Att implementera multi-factor authentication (MFA) är en utmärkt strategi för att stärka säkerheten för dina onlinekonton, men sofistikerade nätfiskeattacker kan kringgå MFA. Så överväg att använda en starkt nätfiske-resistent MFA-metod för att bekämpa moderna nätfiskekampanjer.
Hur är traditionell MFA mottaglig för nätfiskeattacker? Vad är en nätfiske-resistent MFA-lösning och hur kan den förhindra nätfiskeattacker?
Vad är multifaktorautentisering?
Som termen antyder kräver multifaktorautentisering att du presenterar två eller flera verifieringsfaktorer för att komma åt dina konton.
En faktor i en autentiseringsprocess är ett sätt att verifiera din identitet när du försöker logga in.
De vanligaste faktorerna är:
- Något du vet: ett lösenord eller en PIN-kod du kommer ihåg
- Något du har: en säker USB-nyckel eller en smartphone du har
- Något du är: ditt ansiktsigenkänning eller fingeravtryck
Multi-faktor autentisering lägger till extra lager av säkerhet till dina konton. Det är som att lägga till ett andra eller tredje lås till ditt skåp.
I en typisk multifaktorautentiseringsprocess anger du ditt lösenord eller PIN-kod först. Sedan kan du få den andra faktorn på din smartphone. Denna andra faktor kan vara ett SMS eller meddelande på en autentiseringsapp. Beroende på dina MFA-inställningar kan du behöva verifiera din identitet genom biometri.
Det finns många skäl att använda multifaktorautentisering, men kan motstå nätfiske helt?
Tyvärr är svaret "nej".
Cyberhot mot multifaktorautentisering
Även om MFA-metoder är säkrare än enfaktorsautentiseringsmetoder, kan hotaktörer utnyttja dem med olika tekniker.
Här är sätt hur hackare kan kringgå MFA.
Brute-Force Attacker
Om hackare har dina inloggningsuppgifter och du har angett en 4-siffrig PIN-kod som ska användas som den andra faktorn, de kan utföra brute-force attacker för att gissa säkerhetsnålen för att kringgå multifaktor autentisering.
SIM-hackning
Nuförtiden använder hotaktörer tekniker som SIM-byte, SIM-kloning och SIM-jackning hacka ditt SIM-kort. Och när de väl har kontroll över ditt SIM-kort kan de enkelt fånga upp sms-baserad andra faktor, vilket äventyrar din MFA-mekanism.
MFA trötthetsattacker
I en MFA trötthetsattack, bombarderar en hacker dig med en störtflod av push-meddelanden tills du ger upp. När du har godkänt inloggningsförfrågan kan hackaren komma åt ditt konto.
Motståndare i mitten attacker
Hackare kan använda AiTM-ramverk som Evilginx för att fånga upp både inloggningsuppgifter och den andra faktor-token. Sedan kan de logga in på ditt konto och göra vilken otäck sak som helst som passar dem.
Pass-the-Cookie-attacker
När du har slutfört multifaktorautentiseringsprocessen skapas en webbläsarcookie och sparas för din session. Hackare kan extrahera denna cookie och använda den för att starta en session i en annan webbläsare på ett annat system.
Nätfiske
Nätfiske, en av de mest vanlig social ingenjörskonst, används ofta för att komma åt den andra faktorn när hotaktören redan har ditt användarnamn och lösenord.
Till exempel använder du en SaaS-leverantör (software-as-a-service), och dina inloggningsuppgifter äventyras. En hacker kommer att ringa (eller mejla) dig som utger dig som din SaaS-leverantör för att begära den andra faktorn för verifiering. När du delar verifieringskoden kan hackaren komma åt ditt konto. Och de kan stjäla eller kryptera data som påverkar dig och din leverantör.
Nuförtiden använder hackare avancerade nätfisketekniker. Så se upp för nätfiskeattacker.
Vad är phishing-resistent MFA?
Nätfiske-resistent MFA är okänsligt för alla typer av social ingenjörskonst, inklusive nätfiskeattacker, autentiseringsattacker, Man-in-the-Middle-attacker och mer.
Eftersom människor är i centrum för social ingenjörsattacker, tar nätfiske-resistent MFA bort det mänskliga elementet från autentiseringsprocessen.
För att betraktas som en nätfiske-resistent MFA-mekanism bör autentiseringsenheten vara kryptografiskt bunden till domänen. Och den borde känna igen en falsk domän skapad av en hacker.
Följande är hur den nätfiske-resistenta MFA-tekniken fungerar.
Skapa stark bindning
Förutom att registrera din autentisering, kommer du att slutföra en kryptografisk registrering, inklusive identitetssäkring, för att skapa en stark koppling mellan din autentisering och identitet leverantör (IDP). Detta gör det möjligt för din autentisering att identifiera falska webbplatser.
Använd asymmetrisk kryptografi
En solid bindning av två parter baserad på asymmetrisk kryptografi (public-key kryptografi) eliminerar behovet av delade hemligheter som lösenord.
För att starta sessioner kommer båda nycklar (offentliga nycklar och privata nycklar) att krävas. Hackare kan inte autentisera sig för att logga in eftersom privata nycklar kommer att lagras säkert i hårdvarusäkerhetsnycklar.
Svara endast på giltiga autentiseringsförfrågningar
Phishing-resistent MFA svarar endast på giltiga förfrågningar. Alla försök att utge sig för legitima förfrågningar kommer att omintetgöras.
Verifiera avsikt
Nätfiske-resistent MFA-autentisering måste validera användarens avsikt genom att uppmana användaren att vidta en åtgärd som indikerar användarens aktiva medverkan för att autentisera inloggningsförfrågan.
Varför du bör implementera phishing-resistent MFA
Att anta phishing-resistent MFA ger flera fördelar. Det eliminerar det mänskliga elementet från ekvationen. Eftersom systemet automatiskt kan upptäcka en falsk webbplats eller en obehörig autentiseringsbegäran, kan det förhindra alla typer av nätfiskeattacker som syftar till att lura användare att ge bort inloggningsuppgifter. Följaktligen kan nätfiske-resistent MFA förhindra dataintrång i ditt företag.
Dessutom förbättrar en bra phishing-resistent MFA, som den senaste FIDO2-autentiseringsmetoden, användarupplevelsen. Detta beror på att du kan använda biometri eller lättimplementerade säkerhetsnycklar för att komma åt dina konton.
Sist men inte minst, phishing-resistent MFA ökar säkerheten för dina konton och enheter och förbättrar därigenom cybersäkerhet betesmark i ditt företag.
US Office of Management and Budget (OMB) utfärdade Federal Zero Trust Strategidokument, som kräver att federala myndigheter endast använder nätfiske-resistent MFA i slutet av 2024.
Så du kan förstå att nätfiske-resistent MFA är avgörande för cybersäkerhet.
Hur man implementerar phishing-resistent MFA
Enligt Status för säker identitetsrapport förberedda av Oktas Auth0-team, MFA bypass-attacker ökar.
Eftersom nätfiske är den ledande attackvektorn inom identitetsbaserade attacker, kan implementering av nätfiske-resistent multifaktorautentisering hjälpa dig att säkra dina konton.
FIDO2/WebAuthn Authentication är en allmänt använd phishing-resistent autentiseringsmetod. Det låter dig använda vanliga enheter för att autentisera i mobila och stationära miljöer.
FIDO2-autentisering erbjuder stark säkerhet genom kryptografiska inloggningsuppgifter som är unika för varje webbplats. Och inloggningsuppgifter lämnar aldrig din enhet.
Dessutom kan du använda inbyggda funktioner i din enhet, såsom en fingeravtrycksläsare för att avblockera kryptografiska inloggningsuppgifter.
Du kan kolla FIDO2-produkter att välja rätt produkt för att implementera phishing-resistent MFA.
Ett annat sätt att implementera phishing-resistent MFA är att använda PKI-baserade lösningar. PIV-smartkort, kreditkort och e-pass använder denna PKI-baserade teknologi.
Phishing-resistent MFA är framtiden
Nätfiskeattacker ökar, och att endast implementera traditionella multifaktorautentiseringsmetoder ger inget skydd mot sofistikerade nätfiskekampanjer. Så implementera phishing-resistent MFA för att förhindra hackare från att ta över dina konton.
