Multifaktorska autentifikacija (MFA) putem smartphonea? Postaje sve nesigurnija

Napadači ciljaju korisničke identitete sve sofisticiranijim tehnikama phishinga, jer kompromitovani akreditivi znatno olakšavaju infiltriranje u IT sistem organizacije. Oslanjanje samo na lozinke za zaštitu identiteta sada je praktično poziv na sajber napad. Čak 82% proboja uključuje upotrebu ukradenih akreditiva kroz phishing (prema Verizon-ovom Data Breach Investigation Report 2022). Izveštaj SANS Security Awareness Report upozorava da ljudski rizik ostaje najveća pretnja, pri čemu zaposleni postaju primarni vektor napada širom sveta. Jačanje autentifikacije dodatnim faktorima (tzv. multifaktorska autentifikacija ili MFA) je stoga nezaobilazna praksa za sve ulazne tačke u organizaciju – od VPN-a, preko e-pošte i deljenja datoteka do poslovnih aplikacija koje pokrivaju finansijsko računovodstvo, ERP, CRM itd.

Uobičajeno je implementirati MFA pomoću aplikacije za pametne telefone koja deluje kao autentifikator. Na ovaj način, korisnik odobrava autentifikaciju putem push notifikacije pametnog telefona čim pokuša da pristupi određenoj aplikaciji sa drugog uređaja (tzv. out-of-band autentifikacija). Od Google Authenticator-a do Microsoft Authenticator-a, svi smo ovih dana navikli na ove out-of-band metode uz pomoć pametnog telefona. 

Međutim, napadači od nedavno rutinski zaobilaze ovakav MFA. Koristeći attacker-in-the-middle proxy tehnike (AitM) i tzv. prompt bombing, ovaj popularni metod višefaktorske autentifikacije postaje ranjiv na phishing napade. Nedavni napadi i uspešne krađe akreditiva u kompanijama kao što su Uber, Twilio, Mailchimp, Cloudflare i mnoge druge potvrđuju da su nove tehnike zaobilaženja MFA široko rasprostranjene. Zbog ovog relativno nedavnog razvoja događaja, nije iznenađujuće da Američka agencija za sajber bezbednost i bezbednost infrastrukture (CISA) sada savetuje svim organizacijama da hitno implementiraju MFA otporan na krađu identiteta (phishing-resistant MFA). 

Koje su glavne slabosti out-of-band MFA autentifikacije? 

Konkretno, napadači efikasno koriste dve ključne slabosti out-of-band MFA autentifikacije putem push notifikacije sa pametnog telefona: 

1. Da li se korisnik prijavljuje na legitimnu veb lokaciju? Korisnici se upućuju da pristupe lažnoj stranici koja ima isti izgled kao original (npr. 0ffice.com umesto office.com), koja prima i prosleđuje sve korisničke veb zahteve i odgovore sa legitimnog servera (eng. attacker-in-the-middle). Mobilni push autentifikator po definiciji nije svestan da li korisnik pristupa stranici preko AitM servera koji krade akreditive. Ako korisnik ne primeti i odobri zahtev za autentifikaciju, akreditivi i pristupni tokeni će biti ukradeni. 

1. Da li korisnik zaista pokreće autentifikaciju? Napadač može pokrenuti zahtev za autentifikaciju koji će rezultirati push notifikacijom na telefonu korisnika. Od korisnika može biti zatraženo da odobri takav push zahtev čak i ako ne pristupa aplikaciji ili se ne nalazi u blizini uređaja koji zahteva pristup. U suštini, napadač šalje niz takvih upita i računa na umor ili grešku korisnika koji će prihvatiti i odobriti push notifikaciju (prompt bombing). Sizičko prisustvo na uređaju ne proverava. 

MFA otporan na krađu identiteta rešava ove probleme premeštanjem (ili bolje rečeno, vraćanjem) autentifikacije na isti uređaj na kojem se korisnik prijavljuje (umjesto out-of-band pristupa kao što je push na pametnom telefonu). U praksi to znači ili autentifikator integrisan u uređaj (prijenosno računalo sa sustavom Windows) ili zasebni fizički token (povezan sa uređajem putem USB-a ili NFC-a/Bluetootha). 

MFA autentifikacija otporna na phishing 

Trenutno su zastupljene dve metode MFA autentikacije otporne na phishing: 

1. FIDO2/Webauthn token: Podržavaju ga sve glavne platforme (Windows, Google, Apple) i integrisan je u sve glavne pretraživače. To ga čini pogodnim za mobilne i laptop scenarije, sa posebnom pažnjom posvećenom antiphishing-u (pogledajte dole). 

1. PKI token: Tradicionalna tehnika zasnovana na kriptografiji javnog ključa nudi snažnu autentifikaciju, ali često uključuje klijentski softver koji je komplikovan za održavanje u kontekstu organizacije. Takođe, ima lošu podršku za mobilne scenarije. PKI je takođe neophodan za digitalno potpisivanje i šifrovanje sadržaja (e-pošte, fajlova, itd.). 

FIDO2 tokeni imaju dva različita svojstva koja ih čine otpornima na krađu identiteta: 

1. Autentifikator automatski potvrđuje da razgovara sa dodeljenom aplikacijom/veb-sajtom. Neće se autentifikovati na lažnoj veb lokaciji koja posreduje zahteve i odgovore s legitimnog servisa. Ovo je ključni element za prevenciju phishinga. 

1. Pored PIN-a, fizičko prisustvo se proverava „gestom“, npr. dodirivanjem uređaja ili biometrijskom verifikacijom (otisak prsta, prepoznavanje lica, itd.), pre otključavanja autentifikatora. 

Dodatno, standard FIDO2/Webauthn donosi sve prednosti PKI-ja kao što je snažna autentifikacija temeljena na kriptografiji s javnim ključem, ali uz smanjene administrativne troškove i širu podršku za različite uređaje i platforme. Kao i kod PKI-ja, korisnički privatni ključ nikada ne napušta autentifikator i ne pohranjuje se u aplikaciji odnosno na strani poslužitelja. Usporedite to s tradicionalnim vjerodajnicama kao što su hash lozinke, koje se moraju pohraniti na strani poslužitelja. 

Želite testirati najnoviju FIDO2 tehnologiju? Kontaktirajte nas!