¿Recuerda cuando la autenticación multifactor (MFA) les dio a los profesionales de seguridad esa agradable y cálida sensación de que sus datos y usuarios estaban protegidos? Esos días han terminado. Los enfoques tradicionales de MFA ya no son suficientes, ya que los atacantes han desarrollado soluciones eficaces para abrir esa puerta de par en par. Como prueba, considere las infracciones que ocuparon los titulares del año pasado en Okta, Ubery Cisco, Sólo para nombrar unos pocos. Se necesita urgentemente un mejor enfoque, y comienza con las especificaciones de autenticación de usuario de FIDO2.
Debilidades de MFA
¿Por qué necesitamos un nuevo enfoque para la autenticación? Pasar por alto las técnicas MFA existentes para obtener las credenciales de los empleados o hacerse cargo de las cuentas de los empleados se ha convertido en un juego de niños para los atacantes. Incluso hay videos en YouTube que explican cómo hacerlo. Las técnicas van desde el phishing simple hasta el bombardeo automático (en el que los atacantes envían notificaciones automáticas hasta que el empleado acepta una) hasta explotaciones más complejas del protocolo de comunicaciones SS7 para obtener códigos MFA enviados por mensaje de texto.
Por ejemplo, tome la técnica común MFA de utilizando una notificación push como segundo factor.
Un enfoque común que utilizan los atacantes es crear una página de inicio de sesión de empresa falsa y luego enviar correos electrónicos de phishing para llevar a los empleados a esa página. Cuando un empleado ingresa su nombre de usuario y contraseña en la página falsa, el atacante simplemente toma las credenciales y las ingresa en la página de inicio de sesión real. Cuando el empleado recibe la solicitud de MFA (la notificación automática), es probable que la trate como genuina y haga clic en "Sí". Con ese enfoque simple, el atacante ahora ha comprometido la cuenta del empleado y tiene una cabeza de playa en la red de la empresa que puede permitirle moverse lateralmente e instalar malware o ransomware.
Las personas como punto de fracaso
No todas las vulnerabilidades son técnicas. La ingeniería social se está volviendo más sofisticada, con atacantes que usan mensajes de texto y llamadas de voz dirigidas a empleados específicos para agregar credibilidad y urgencia a ese correo electrónico de phishing. Los atacantes se hacen pasar por técnicos de TI u otras autoridades de confianza para crear esa confianza con el empleado objetivo. Estas técnicas pueden ser muy efectivas, ya que los desafortunados usuarios harán lo que se les pida de buena gana, asumiendo que están hablando con una persona de confianza de su propia organización.
Ingrese al estándar FIDO2
Entonces, ¿qué es FIDO2 y cómo puede ayudar a abordar estas vulnerabilidades de MFA? Desarrollado por la alianza Fast Identity Online (FIDO), FIDO2es un método de autenticación que contiene dos componentes: WebAuthn (W3C) y CTAP (FIDO Alliance), que juntos eliminan las brechas de seguridad en los servicios MFA estándar.
Con FIDO2, el sitio que solicita la autenticación construye el desafío de autenticación, lo cifra con la clave pública del autenticador registrado y lo envía al usuario a través del agente de usuario (navegador) que originalmente solicitó acceso. El navegador agrega algo de contexto y reenvía al autenticador adjunto. El autenticador descifra el desafío con su clave privada y lo compara con sus propios registros de registro y el contexto proporcionado por el navegador. Por la naturaleza de este proceso, los atacantes que usan credenciales robadas son bloqueados (reciben el desafío pero no pueden hacer nada, ya que no tienen el autenticador). Los atacantes que son activamente intermediarios también son detectados y bloqueados (pueden reproducir el tráfico bidireccional, pero no pueden construir un desafío que sería aceptado por el autenticador). Este método hace que sea prácticamente imposible comprometer la MFA. Las características clave de FIDO2 son:
- Las credenciales de autenticación se basan en pares de claves pública/privada.
- Sin secretos compartidos: el autenticador FIDO2 genera la clave privada, se almacena en hardware seguro en el autenticador y no se puede exportar ni manipular. Solo la clave pública se envía al lado del servidor (sitio web) al registrarse.
- Los desafíos de autenticación se entregan al agente de usuario (el navegador), que agrega contexto sobre el desafío y luego lo entrega al autenticador FIDO2 adjunto, lo que permite la detección de un intermediario.
- Autenticadores de plataforma (vinculados a la plataforma y solo se pueden usar en ese dispositivo) y autenticadores de roaming (que se pueden usar en cualquier dispositivo).
¿Por qué no todos usan FIDO2 MFA?
Los profesionales de la seguridad reconocen el valor que proporciona MFA basado en FIDO2. Sin embargo, debido a que las empresas necesitan comprar, distribuir y administrar claves de seguridad FIDO2 físicas, el costo y la complejidad adicionales han ralentizado la adopción. Además, a los usuarios realmente les disgusta usar una clave de seguridad física: es otra pieza de hardware que tienen que llevar consigo. Debido a estos factores, muchas empresas implementarán FIDO2 para empleados de alto riesgo pero usarán MFA estándar para otros empleados.
Protección a prueba de phishing
Los métodos de autenticación basados en FIDO2 son lo más parecido que existe a una solución "a prueba de phishing", y la la comunidad de seguridad ha tomado nota. La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) recientemente llamó a FIDO "el estándar de oro" para la autenticación, instando a los líderes corporativos a que lo hagan parte de su estrategia de MFA. Las agencias federales de EE. UU. también se están mudando a FIDO2 para abordar las vulnerabilidades de MFA existente técnicas.
A medida que se reconozca más ampliamente, espere ver a FIDO2 como un estándar recomendado o incluso obligatorio para las interacciones/transacciones en línea donde se deben proteger los datos críticos. Actualmente, la mayoría de los suscriptores de seguros cibernéticos requieren la implementación de MFA para calificar para la cobertura. No es exagerado imaginar que requisito expandiéndose para incluir FIDO2.
Hora de mejorar tu juego
Para cualquier organización preocupada por el ciberdelito, y el riesgo económico y reputacional que plantea, la adopción proactiva de la autenticación FIDO2 parece un movimiento empresarial inteligente. Para las organizaciones que dependen de proveedores o socios para sus interacciones en línea con empleados y/o clientes, ahora es un buen momento para averiguar si han adoptado FIDO2.
A medida que los ciberdelincuentes continúan mejorando su juego, las organizaciones deben hacer lo mismo. No espere hasta que un atacante encuentre su debilidad. Ahora es el momento de analizar críticamente sus protocolos de autenticación y ver cómo FIDO2 puede abordar las deficiencias de MFA y cerrar esa puerta.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/endpoint/without-fido2-mfa-falls-short
