Γιατί δεν είναι αρκετός ο έλεγχος ταυτότητας δύο παραγόντων 2FA;.
Για χρόνια ο τομέας της ασφάλειας του διαδικτύου φαίνεται να υστερεί, και προφανώς δείχνει ότι είναι κολλημένος σε ζητήματα τα οποία είναι δευτερεύουσης σημασίας, και αμφιταλαντεύεται μεταξύ της χρηστικότητας και της ασφάλειας – όπου κανένας δεν έχει δώσει την απαιτούμενη προσοχή και την προτεραιότητα που της αξίζει. Για παράδειγμα, είναι γνωστό πως στον τραπεζικό κλάδο ότι οι τράπεζες έχουν αναπτύξει εν γνώσει τους εφαρμογές με μειωμένη ασφάλεια, δίνοντας περισσότερη βαρύτητα στην εμπειρία των χρηστών για περαιτέρω ευχρηστία.
Αυτή η συρρίκνωση στην ασφάλεια υπάρχει επειδή ο κλάδος ως σύνολο δεν είναι σε θέση να σκεφτεί πέρα από τη βασική επαλήθευση της ταυτότητας δύο παραγόντων (2FA) και τους κωδικούς πρόσβασης.
Ωστόσο, κατά το τελευταίο έτος, παρατηρήσαμε μια απότομη αύξηση του τρόπου με τον οποίο το 2FA δεν είναι αρκετά ισχυρό για να αποτρέψει ακόμη και τις λιγότερο εξελιγμένες επιθέσεις στον κυβερνοχώρο. Δεν χρειάζεται να κοιτάξουμε πολύ μακριά για να δούμε συγκεκριμένα παραδείγματα, όπου κλέφθηκαν τα διαπιστευτήρια σύνδεσης 2FA των χρηστών από έναν εισβολέα. Στην πραγματικότητα, σήμερα αναφέρεται ότι το 81% όλων των παραβάσεων που αναφέρθηκαν αφορούν τη χρήση κλοπών ή αδύναμων διαπιστευτηρίων.
Το βασικό ζήτημα εδώ είναι ότι ο κλάδος συνεχίζει να εφαρμόζει ξεπερασμένες και ανασφαλείς προσεγγίσεις για την εξακρίβωση της ταυτότητας των χρηστών. Αυτές περιλαμβάνουν μεθόδους “out-of-band”που βασίζονται σε μηχανισμούς μοναδικού κωδικού πρόσβασης. Ωστόσο το μεγάλο ερώτημα είναι, γιατί οι πιο συχνά χρησιμοποιούμενες μέθοδοι 2FA δεν προστατεύουν τους χρήστες και τις επιχειρήσεις;
Παρακάτω μπορείτε να διαβάσετε τις μεθόδους που υποτίθεται ότι προστατεύουν τους χρήστες, αλλά στην πραγματικότητα είναι αναποτελεσματικές.
Κωδικοί πρόσβασης One-time passcodes (OTP)
Αυτή είναι ίσως η πιο κοινή ομάδα απλών μεθόδων δευτέρου παράγοντα που χρησιμοποιούνται σήμερα. Αυτές οι μέθοδοι μπορεί να είναι φτηνές και εύκολες για να υλοποιηθούν, και το χειρότερο όλων είναι πως είναι “αποδεκτές” από την οπτική γωνία των χρηστών και χρησιμοποιούνται συχνα περιπτώσεις στον εργασιακό χώρο.
Η μέθοδος Out-of-band χρησιμοποιεί το OTP, όπου ο χρήστης καλείται να βάλει ένα μοναδικό κωδικό πρόσβασης, συνήθως τέσσερα έως έξι ψηφία, κατά τη διάρκεια της διαδικασίας σύνδεσης, ωστόσο αυτή η μεθοδολογία έχει κάποια κενά ασφαλείας που μπορούν να τα εκμεταλλευτούν οι χάκερς
Απάτη σε πραγματικό χρόνο (Real-time phishing)
Ένας από τους πιο απλούς και αποτελεσματικούς τρόπους με τους οποίους οι επιτιθέμενοι μπορούν να παρακάμψουν το βασικό 2FA είναι μέσω phishing σε πραγματικό χρόνο.
Με μια επίθεση phishing σε πραγματικό χρόνο, είναι σχετικά εύκολο για έναν εισβολέα να εξαναγκάσει τον χρήστη να του δώσει ένα αγνοία του το όνομα χρήστη, τον κωδικό πρόσβασης και το one-time-passcode, με σκοπό να αποκτήσει μη εξουσιοδοτημένη πρόσβαση στα δεδομένα του.
Ανάκτηση κωδικού πρόσβασης μέσω SMS και φωνητικών κλήσεων
Μια εγγενής αδυναμία στο σύστημα Signal System 7 (SS7), το πρωτόκολλο που επιτρέπει στα δίκτυα των παρόχων τηλεπικοινωνιών να κάνουν διάφορες διεργασίες, μπορεί να χρησιμοποιηθεί από τους επιτιθέμενους ως μέσο υποκλοπής μηνυμάτων SMS και φωνητικών κλήσεων. Το SS7 έχει σχεδιαστεί με ελάχιστη ασφάλεια και, ελλείψει ελέγχων ταυτότητας ως μέρος του σχεδιασμού του, βασίζεται στην εμπιστοσύνη μεταξύ των δικτύων και του φορέα εκμετάλλευσης των τηλεπικοινωνιών .
Αυτή η αδυναμία του ελέγχου ταυτότητας μέσω SMS και φωνητικών κλήσεων δίνει τη δυνατότητα στους επιτιθέμενους να την εκμεταλλευτούν για να αποκτήσουν άμεση πρόσβαση στους κωδικούς που στάλθηκαν στους χρήστες. Πρόκειται για μια αποδεδειγμένη προσέγγιση που χρησιμοποιούν οι επιτιθέμενοι στην Ευρώπη για να αποκτήσουν πρόσβαση στους τραπεζικούς λογαριασμούς των θυμάτων, κλέβοντας τα διαπιστευτήρια τους και τα ΟΤΡ. Αναμφίβολα, η αδυναμία SS7 ήταν μία από τις κινητήριες δυνάμεις πίσω από την αρχική πρόταση της NIST για σταδιακή κατάργηση των OTP που βασίζονται σε SMS.
Τι πρέπει να κάνουν οι χρήστες και οι επιχειρήσεις για να προστατευτούν
Η ασφάλεια της επαλήθευσης ενός χρήστη δεν μπορεί πλέον να είναι στατική, και στηριζόμενη αποκλειστικά στο 2FA, αφού αντικειμενικά δεν θεωρείται ένα ισχυρό μέτρο ασφάλειας στο σημερινό τοπίο απειλών. Αντ ‘αυτού, μια σύγχρονη προσέγγιση για την ασφάλεια της ταυτότητας πρέπει να φέρει πολλαπλές δικλείδες ασφαλείας. Οι υπερασπιστές της ασφάλειας βρίσκονται σε μειονεκτική θέση ενάντια στην αυξανόμενη πολυπλοκότητα της κατάστασης. Απαιτείται μια πιο ολοκληρωμένη και αυτοματοποιημένη προσέγγιση.
Εδώ είναι κατευθυντήριες γραμμές που οι επιχειρήσεις και χρήστες θα πρέπει να λάβουν σοβαρά υπόψη.
- Αποφύγετε όλες τις απλές μεθόδους 2FA που χρησιμοποιούν ΟΤΡ που παρέχονται με SMS, email ή φωνητικές κλήσεις.
- Αποφύγετε όλες τις απλές μεθόδους 2FA που χρησιμοποιούν push-to-accept χωρίς αναγνώριση συμβόλων. Όλη η κατάσταση απαιτεί από το χρήστη μια πιο προσεκτική δράση πριν βεβαιωθεί ότι όλα βαίνουν καλώς.
- Οι υπηρεσίεςτης διαχείρισης πρόσβασης θα πρέπει να παρέχουν προσαρμοστικές δυνατότητες ελέγχου σύνδεσης του χρήστη για την ασφαλέστερη διασφάλιση της διαδικασίας σύνδεσης. Οι προσαρμοστικές τεχνικές ελέγχου πρόσβασης που έχουν στρωματοποιημένο 2FA μπορούν να παρέχουν καλύτερα επίπεδα προστασίας απ ‘ ό, τι το βασικό 2FA από μόνο του.
