A kétlépcsős hitelesítés előnyei
Vállalati biztonság a kétfaktoros hitelesítés megjelenése előtt
A 2FA elterjedése előtt a felhasználói fiókok – és így az általuk kezelt adatok – biztonsága gyenge volt. Ennek oka az volt, hogy csak a felhasználói jelszavak akadályozták meg a hozzáférést még a legérzékenyebb adatokhoz is. Ez a sebezhetőség annál is inkább nyilvánvaló volt, mivel ezek a jelszavak általában túl egyszerűek voltak, és számos platformon újrahasznosították őket.
Ez lehetőség volt a kiberbűnözők számára, akik "brute force" támadásokkal képesek voltak áthatolni ezen a védelmi szinten, vagy egy olyan egyszerű stratégiát alkalmaztak, hogy megpróbálták kitalálni a jelszót a nyilvánosan elérhető adatok, szótárak felhasználásával. A legszélsőségesebb esetekben az sem volt ritka, hogy az online fórumokon olyan titkosítatlan adatbázisokat találtak, amelyek felhasználónév/jelszó kombinációkat tartalmaztak. Ez aranybánya volt akár a kezdő kiberbűnözők számára is, akik egyszerűen megpróbálták ezeket más hálózati fiókok és webmailek ellen felhasználni.
Ennek eredményeképpen
a vállalatok rendszeresen szembesültek számos biztonsági problémával, mint például a veszélyeztetett felhasználói fiókok, személyazonosság-lopás és adatlopás.
2FA, mint létfontosságú hitelesítési módszer
A Data Breach Report legutóbbi jelentése szerint
a támadások 82%-a ’social engineering’ technikákon vagy az emberi hiszékenység kihasználásán alapul. Ennek a fenyegetésnek a leküzdéséhez a hitelesítési folyamat megerősítésére van szükség.
A kétfaktoros hitelesítés során általában egy egyszeri kódot generáló „kulcstartót” használnak. Az RSA cég által kifejlesztett token rendszer lefektette a modern kiberbiztonság alapjait. Az 1986-ban piacra dobott hardvereszköz – amely egy kis számológépre hasonlít – egyszeri, ideiglenes biztonsági kódot generált. A fizikai token azóta átadta helyét a virtuális tokennek.
Bár a vállalatok a 2FA-t megfelelő kiberbiztonsági gyakorlatként fogadják el, ma már érezhető, hogy megvannak a maga korlátai.
A kétfaktoros hitelesítés korlátai
A kétfaktoros ellenőrzést megkerülő támadási technikák kifejlesztése
Kevin Mitnick már 2018-ban figyelmeztetett arra, hogy a kiberbűnözők kifinomult technikákat fejlesztettek ki a kétfaktoros hitelesítés megkerülésére. Az egyik leggyakoribb módszer az, hogy egy rosszindulatú webhelyet hoznak létre „kulcsrakész” adathalász-programok segítségével. Ezen egy hamis bejelentkezési oldalt használnak a felhasználók hitelesítési adatainak vagy a sütiknek a begyűjtésére. Ez egy rendkívül hatékony módszer, mivel az áldozat később visszakerül a legitim honlapra, anélkül, hogy észrevenné a megtévesztést. A kiberbűnözők természetesen ennél összetettebb technikákat is alkalmaznak, például kifinomult „social engineering” módszereket.
A kiberbűnözők a kettős hitelesítést „brute force” (nyers erő) eljárással is megkerülhetik, automatizálva a biztonsági kódok minden lehetséges kombinációjának kipróbálását. A gyakorlatban azonban az ilyen támadások viszonylag ritkák, mivel időigényesek, és a csatlakozási kísérletek blokkolására vonatkozó szabályokkal könnyen megakadályozhatók. A még ritkább, de ugyanolyan hatékony "Man-in-the-Middle" támadások kifinomult technikákat használnak a 2FA-kódok lehallgatására azáltal, hogy behatolnak a felhasználó és az alkalmazás közé.
Példák a kétfaktoros hitelesítés megkerülésére
Kevin Mitnickhez hasonlóan az Amnesty International is már 2018-ban figyelmeztette a felhasználókat a 2FA gyengeségeire. Az Amnesty Tech egy kifinomult adathalászkampányt vizsgált, amely újságírókat és emberi jogi aktivistákat célzott meg a Közel-Keleten és Észak-Afrikában. A kiberbűnözők a Google és a Yahoo bejelentkezési oldalait reprodukálták. Miután a felhasználók megadták az e-mail címüket, a rosszindulatú felület elkérte tőlük a 6 számjegyű hitelesítési kódot, amelyet éppen az imént küldtek nekik SMS-ben. A hitelesítő adatok ismeretében a támadók hozzáférhettek áldozataik e-mail fiókjaihoz.
Ugyanebben az évben a Reddit közösségi hálózat is kibertámadást szenvedett el, amely a kétfaktoros hitelesítést úgy kerülte meg, hogy elfogták néhány alkalmazottjának SMS-hitelesítési kódját. Bár a kiberbűnözők nem tudták módosítani a platformon lévő adatokat, megszerezték a „read-only” jogosultságot a forráskód elemeihez, a naplófájlokhoz és a biztonsági mentésekhez.
A Microsoft szerint a 2021 szeptembere és 2022 januárja közötti időszakban egy masszív célzott adathalász (spear phishing) támadás több mint 10 000 vállalatot érintett. Az AiTM (Adversary-in-the-Middle) néven ismert módszer lényege az volt, hogy az áldozatot átirányították egy hamis microsoftos bejelentkezési oldalára, és ellopták a bejelentkezési sütit. A kiberbűnöző ezután szabadon küldhetett adathalász e-maileket az áldozat e-mail fiókjából. Ez az egyik legnehezebben felderíthető eset, mivel a csalárd e-mailt magáról a Microsoft infrastruktúrájából küldik, kihasználva a Microsoft IP-címek megbízhatóságát.
Megbízható egyáltalán a kétfaktoros hitelesítés?
A fentieket olvasva jogos a kérdés. Egy egyszerű jelszónál mindenképp megbízhatóbb. Az esetleges kijátszása ellen azonban elengedhetetlenül fontos, hogy további intézkedésekkel erősítsük meg a kétlépcsős autentikációt.
Elmozdulás a többfaktoros hitelesítés felé
A hozzáférés biztonságának megerősítése érdekében
a többlépcsős hitelesítés (MFA) több hitelesítési „faktort” is bevezet. A multifaktoros hitelesítés bizonyítási pontokat kér a hozzáférési engedély megadásához.
Ezeket a faktorokat a francia ANSSI ügynökség hivatalos ajánlásaiban négy kategóriába sorolja. Különböző típusúak lehetnek, például:
Ismert faktorok, mint például egy jelszó vagy egy biztonsági kérdés;
Birtokolt faktorok, azaz fizikai (smartcard, SecurID kulcs) vagy digitális (telefon, mobilalkalmazás) biztonsági tokenek, amelyek egyszeri (one-time) kódot generálnak;
Biometrikus faktorok, azaz DNS, ujjlenyomat, retinanyomat, arcfelismerés, hangfelismerés;
Előállított faktorok, mint például a helymeghatározás, a mozdulatok és gesztusok, valamint a viselkedéselemzés.
Erősebb kommunikációs csatornák felé történő elmozdulás
A biztonság további javítására már számos megoldás született. Ezek közé tartozik az „out-of-band” hitelesítés, amely két különböző kommunikációs csatornán keresztül történő felhasználói ellenőrzést igényel. Ebben az esetben az egyik faktort például egy Ethernet-hálózaton keresztül, míg egy másikat a 4G-hálózaton keresztül lehetne elküldeni. Egy másik lehetőség a hangfelismerő technológia használata, amely képes felismerni a mesterséges intelligencia által generált hangokat. Az ilyen technikák alkalmazása azonban egyelőre korlátozott, elsősorban a megvalósításuk költségei miatt.
Ezért fontos tisztában lenni azzal, hogy a 2FA – és kisebb mértékben az MFA – sebezhető a rendkívül kifinomult kibertámadásokkal szemben még akkor is, ha mindenképp előrelépést jelentenek az egyszerű bejelentkezési módszerekhez képest. Ezek a hitelesítési módszerek tehát nem váltak elavulttá, mivel a leggyakrabban előforduló kibertámadásokat meg tudják állítani. A kétlépcsős hitelesítés helyes alkalmazása továbbra is kulcsszerepet játszik abban, hogy egy vállalatban magas szintű hozzáférési biztonságot lehessen megvalósítani. Ahogy az lenni szokott, minden a kockázatkezelésen és a kockázat csökkentéséhez szükséges beruházásokon múlik.
A RelNet gyártói portfóliójából a hitelesítési biztonság növelése érdekében a Stormshield SNS tűzfaleszközeit ajánljuk. Továbbá a Stormshield XDR megoldásával összefüggésbe helyezhetők a hálózatról és végpontokról begyűjtött információk a fenyegetések csökkentése érdekében. Keresse bizalommal a RelNet szakértőit!
Forrás
Is two-factor authentication already a thing of the past?
Kapcsolódó tartalom
Stormshield képzések a RelNet eLearning programban