pode ser malicioso — em que você insira credenciais, você navega para o site legítimo como de costume, e você é solicitado a autenticar.
Em seguida, você autentica usando seu token físico, que você mantém com você, tocando-o por exemplo. Ou usando seu rosto ou algo assim. E quando isso acontece (esta é a parte brilhante), seu token local cria um pedido e assina-o com a chave privada do seu token…
… e, em seguida, envia isso especificamente para a URL exata e legítima associada ao token!
Essa é a magia. Quando você inscreveu o token com, digamos, o Gmail, o token coletou a URL oficial para o Gmail, para que ele só possa enviar solicitações de autenticação para essa URL!
A melhor parte desse fluxo é que não há nada para digitar. Tudo o que você fez foi tocar em algo ou olhar para o seu dispositivo. Tudo o resto aconteceu no back-reinscimento automaticamente.
E já que não há nada para digitar também não há nada para phish!
É por isso que sem senha é o mais alto nível de o Modelo de Maturidade de Autenticação CASMM. Ele interrompe o fluxo de trabalho padrão de phishing removendo completamente a etapa de criar e inserir manualmente códigos MFA.
Resumo
TL;DR: O recurso que mais melhora o MFA é a evitação de códigos MFA manuais que devem ser inseridos em algum lugar pelos usuários, porque esse é o passo que é explorado durante ataques de phishing.
- Nem toda autenticação multifatorial é a mesma em termos de fornecer proteção aos consumidores.
- A principal ameaça interativa aos consumidores é o phishing, e o malware agora está ganhando a capacidade de phish para códigos MFA baseados em SMS e Aplicativos.
- A maneira de lidar com isso é passar para o nível superior do modelo de segurança de autenticação CASMM, que permite autenticar sem ter que lidar com códigos MFA, que é o passo em que os ataques de phishing são baseados.
- FIDO2 e WebAuthn são implementações desse modelo de autenticação “sem senha” que usa PKI em segundo plano para enviar automaticamente solicitações seguras para — e apenas para — uma URL pré-agendada e autorizada em segundo plano.
- Como isso acontece com segurança em segundo plano, este sistema remove completamente a etapa dos códigos MFA dados a você por aplicativos de texto ou autenticador, que podem então ser inseridos em um site malicioso ou dados por telefone.
- E como você não tem mais códigos MFA, esses códigos MFA não podem mais ser pescados.
- Considere mudar para tokens de segurança baseados em FIDO2 / WebAuthn para suas contas mais críticas, como sua conta de e-mail, bancos, impostos, etc.
AUTOR: Daniel Miessler