Pe măsură ce întreprinderile iau măsurile necesare pentru a consolida securitatea în mediile lor, unul dintre cele mai importante instrumente este autentificarea multi-factor.
Acesta este indispensabil pentru oricine dorește să țină hackerii la distanță. Autentificarea, în forma sa cea mai simplă, este procesul de confirmare a faptului că o persoană care încearcă să intre în mediul dumneavoastră este cine pretinde a fi.
Protejarea mediului dumneavoastră IT și a datelor sensibile depinde de cunoașterea exactă a persoanelor care încearcă să obțină acces.
Iată un exemplu din viața reală care ilustrează autentificarea. Atunci când vă conectați la contul dvs. pe un site web, acesta trebuie să verifice mai întâi dacă sunteți proprietarul contului.
Cum face acest lucru? Te întreabă despre ceva ce numai tu ar trebui să știi. De obicei numele de utilizator și parola pe care le-ai selectat atunci când ți-ai configurat contul.
Pentru că tu l-ai configurat, este imposibil ca altcineva să aibă parola ta, nu-i așa?
Faptul că furnizarea unui nume de utilizator și a unei parole corecte pentru a obține acces la o resursă nu înseamnă întotdeauna că persoana respectivă este cine pretinde a fi.
În ultimii ani, breșele de identificare a utilizatorilor au devenit mult mai frecvente. Astfel, există o șansă semnificativă ca unele dintre combinațiile dvs. de nume de utilizator și parolă să fi fost compromise.
Prin urmare, să depinzi doar de un nume de utilizator și o parolă pentru a identifica pe cineva nu este o idee bună.
În această situație intervine autentificarea cu mai mulți factori.
Ce este autentificarea multi-factor
Autentificarea multi-factor (MFA) este o abordare de securitate care impune unui utilizator să furnizeze mai multe informații de identificare pentru a-și valida identitatea.
Autentificarea cu mai mulți factori este, cel mai probabil, ceva ce ați văzut deja pe unele dintre site-urile dvs. preferate.
De exemplu, atunci când vă conectați la contul dvs. bancar, este posibil să vi se ceară să introduceți codul care v-a fost trimis prin e-mail sau prin SMS.
Puteți apoi să vă accesați contul bancar după ce introduceți acest cod. Acesta este MFA în acțiune. Furnizarea unui nume de utilizator și a unei parole împreună cu un cod trimis pe e-mail reprezintă o formă de MFA.
Există alte câteva opțiuni pentru implementarea MFA. Să aruncăm o privire asupra câtorva dintre ele.
Autentificarea multi-factor: tipuri
Categoria pe care o utilizați pentru a identifica un utilizator se numește factor de autentificare. În general, aceste metode de identificare se încadrează în trei categorii de factori de autentificare:
Informații pe care le cunoașteți – Acestea pot fi o parolă, un cod PIN, informații personale, cum ar fi numele de fată al mamei etc.
Un element aflat în posesia dumneavoastră – Un element fizic pe care îl aveți, cum ar fi un telefon mobil sau un card.
Unic pentru dumneavoastră ca persoană – Date biometrice. Acestea pot fi o amprentă digitală, o scanare a retinei etc.
Pentru a implementa eficient autentificarea cu mai mulți factori, cele mai bune practici spun că trebuie să acoperiți cel puțin două dintre aceste categorii.
Un scenariu obișnuit ar fi acela de a cere unui utilizator să se conecteze cu numele de utilizator și parola. Acest lucru satisface categoria „informații pe care le cunoașteți”.
Odată ce numele de utilizator și parola sunt furnizate, un mesaj text este trimis pe telefonul mobil al utilizatorului cu un cod scurt.
Acest lucru este cunoscut sub numele de parolă cu utilizare unică (OTP – one-time password).”
Acest lucru acoperă categoria „un element aflat în posesia dumneavoastră”. În acel moment, utilizatorului i se va cere să introducă acest cod pe site-ul web.
Dacă codul este corect, utilizatorul va fi autentificat și va putea accesa site-ul web.
În acest scenariu, chiar dacă un atacator cunoaște parola utilizatorului, acest lucru nu este suficient. El va trebui să obțină, de asemenea, acces la telefonul utilizatorului pentru a furniza parola unică.
Parole de unică folosință
În exemplul precedent, aplicația a emis utilizatorului un cod de parolă unică (OTP). Aceasta este una dintre cele mai utilizate metode de autentificare cu mai mulți factori.
Să analizăm mai în detaliu ce sunt parolele de unică folosință. O parolă unică este o parolă generată în mod pseudo-aleatoriu care expiră după o perioadă scurtă de timp.
Are valabilitate doar pentru o singură autentificare, după cum sugerează și numele. Pentru a face procesul de autentificare mai sigur, parolele unice sunt folosite împreună cu un nume de utilizator și o parolă.
Parola unică furnizată unui utilizator este o tehnică de îmbunătățire indirectă a acreditărilor acestuia, chiar dacă are o parolă slabă sau reutilizată.
Există câteva moduri diferite de a trimite parole unice utilizatorilor.
Mesaj text sau SMS
Una dintre cele mai ușor de utilizat metode de trimitere a parolelor unice este prin mesaj text sau SMS. Utilizatorul introduce numele de utilizator și parola în aplicație, iar apoi primește pe telefon un mesaj text cu OTP-ul său.
Utilizatorul poate copia și lipi rapid codul din mesajul text în aplicație. Deși acest lucru este mai ușor de utilizat decât să nu ai niciun fel de MFA, nu este totuși abordarea optimă pentru parole unice.
Fie că vă vine să credeți sau nu, livrarea unui OTP prin SMS implică riscul de compromitere. Iată câteva dintre modalitățile prin care un atacator poate ajunge la OTP-ul dvs. prin SMS:
Inginerie socială
Un atacator care a pus mâna pe numele de utilizator și parola unui utilizator poate obține și numărul de telefon al acestuia.
S-a constatat că atacatorii pot obține parole unice prin SMS trimițând un mesaj text utilizatorului în care îi spun că au avut același număr de telefon ca și ei.
De asemenea afirmă că sunt blocați de pe unul dintre conturile lor deoarece nu au reușit să actualizeze numărul de telefon indicat în cont.
Apoi, atacatorul solicită respectuos codul care tocmai a fost livrat pe telefonul mobil al utilizatorului. Astfel atacatorul și-ar putea recupera contul.
Mulți oameni doresc să ajute persoana de la celălalt capăt al firului. Așa că trimit codul prin SMS fără să se gândească la asta.
O altă modalitate de a obține OTP-uri este să vi le trimiteți dumneavoastră prin e-mail. Deși acest lucru oferă o metodă suplimentară de accesare a contului, are anumite dezavantaje:
Din cauza prevalenței reutilizării parolelor, este posibil ca parola de e-mail a unui utilizator să fie aceeași cu cea a contului care solicită OTP-ul.
Pasul suplimentar al OTP-ului este inutil dacă atacatorul are deja această parolă.
Una dintre cerințele MFA este ca factorii utilizați să provină din cel puțin două dintre categoriile MFA: ceea ce știți, ceea ce aveți și ceea ce sunteți.
Numele de utilizator și parola se încadrează în categoria informațiilor pe care le cunoașteți deja, în timp ce OTP se referă la un element pe care îl dețineți.
În mod ideal, un obiect aflat în posesia dvs. ar fi telefonul mobil.
Faptul că aveți acces la un cont de e-mail nu înseamnă neapărat că telefonul mobil se află în posesia dumneavoastră. Puteți accesa e-mailul de pe orice dispozitiv.
SIMjacking
Atunci când un atacator își asigură accesul la numărul dumneavoastră de telefon mobil prin schimb de SIM, poartă denumirea de SIMjacking.
Un infractor poate face acest lucru în mai multe moduri. Unul dintre acestea ar fi acela de a convinge furnizorul de telefonie mobilă că și-a rătăcit telefonul.
Totodată are nevoie de activarea unei noi cartele SIM. Cartela SIM a atacatorului este utilizată pentru a activa dispozitivul.
Dacă compania de telefonie mobilă este de acord, atacatorul va avea acces la toate mesajele text, conversațiile telefonice și alte comunicări.
Deci, presupunând că vă cunoaște deja numele de utilizator și parola, tot ce trebuie să facă acum este să introducă OTP-ul trimis la numărul dvs. de telefon (la care are acum acces) și a intrat în joc!
Aplicații de autentificare
O modalitate obișnuită de gestionare a OTP-urilor este prin intermediul aplicațiilor de autentificare. După ce instalați aplicația pe telefonul mobil, puteți configura conturi care funcționează cu aplicația de autentificare.
OTP-urile se actualizează, de obicei, la fiecare 30 de secunde. Astfel, în loc să așteptați un e-mail sau un mesaj text, deschideți pur și simplu aplicația și veți găsi întotdeauna acolo un OTP valabil.
Există o multitudine de opțiuni de aplicații autentificatoare. Duo, Authy și Google Authenticator sunt trei dintre cele mai populare.
Primirea parolelor de unică folosință este floare la ureche cu o aplicație autentificatoare. Spre deosebire de SMS-uri, un atacator nu poate obține acces la aplicația de autentificare doar prin simpla cunoaștere a numărului de telefon sau a mesajelor text.
Dacă cineva obține acces la contul dvs. de e-mail, nu va putea să vă fure parolele unice.
Există și dezavantaje ale aplicațiilor de autentificare. Unii utilizatori pot considera că este o mare bătaie de cap să descarce o nouă aplicație și să își configureze toate conturile pe aceasta.
Este mult mai ușor să introduci un număr de telefon pentru a primi parolele unice.
O altă provocare este faptul că, dacă vă pierdeți telefonul mobil, obținerea accesului la conturile compatibile cu MFA poate deveni rapid extrem de dificilă.
Cele mai cunoscute aplicații de autentificare includ acum funcții de securitate încorporate, cum ar fi salvarea cheilor.
Trebuie să generați o parolă puternică pentru a vă cripta OTP-urile pentru a activa copiile de rezervă.
Dacă vă pierdeți vreodată telefonul, puteți descărca aplicația de autentificare și introduceți parola pentru a vă decripta cheile pe noul telefon.
Află dacă adresa ta de e-mail a fost implicată într-o încălcare a parolei
Aruncați o privire pe popularul site haveibeenpwned.com dacă aveți nevoie să vă convingeți mai mult de importanța autentificării cu mai mulți factori.
Pe site se colectează date referitoare la încălcarea parolelor.
Puteți verifica dacă adresa dvs. de e-mail a fost implicată în vreo breșă de date cunoscută public, introducând-o.
Așadar, chiar dacă aveți o parolă puternică, aveți încredere în site-urile pe care le vizitați pentru a vă păstra parola în siguranță, ceea ce, de multe ori, nu se întâmplă.
În timp ce vă gândiți la asta, treceți prin conturile dvs. esențiale și asigurați-vă că MFA este activat.
Nimeni nu vrea să se confrunte cu consecințele de a i se anula cardurile de credit, de a i se lua banii și de a i se reseta parolele.
Asigurați-vă că sunteți cu un pas înainte, protejându-vă conturile cu cea mai strictă securitate posibilă.
Acum ați învățat câte ceva despre autentificarea cu mai mulți factori, despre modul în care hackerii pot intra în sistemele dvs. De asemenea, cunoașteți cele mai bune modalități de gestionare a securității.
V-ați întrebat ce amenințări acționează în mediul dvs?
Aflați care sunt lacunele de securitate pe care le aveți în prezent, astfel încât să puteți opri amenințările în calea lor cu un simplu click aici: https://calendly.com/dorin-sal/30min?month=2022-09.
Vă oferim o ședință de consultanță gratuită de 30 de minute.
Suntem aici pentru a vă ajuta!
[…] exemplu, ar putea fi un control al schimbării parolei, o restricție de autentificare multi-factor pentru autentificare […]
[…] Autentificarea cu doi factori (2FA) este un proces simplu, dar care are un efect puternic. Atunci când activați această setare într-un cont online, este nevoie de un pas suplimentar pentru a obține accesul. Acest pas constă, de obicei, în primirea unui cod de acces unic (OTP) prin SMS și introducerea acestuia la conectare. […]