AUTENTIFICAREA MULTI-FACTOR

AUTENTIFICAREA MULTI-FACTOR

O TACTICĂ COMUNĂ

În timp ce atacurile de rețea au devenit mai complexe, compromisul parolelor continuă să fie una dintre principalele tactici folosite pentru a ataca cu succes rețelele și datele. Unul dintre numeroasele exemple a avut loc în septembrie 2017, când Deloitte, una dintre cele mai mari firme de contabilitate din lume, a raportat o încălcare care a dus la compromiterea e-mailurilor și datelor clienților, inclusiv pe cele ale agențiilor guvernamentale și ale altor întreprinderi mari. În urma analizelor ulterioare s-a ajuns la concluzia că atacatorii au obținut acces la serverul de e-mail printr-un cont de administrator care era protejat doar prin parolă. Estimările publice indică astfel de încălcări ale datelor pot costa o organizație milioane de dolari. În timp ce mecanismele inteligente de timeout și de blocare pot preveni aproape atacurile de forță brută asupra serviciilor de la distanță, parolele sunt adesea ușor compromise prin metode precum atacurile de dicționar asupra hash-urilor parolelor, înregistrarea tastelor, detectarea parolelor trimise în inspecția TLS clară și rău intenționată, inginerie socială și lipsă. de conștientizare a utilizatorilor.

Deși selectarea parolelor puternice și stabilirea politicilor de timeout și blocare joacă un rol important în securizarea unei întreprinderi, bazarea numai pe puterea parolei nu este suficientă în multe cazuri. Există o mulțime de instrumente și tehnici de inginerie socială, de ghicire a parolelor, de spargere a parolelor și de adulmecare a parolelor disponibile pentru atacatori pentru a obține accesul inițial sau a menține persistența în rețele. Acesta este motivul pentru care conceptul de autentificare multifactor (MFA) a evoluat ca unul dintre cele mai eficiente controale pentru a proteja o întreprindere. Autentificarea bazată pe parolă implică utilizarea unei singure acreditări pentru a se autentifica la un sistem. MFA necesită doi sau mai mulți factori pentru o autentificare cu succes, de preferință incluzând cel puțin unul care este rezistent la atacurile de reluare. Atunci când este implementat corect, MFA prezintă un obstacol semnificativ în calea atacatorilor care încearcă să obțină sau să mențină accesul la rețeaua unei organizații: atacatorii ar trebui să cheltuiască resurse pentru a coordona un compromis al tuturor factorilor din sistemul MFA înainte ca utilizatorul să descopere compromisul și să reseteze sau să revoce acreditările asociate.

CE ESTE AUTENTIFICAREA MULTI-FACTOR (MFA) ?

Autentificarea este procesul de verificare a identității unui utilizator la un sistem care oferă acces. MFA este o metodă de autentificare care combină doi sau mai mulți factori de autentificare pentru a valida identitatea unui utilizator. Există trei tipuri de factori de autentificare: ceva ce știți (de exemplu, o parolă), ceva pe care îl aveți (de exemplu, un simbol) și ceva ce sunteți (de exemplu, datele biometrice).
Exemplele de implementări MFA includ:

  • Introducerea unui card bazat pe cip (ceva pe care îl aveți) și introducerea unui PIN (ceva pe care îl cunoașteți)
  • Glisarea unei insigne (ceva pe care îl aveți), scanarea amprentei dvs. (ceva ce sunteți) și introducerea unui PIN (ceva pe care îl cunoașteți)
  • Introducerea unei parole (ceva ce știți) și primirea unui cod de unică folosință prin SMS pe un dispozitiv mobil înregistrat (ceva pe care îl aveți)

Un aspect important pentru eficacitatea implementării unei AMF este modul în care sunt protejați și combinați factorii. În primul exemplu, este probabil ca un card furat să fie raportat și înlocuit înainte ca codul PIN să poată fi ghicit. În al doilea exemplu, totuși, valoarea glisării insignei poate fi recuperată de la distanță. Dacă verificarea oferă feedback de la utilizator cu privire la fiecare dintre factori (de exemplu, insigna nevalidă, amprenta citită greșit și codul PIN greșit sunt toate răspunsuri valide pentru autentificare eșuată), un adversar poate verifica dacă are introducerea corectă pentru insigna și intrarea biometrică și independent. încercați să ghiciți codul PIN. În mod similar, pentru al treilea exemplu, un adversar poate descoperi parola înainte de a încerca să descopere intrarea pe bază de SMS și apoi să încerce să intercepteze codul de unică folosință. Mecanismele de bază MFA, cum ar fi cel de-al treilea exemplu, sunt aproape la fel de ușor de exploatat ca și parolele, în timp ce cele care combină și protejează efectiv factorii necesită un atac mai coordonat împotriva a doi sau mai mulți factori.

Care Sunt Amenințările?

Există metode care vizează fiecare dintre categoriile de factori de autentificare. Puterea MFA scade atunci când toți factorii pot fi compromisi independent, fără a alerta utilizatorul legitim. Pentru a contracara acest lucru, monitorizați utilizarea acreditărilor MFA și alertați asupra comportamentului de acces neobișnuit care ar putea indica că un compromis nu a fost detectat de utilizatorul legitim. Se pot implementa, de asemenea, atribute bazate pe timp și/sau locație pentru a limita accesul pe baza comportamentelor legitime ale utilizatorului.

Factorii pe care îi știi sunt întotdeauna expuși riscului de a fi dezvăluiți sau ghiciți de un adversar. Ingineria socială, cercetarea cu sursă deschisă, înregistrarea cheilor și captarea traficului de autentificare de succes sunt toate tactici pe care adversarii le folosesc în mod regulat pentru a dezvălui parolele, codurile PIN sau răspunsurile la întrebările de securitate. Biletele Kerberos și hash-urile parolelor bazate pe parolele utilizatorului pot fi, de asemenea, furate de pe dispozitivele compromise și redate (alias Pass-the-Ticket și Pass-the-Hash). La momentul scrierii acestui articol, este din ce în ce mai frecvent ca mecanismele cu o singură parolă care trimit parole prin comunicații parțial nesecurizate (de exemplu, PIN-uri prin SMS) să fie compromise prin redirecționarea mesajelor respective. Utilizați MFA care include atât ceea ce știe utilizatorul (cu timeout și blocare) cât și ceea ce are utilizatorul. Pentru angajații guvernamentali din S.U.A., un simbol de verificare a identității personale (PIV) oferă o astfel de combinație care permite opțional ca activarea amprentelor digitale să fie utilizată ca al doilea factor, cu un PIN, pentru a oferi un al treilea factor. Token-urile disponibile comercial, cum ar fi YubiKey (modurile FIPS sau Universal-2-Factor) sau jetoanele de parolă unică bazate pe timp SecurID, de exemplu, combină efectiv ceea ce aveți cu unul sau mai multe dintre ceea ce știți sau ceea ce sunteți.

Jetoanele (tokens) și dispozitivele fizice pot fi întotdeauna pierdute, furate sau duplicate. În unele cazuri, un adversar cu acces fizic la token-ul ar putea modifica tokenul pentru a-și schimba comportamentul sau îl poate folosi pentru a infecta gazda cu care interfață, deși pentru multe token-uri moderne acest lucru necesită abilități, investiții și riscuri semnificative. Luați în considerare utilizarea dispozitivelor care includ mecanisme de securitate fizică, cum ar fi dovezi de falsificare sau răspuns. NSA recomandă utilizarea dispozitivelor validate de Programul de validare a modulelor criptografice NIST conform standardului FIPS 140-2. Validarea FIPS 140-2 de nivel 1 este suficientă pentru majoritatea dispozitivelor care vor rămâne în posesia unui utilizator și pot fi ușor revocate și înlocuite dacă sunt pierdute; dispozitivele validate la nivelurile 3 sau 4 oferă dovezi de falsificare sau răspunsuri la manipulare (respectiv) care pot oferi protecție suplimentară dacă dispozitivul este lăsat temporar nesupravegheat în medii cu risc ridicat. Unele sisteme de jetoane MFA depind de serverele centrale de autentificare, autoritățile de certificare și/sau sistemele de emitere a jetoanelor, iar aceste servere ar trebui protejate și izolate cu mare atenție.

Actorii avansați de amenințări pot replica factorii biometrici. De exemplu, atunci când Samsung a lansat pentru prima dată funcția de autentificare a amprentei pe Galaxy S5, grupuri de cercetători și hackeri au susținut că au deblocat cu succes telefoane – inclusiv unul aparținând unui oficial german – folosind fotografii cu amprentele utilizatorilor și recrearea ieftină a amprentelor realizate cu uz casnic. materiale. Testarea vieții a îmbunătățit unele elemente biometrice, dar acestea se bazează adesea pe informații accesibile din pahare de băut uzate și fotografii de înaltă rezoluție. Deoarece falsificarea biometrică este o preocupare, luați în considerare utilizarea factorilor biometrici ca adăugare la alți doi dacă este necesară o autentificare puternică.

Este posibil ca unele sisteme să nu accepte MFA și pot funcționa numai cu autentificarea tradițională prin parolă. Atacatorii care detectează utilizarea acestor sisteme în rețelele întreprinderii își pot concentra eforturile pe compromiterea parolelor și să obțină acces la acele sisteme, mai degrabă decât să-și cheltuiască resursele încercând să pătrundă în sistemele protejate de MFA. Utilizați dispozitive de gestionare a accesului cu privilegii2 pentru a impune MFA dispozitivelor care acceptă doar autentificarea bazată pe parolă. Astfel de soluții PAM pot trimite cererea către dispozitivele țintă folosind parole de unică folosință generate aleatoriu, bine protejate și pot implementa reguli dinamice de control al accesului pentru a limita daunele pe care un adversar le poate cauza dacă reușesc să deturneze un mecanism de autentificare sau să ocolească PAM.

În loc să încerce să compromită fiecare factor MFA în mod individual, atacatorii pot încerca să găsească și să câștige persistență pe o gazdă în care factorii se unesc. Gestionați configurațiile de securitate a gazdei3 pentru a reduce riscul ca un adversar să obțină acces la gazdă (unde poate recupera și/sau abuza de toți factorii). Luați în considerare includerea autentificării dispozitivului și a verificărilor de sănătate ca parte a unui sistem dinamic de control al accesului.

Instruiți în mod regulat utilizatorii și administratorii cu privire la specificul sistemelor MFA pe care le folosesc și amenințările asociate. Toți utilizatorii și administratorii sistemului ar trebui să fie capabili să identifice un compromis al unuia sau mai multor factori atunci când se întâmplă și să cunoască răspunsurile adecvate și cerințele de raportare. Procesele de raportare, revocare și înlocuire în timp util și nepunitive vor minimiza sarcina asupra utilizatorilor și vor minimiza timpul în care un adversar poate abuza de un MFA compromis.

CONTROL ADAPTIV AL ACCESULUI

Pe lângă autentificare, deciziile de acces ar trebui să includă alte atribute de identitate și să integreze analiza comportamentului folosind aceste atribute pentru a recunoaște și a răspunde solicitărilor cu risc ridicat. Exemple de atribute de identitate care încep să fie utilizate includ locul de unde solicitați acces (de exemplu, geolocalizarea) și când solicitați acces, precum și atribute tradiționale precum organizațiile și rolurile. Sistemele de control al accesului moderne, adaptive, bazate pe atribute sunt recomandate pentru accesul la resurse de mare valoare, cum ar fi funcțiile administrative ale domeniului și ale întreprinderii și în special datele sensibile sau esențiale. Astfel de sisteme pot recunoaște o solicitare dintr-un loc neobișnuit, la un moment neobișnuit sau pentru resurse neconforme cu rolul utilizatorului și pot detecta și răspunde la alte solicitări anormale. Răspunsurile de control adaptiv al accesului pot varia de la alertarea administratorilor asupra încercărilor de acces suspecte până la refuzul accesului

Cat mai usor pentru utilizator

Unele acreditări MFA fac autentificarea mai ușoară și mai rapidă decât oricând. De exemplu, cititoarele de amprente și recunoașterea facială oferă o autentificare fără întreruperi și aproape instantanee (adecvată numai pentru mediile cu risc scăzut, deoarece biometria singură nu oferă adesea o asigurare puternică). Atunci când sunt implementate corect pe dispozitivele cu funcții de blocare, codurile PIN aleatorii sunt mult mai scurte decât parolele complete și pot fi adesea reținute mai ușor. În timp ce MFA poate oferi beneficii de securitate și de utilizare față de autentificarea tradițională bazată pe parole, eșecul de a planifica cu atenție tranziția de la parole la acreditările MFA poate crea o povară inutilă. Sistemele MFA solicită utilizatorilor să se înregistreze în sistem, iar un proces de înregistrare lung și confuz ar putea perturba utilizatorii. Utilizatorii vor trebui să se obișnuiască să țină evidența jetoanelor lor și trebuie făcute acomodari pentru jetoanele uitate. Blocarea contului rezultată din prea multe încercări consecutive de autentificare cu parolă falsă sau PIN va frustra utilizatorii, iar utilizatorii s-ar putea teme de gândul unui sistem MFA care include acum două sau mai multe puncte potențiale de eșec de autentificare. Mecanismele de recuperare de blocare care impun utilizatorului să urmeze proceduri complicate și să găsească o infrastructură de emitere/reemitere care este greu de accesat pot deveni frustrante și pot reduce productivitatea. Aceste dezavantaje de utilizare pot duce la respingerea de către utilizatori a unui sistem MFA; și, chiar dacă MFA este obligatoriu, utilizatorii supărați ar putea evita să depună eforturi pentru a-și proteja acreditările, lăsând factorii MFA mai susceptibili la compromisuri.

Întreprinderile trebuie să ia în considerare impactul asupra utilizatorilor pe care sistemele MFA îl prezintă și să coordoneze cu atenție tranziția pentru a obține acceptarea utilizatorilor. Instruiți administratorii, personalul biroului de asistență și utilizatorii cu privire la sistemul MFA, precum și la planul de înscriere. Descrieți îmbunătățirile cheie de utilizare pe care le oferă MFA față de autentificarea doar prin parolă. De exemplu, nevoia de a memora și gestiona mai multe parole complexe pentru mai multe sisteme a pus întotdeauna o povară asupra utilizatorilor; un token MFA cu autentificare PIN poate ajuta la reducerea semnificativă a acestei sarcini. Anticipați problemele potențiale cu cerințele de acces ale utilizatorilor și comportamentul de autentificare reușit și eșuat. Furnizați o infrastructură de raportare de emitere/reemitere și de compromitere fiabilă și ușor disponibilă pentru a minimiza durerea asociată cu raportarea și înlocuirea token-urilor pierdute sau furate. În cele din urmă, instruiți utilizatorii și administratorii cu privire la beneficiile și procedurile pentru revocarea factorului de autentificare


Cat mai complicat pentru atactor

Autentificarea cu mai mulți factori este un instrument benefic conceput pentru a se apăra împotriva unei game de atacuri de autentificare, care se bazează pe furtul acreditărilor utilizatorului. Autentificarea tradițională bazată pe parole este susceptibilă la instrumentele și tehnicile de ghicire a parolelor, spargerea parolelor și sniffing parolei, iar utilizatorii pot fi păcăliți să-și divulge acreditările prin campanii de inginerie socială. Un compromis al autentificării cu un singur factor costă atacatorilor resurse minime atunci când încearcă să intre în rețelele întreprinderii și, prin urmare, le permite să-și petreacă timpul și efortul rămas pentru a efectua atacuri mai avansate din interior. Și, așa cum s-a văzut în atacul Deloitte, compromisul unui set de acreditări poate duce la expunerea a și mai multe acreditări. Unirea MFA a doi sau mai mulți factori suplimentari sau alternativi protejează împotriva amenințărilor care vizează defectele inerente cu autentificarea doar prin parolă. Implementarea corectă a MFA va costa adversarului mai multe resurse, va crește șansele de detectare și va împiedica semnificativ capacitatea acestuia de a exploata sistemul de autentificare