top of page

MFA otporan na krađu identiteta - novo normalno

Mnoge organizacije još uvijek ne koriste MFA za autentifikaciju svojih korisnika, a čak i one koje ga koriste postale su ranjive na najnovije tehnike krađe identiteta.


Počevši od 2021. pa sve do 2022., Microsoft i drugi dobavljači primijetili su sve sofisticiranije phishing-as-a-service alate kojima se targetiraju računi s omogućenom MFA zaštitom u SaaS uslugama (kao što je Microsoft365). Jednostavno rečeno, zlonamjerni akteri naučili su ne samo kako prikupiti korisničko ime i lozinku, već i jednokratne kodove koje proizvodi aplikacija za autentifikaciju njihovih mobilnih telefona.


Za organizacije u kojima MFA ne uključuje jednokratne kodove koji se unose u upit za prijavu u aplikaciju, već se oslanjaju na push obavijesti mobilnog telefona, napadači su razvili takozvanu tehniku ​​Push bombing (također poznatu kao push fatigue ili prompt bombing). U ovom slučaju zlonamjerni akteri bombardiraju korisnika push obavijestima sve dok ne pritisnu gumb "Prihvati", čime zlonamjernom akteru dopuštaju pristup mreži.


Vrijeme je za MFA otporan na krađu identiteta ili barem na podudaranje brojeva

Postoje dva opsežna načina za rješavanje krađe identiteta kod MFA:


Prvo, ako koristite push obavijesti, povećajte MFA podudaranjem brojeva. Time će se riješiti problem MFA push bombardiranja. Podudaranje brojeva je postavka koja prisiljava korisnika da u svoju aplikaciju unese broj prikazan u push obavijesti kako bi odobrio zahtjev za autentifikaciju. U ovom scenariju korisnici ne mogu odobriti push zahtjeve bez unosa brojeva na zaslonu za prijavu. Usklađivanje brojeva onemogućuje korisnicima da prihvate upit u push obavijesti, a da ne znaju brojeve. Ovo ublažavanje u biti kombinira jednokratne lozinke s push obavijestima.

MFA number matching to discourage prompt bombing
Microsoft Authenticator MFA značajka podudaranja brojeva. Izvor: Microsoft

Dobavljači MFA podržavaju značajke podudaranja brojeva pod različitim imenima robnih marki. Nekoliko uobičajenih primjera uključuje Microsoft Number Matching, Duo Verified Push, Okta TOTP.


Drugi pristup je korištenje odgovarajućih MFA implementacija otpornih na krađu identiteta koje se oslanjaju na kriptografiju s javnim ključem, a može biti:

  1. FIDO/WebAuthn provjera autentičnosti

  2. MFA temeljena na PKI-ju

FIDO/WebAuthn autentifikaciju je lakše implementirati i izbjegava teret administriranja PKI infrastrukture. FIDO Alliance izvorno je razvio protokol WebAuthn kao dio standarda FIDO2, a sada ga objavljuje World Wide Web Consortium (W3C). Podrška za WebAuthn uključena je u glavne preglednike, operativne sustave i pametne telefone. WebAuthn radi s povezanim standardom FIDO2 kako bi osigurao autentifikator otporan na krađu identiteta. WebAuthn autentifikatori mogu biti:

  • odvojeni fizički tokeni (koji se nazivaju "roaming" autentifikatori) povezani s uređajem putem USB-a ili komunikacije bliskog polja (NFC), ili

  • ugrađeni u prijenosna računala ili mobilne uređaje kao "platformski" autentifikatori (npr. podržani značajkom Windows OS Hello).

Drugi pristup je omogućiti MFA otporan na phishing, a povezan s PKI-jem poduzeća. MFA temeljen na PKI-ju obično dolazi u obliku pametnih kartica (ili USB PKI tokena) koje pohranjuju privatni ključ korisnika u sigurnosni čip, a kartica mora biti izravno povezana s uređajem kako bi se korisnik mogao prijaviti u sustav (s ispravnim PIN-om). Iako MFA temeljen na PKI-ju pruža jaku sigurnost, teško ga je administrirati i održavati, što ga čini razumnim rješenjem samo za najveće i najsloženije organizacije.


Latest news

bottom of page