L’authentification multi-facteurs (MFA) est devenue l’une des sécurité les plus recommandées. Il s’agit maintenant d’une pierre de base dans la plupart des stratégies de cybersécurité des entreprises, qui offre une couche supplémentaire de sécurité au-delà des mots de passe traditionnels qui sont souvent faibles, recyclés dans de nombreuses applications, sites ou systèmes, et compromis régulièrement.
Néanmoins, à mesure que l’adoption du MFA a augmenté, il y a aussi une sophistication des attaques conçues pour l’ignorer. Les acteurs du danger développent constamment de nouvelles façons de contourner ces mesures de sécurité, offrant des risques majeurs aux organisations conçues pour la sécurité.
Après les cyberattaques commerciales ultérieures de notre équipe, ils partent presque tous les jours lorsqu’ils se réveillent. Cela peut prendre les entreprises à d’innombrables heures et des milliers – parfois des millions – des dollars complètement corrects. Malheureusement, nous constatons une augmentation des allégations d’organisations qui pensaient qu’elles étaient protégées par le protocole MFA, pour faire face à une attaque de contournement.
En gardant cela à l’esprit, il est important que les entreprises comprennent à la fois la force et les faiblesses du MFA dans le scénario de cybersécurité d’aujourd’hui.
Table of Contents
MFA est génial, mais pas bien
Le MFA améliore la sécurité pour fournir de nombreuses formes de vérification aux utilisateurs – en tant que PIN, mot de passe ponctuel est distribué à un appareil mobile ou des données biométriques avant de donner. Cette approche limite considérablement l’accès non autorisé, mais il n’est pas inadmissible à l’exploitation des acteurs du danger.
Une méthode populaire d’attaquants est attaquée par les attaquants. Dans ces scénarios, les acteurs du danger ont installé des sites médiés par la fraude pour perturber la communication entre la victime et le service légitime. Ils déploient de fausses pages de connexion qui reflètent les vraies personnes, capturent les informations d’identification de l’utilisateur, les cookies de sessions et parfois les jetons MFA de l’utilisateur. Les pirates vendent également des kits prêts à l’emploi pour activer ces attaques, tels qu’il est capable de contourner l’authentification à deux facteurs sur les comptes Google, Microsoft et Yahoo.
Une autre traction de la stratégie est la fatigue du MFA ou MFA Push BombingLes attaquants bombardent à plusieurs reprises la cible avec des notifications push MFA, s’attendant à ce que l’utilisateur approuve l’une des demandes de déception ou de confusion. Cette méthode cible l’élément de sécurité humain, qui est finalement la surface de l’attaque de contrôle la plus importante et minimale pour toute organisation. Un utilisateur dépassé peut accéder sans le savoir la possibilité d’attaquer la fatigue. Il s’agit d’un risque pour chaque organisation, quelle que soit la taille.
Passkeys progresse, mais avec des limites
En réponse aux faiblesses associées aux méthodes MFA traditionnelles, l’industrie recherche des mécanismes d’authentification alternatifs. PassKeys, qui tire parti des données biométriques de l’utilisateur pour soumettre des informations de chiffrement stockées dans l’appareil de l’utilisateur, sont devenues une solution prometteuse. Des entreprises comme Microsoft, Google et Apple sont Plaidoyer Pour les mots de passe des options plus sécurisées et conviviales pour Paske. Ils offrent une protection plus sophistiquée, agissent comme « Lock and Ki ». Un site Web fournit « Lock » (clé publique) et l’utilisateur a une « clé privée » sur son appareil. En utilisant cette « cryptographie à clé publique », le but de PassKeys est d’éliminer les risques liés à la réutilisation du mot de passe et aux attaques de pêche.
Néanmoins, Passkeys n’est pas non plus sans leurs défis. La dépendance à l’égard des informations d’identification basées sur l’appareil signifie que si un appareil est perdu, volé ou compromis, il peut être à risque stocké dessus. De plus, les attaquants sophistiqués peuvent utiliser des techniques avancées telles que les techniques DeepFek pour gâcher les données biométriques. PassKeys nécessite également une large émission dans les plateformes et les services, ce qui est un processus continu.
Solutions MFA résistantes au poisson
Compte tenu du paysage du danger développé, les solutions MFA résistantes au poisson sont plus obligatoires. Ces méthodes sont conçues pour faire face aux attaques de pêche en combinant la certification à un équipement spécifique et en garantissant que les informations d’identification ne peuvent pas être facilement interceptées ou répétées. Certaines configurations de Passkeys peuvent atterrir dans ce domaine.
Une approche efficace est l’utilisation de clés de sécurité matérielle qui respectent les normes telles que FIDO2. Ces clés effectuent des opérations cryptographiques qui sont liées au périphérique de clé de chiffrement de l’utilisateur, ce qui rend les attaques AITM ou les jetons d’authentification en double pour les attaquants incroyablement difficiles. L’occupation physique est nécessaire pour utiliser les clés de sécurité matérielle, une couche de protection tangible n’est pas facilement contournée par les attaquants de distance.
Une stratégie de défense à plusieurs niveaux
Il est important lors de la mise en œuvre du MFA solide et résistant aux poissons, il ne devrait être qu’une partie d’une stratégie de cybersécurité à plusieurs niveaux. Au moins, une approche plus holistique doit être incluse:
- Plan de réponse à l’événement: L’installation d’un plan de réaction d’événements et de mise à jour régulièrement est importante pour aider les organisations à réagir efficacement dans des situations de haut niveau et à réduire les dommages potentiels.
- Éducation continue des utilisateurs: Des programmes de formation réguliers pour éduquer les employés sur les nouvelles techniques de phishing et la stratégie d’ingénierie sociale – et comment les identifier – pour réduire la possibilité de succès.
- Trouver un danger avancé: L’équipement de surveillance sophistiqué peut détecter un comportement étrange et une intrusion potentielle en temps réel, de sorte que l’organisation peut répondre rapidement aux dangers émergents.
- Évaluation régulière de la sécurité: Les tests de vérification et de pénétration de sécurité répétés aident à identifier et à prendre des mesures avant d’exploiter par de mauvais acteurs.
Le MFA est un élément important de la cybersécurité, mais ce n’est pas un remède. Une approche flexible de la cybersécurité nécessite de comprendre les limites de chaque stratégie et de mettre en œuvre une monnaie de sécurité adaptative multicouche. Cette approche contribue grandement à protéger ses activités dans un monde numérique risqué.
