Используете 2FA? Отлично. Но это не безошибочно — CloudSavvy IT

телефон с двумя факторамиShutterstock / BestForBestВы должны использовать двухфакторную аутентификацию везде, где она доступна. Он не идеален, но останавливает большинство нападающих. Но не обманывайтесь, думая, что это неприступно. Это не так.

Проблема с паролем

Пароль был основным средством защиты учетных записей компьютеров с 1950-х годов. Спустя семьдесят с лишним лет мы все завалены паролями, в основном для онлайн-сервисов. Из любопытства проверил свой менеджер паролей. В нем хранится 220 наборов учетных данных.

Если вы не особо одарены, запомнить такое количество сложных и надежных паролей невозможно. Вот почему люди повторно используют пароли и используют слабые, но легко запоминающиеся пароли. Конечно, такое поведение подвергает ваши учетные записи опасности взлома.

Автоматические атаки методом перебора, словарные атаки и другие поисковые атаки используют списки слов и базы данных взломанных паролей, чтобы попытаться получить несанкционированный доступ к учетным записям людей. Каждый раз, когда происходит утечка данных, данные становятся доступными в даркнете для использования киберпреступниками. Они используют базы данных взломанных паролей в качестве оружия для своего программного обеспечения. Он автоматически загружает украденные учетные данные в учетные записи, пытаясь сопоставить пароли и получить доступ.

В Меня уговорили веб-сайт собирает данные о максимально возможном количестве утечек данных. Вы можете свободно посещать сайт, чтобы проверить, не были ли раскрыты ваш адрес электронной почты или какой-либо из ваших паролей. Чтобы дать вам представление о масштабах проблемы, есть более 11 миллиардов наборы учетных данных в своих базах данных.

С таким количеством паролей велика вероятность, что кто-то другой выбрал тот же пароль, что и вы. Таким образом, даже если ни одна из ваших данных никогда не подвергалась взлому, это вполне могут быть данные кого-то другого — кто использовал тот же пароль, что и вы. И если вы использовали один и тот же пароль для многих разных учетных записей, это подвергает их все опасности.

Политики паролей

Во всех организациях должна быть политика паролей, которая дает инструкции по созданию и использованию паролей. Например, необходимо определить минимальную длину пароля, а правила составления пароля должны быть четко изложены, чтобы все сотрудники могли их понять и следовать. Ваша политика должна запрещать повторное использование паролей для других учетных записей и основывать пароли на именах домашних животных или членов семьи, годовщинах и днях рождения.

У вас есть проблема, как вы контролируете это? Как узнать, соблюдает ли персонал эти правила? Вы можете установить правила минимальной сложности во многих системах, чтобы они автоматически отклоняли слишком короткие пароли, которые не содержат цифр и символов или являются словарными словами. Что помогает. Но что, если кто-то использует пароль одной из своих корпоративных учетных записей в качестве пароля Amazon или Twitter? У вас нет возможности узнать.

Использование двухфакторной аутентификации повышает безопасность ваших корпоративных учетных записей, а также обеспечивает некоторую защиту от неправильного управления паролями.

Двухфакторная аутентификация

Двухфакторная аутентификация добавляет еще один уровень защиты к защищенным паролем учетным записям. Наряду с вашим идентификатором и паролем вам необходимо иметь доступ к зарегистрированному физическому объекту. Это либо аппаратные ключи, либо смартфоны с утвержденным приложением для аутентификации.

Одноразовый код генерируется приложением-аутентификатором на смартфоне. Вы должны ввести этот код вместе со своим паролем при входе в учетную запись. Ключи могут подключаться к USB-порту или использовать Bluetooth. Они либо отображают код, либо генерируют и передают ключ на основе секретного внутреннего значения.

Двухфакторная аутентификация сочетает в себе то, что вы знаете (ваши учетные данные), с тем, что у вас есть (смартфон или электронный ключ). Таким образом, даже если кто-то угадает или подберет ваш пароль, он все равно не сможет войти в учетную запись.

Компрометация двухфакторной аутентификации

У злоумышленника есть несколько способов преодолеть двухфакторную аутентификацию и получить доступ к защищенной учетной записи. Некоторые из этих методов требуют элитных технических возможностей и значительных ресурсов. Например, атаки, использующие уязвимости в протоколе системы сигнализации № 7 (SS7), обычно проводятся хорошо оснащенными и высококвалифицированными хакерскими группами или злоумышленниками, спонсируемыми государством. SS7 используется для установления и отключения телефонной связи, включая текстовые SMS-сообщения.

Чтобы привлечь внимание такого калибра злоумышленников, цели должны быть очень ценными. «Дорогой» для разных злоумышленников разные вещи. Расплата может быть непростой финансовой, атака может быть политически мотивированной, например, или являться частью кампании промышленного шпионажа.

В рамках «аферы с переносом» киберпреступники связываются с вашим оператором сотовой связи и притворяются вами. Достаточно хорошо обученные злоумышленники могут убедить представителя, что они являются владельцами вашей учетной записи. Затем они могут передать номер вашего смартфона на другой смартфон, к которому у них есть доступ. Любые SMS-сообщения отправляются на их смартфон, а не на ваш. Это означает, что киберпреступникам доставляются любые коды двухфакторной аутентификации на основе SMS.

Использовать методы социальной инженерии, чтобы повлиять на сотрудников сотовых операторов, непросто. В целом, более простой способ — использовать службу обмена текстовыми сообщениями в Интернете. Они используются организациями для отправки SMS-напоминаний, предупреждений об аккаунте и маркетинговых кампаний. Они тоже очень дешевые. Примерно за 15 долларов вы можете найти сервис, который будет перенаправлять весь SMS-трафик с одного номера смартфона на другой в течение месяца.

Конечно, вы должны владеть обоими смартфонами или иметь разрешение владельца, но для киберпреступников это не проблема. Когда их спросят, так ли это, все, что им нужно, — это сказать «да». Больше нет никаких подтверждений, чем это. От злоумышленников не требуется никаких навыков, и все же ваш смартфон скомпрометирован.

Все эти типы атак ориентированы на двухфакторную аутентификацию на основе SMS. Существуют атаки, которые так же легко обходят двухфакторную аутентификацию на основе приложений. Злоумышленники могут организовать фишинговую кампанию по электронной почте или использовать typosquatting, чтобы направить людей на убедительную, но мошенническую страницу входа.

Когда жертва пытается войти в систему, ей предлагается ввести идентификатор и пароль, а также код двухфакторной аутентификации. Как только они вводят свой код аутентификации, эти учетные данные автоматически перенаправляются на страницу входа на подлинный веб-сайт и используются для доступа к учетной записи жертвы.

Не прекращайте его использовать!

Двухфакторную аутентификацию можно преодолеть с помощью ряда методов, от технически сложных до сравнительно простых. Несмотря на это, двухфакторная аутентификация по-прежнему является рекомендуемой мерой безопасности и должна применяться везде, где она предлагается. Даже при наличии этих атак двухфакторная аутентификация на порядок безопаснее, чем простая схема идентификатора и пароля.

Маловероятно, что киберпреступники попытаются обойти вашу двухфакторную аутентификацию, если вы не являетесь важной, заметной или иной стратегической целью. Так что продолжайте использовать двухфакторную аутентификацию, это намного безопаснее, чем не использовать ее.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *