L'implementazione dell'autenticazione a più fattori (MFA) è un'ottima strategia per rafforzare la sicurezza dei tuoi account online, ma sofisticati attacchi di phishing possono aggirare l'MFA. Pertanto, prendi in considerazione l'adozione di un forte metodo MFA resistente al phishing per combattere le moderne campagne di phishing.
In che modo l'MFA tradizionale è suscettibile agli attacchi di phishing? Che cos'è una soluzione MFA resistente al phishing e come può impedire gli attacchi di phishing?
Che cos'è l'autenticazione a più fattori?
Come suggerisce il termine, l'autenticazione a più fattori richiede di presentare due o più fattori di verifica per accedere ai tuoi account.
Un fattore in un processo di autenticazione è un mezzo per verificare la tua identità quando stai tentando di accedere.
I fattori più comuni sono:
- Qualcosa che sai: una password o un PIN che ricordi
- Qualcosa che hai: una chiavetta USB sicura o uno smartphone che possiedi
- Qualcosa che sei: il riconoscimento facciale o l'impronta digitale
L'autenticazione a più fattori aggiunge ulteriori livelli di sicurezza ai tuoi account. È come aggiungere un secondo o un terzo lucchetto al tuo armadietto.
In un tipico processo di autenticazione a più fattori, dovrai prima inserire la password o il PIN. Quindi, potresti ricevere il secondo fattore sul tuo smartphone. Questo secondo fattore può essere un SMS o una notifica su un'app di autenticazione. A seconda delle impostazioni MFA, potrebbe essere necessario verificare la propria identità tramite dati biometrici.
Ci sono molte ragioni per utilizzare l'autenticazione a più fattori, ma può resistere completamente al phishing?
Sfortunatamente la risposta è no."
Minacce informatiche all'autenticazione a più fattori
Sebbene i metodi MFA siano più sicuri dei metodi di autenticazione a fattore singolo, gli attori delle minacce possono sfruttarli utilizzando varie tecniche.
Ecco i modi in cui gli hacker possono aggirare l'MFA.
Attacchi di forza bruta
Se gli hacker sono in possesso delle tue credenziali di accesso e hai impostato un PIN di 4 cifre da utilizzare come secondo fattore, possono eseguire attacchi di forza bruta per indovinare il pin di sicurezza al fine di aggirare il multi-fattore autenticazione.
Hacking della SIM
Al giorno d'oggi, gli attori delle minacce utilizzano tecniche come lo scambio di SIM, la clonazione della SIM e il jacking della SIM hackerare la tua scheda SIM. E una volta che hanno il controllo sulla tua SIM, possono facilmente intercettare il secondo fattore basato su sms, compromettendo il tuo meccanismo MFA.
Attacchi di fatica MFA
In un Attacco di fatica MFA, un hacker ti bombarda con una raffica di notifiche push finché non ti arrendi. Una volta approvata la richiesta di accesso, l'hacker può accedere al tuo account.
Avversario al centro Attacchi
Gli hacker possono utilizzare framework AiTM come Evilginx per intercettare sia le credenziali di accesso che il token del secondo fattore. Quindi possono accedere al tuo account e fare qualsiasi cosa brutta che gli piaccia.
Attacchi pass-the-cookie
Una volta completato il processo di autenticazione a più fattori, viene creato e conservato un cookie del browser per la tua sessione. Gli hacker possono estrarre questo cookie e utilizzarlo per avviare una sessione in un altro browser su un sistema diverso.
Phishing
Phishing, uno dei più comuni tattiche di ingegneria sociale, viene spesso utilizzato per accedere al secondo fattore quando l'autore della minaccia ha già il nome utente e la password.
Ad esempio, utilizzi un fornitore di software-as-a-service (SaaS) e le tue credenziali di accesso vengono compromesse. Un hacker ti chiamerà (o ti invierà un'e-mail) fingendoti il tuo fornitore SaaS per richiedere il secondo fattore di verifica. Dopo aver condiviso il codice di verifica, l'hacker può accedere al tuo account. E possono rubare o crittografare i dati che interessano te e il tuo fornitore.
In questi giorni, gli hacker impiegano tecniche avanzate di phishing. Quindi fai attenzione agli attacchi di phishing.
Cos'è l'MFA resistente al phishing?
L'MFA resistente al phishing è insensibile a tutti i tipi di ingegneria sociale, inclusi attacchi di phishing, attacchi di credential stuffing, attacchi Man-in-the-Middle e altro ancora.
Poiché gli esseri umani sono al centro degli attacchi di ingegneria sociale, l'MFA resistente al phishing rimuove l'elemento umano dal processo di autenticazione.
Per essere considerato un meccanismo MFA resistente al phishing, l'autenticatore deve essere associato crittograficamente al dominio. E dovrebbe riconoscere un dominio falso creato da un hacker.
Di seguito è riportato il funzionamento della tecnologia MFA resistente al phishing.
Crea un forte legame
Oltre a registrare il tuo autenticatore, completerai una registrazione crittografica, incluso il controllo dell'identità, per creare un forte legame tra il tuo autenticatore e la tua identità fornitore (IDP). Ciò consentirà al tuo autenticatore di identificare siti Web falsi.
Usa la crittografia asimmetrica
Un solido legame di due parti basato sulla crittografia asimmetrica (crittografia a chiave pubblica) elimina la necessità di segreti condivisi come le password.
Per avviare le sessioni, saranno necessarie entrambe le chiavi (chiave pubblica e chiave privata). Gli hacker non possono autenticarsi per accedere poiché le chiavi private verranno archiviate in modo sicuro nelle chiavi di sicurezza hardware.
Rispondi solo alle richieste di autenticazione valide
L'MFA resistente al phishing risponde solo a richieste valide. Tutti i tentativi di impersonare richieste legittime saranno contrastati.
Verifica l'intento
L'autenticazione MFA resistente al phishing deve convalidare l'intenzione dell'utente richiedendo all'utente di intraprendere un'azione che indichi il coinvolgimento attivo dell'utente per autenticare la richiesta di accesso.
Perché dovresti implementare un MFA resistente al phishing
L'adozione di MFA resistente al phishing offre molteplici vantaggi. Elimina l'elemento umano dall'equazione. Poiché il sistema è in grado di individuare automaticamente un sito Web falso o una richiesta di autenticazione non autorizzata, può impedire tutti i tipi di attacchi di phishing volti a indurre gli utenti a fornire le credenziali di accesso. Di conseguenza, l'MFA resistente al phishing può prevenire le violazioni dei dati nella tua azienda.
Inoltre, un buon MFA resistente al phishing, come l'ultimo metodo di autenticazione FIDO2, migliora l'esperienza dell'utente. Questo perché puoi utilizzare dati biometrici o chiavi di sicurezza facili da implementare per accedere ai tuoi account.
Ultimo ma non meno importante, l'MFA resistente al phishing aumenta la sicurezza dei tuoi account e dispositivi, migliorando così pascolo di sicurezza informatica in tua compagnia.
L'Office of Management and Budget (OMB) degli Stati Uniti ha emesso il Documento della Strategia Federale Zero Trust, che impone alle agenzie federali di utilizzare solo MFA resistente al phishing entro la fine del 2024.
Quindi puoi capire che l'MFA resistente al phishing è fondamentale per la sicurezza informatica.
Come implementare un MFA resistente al phishing
Secondo il Rapporto sullo stato dell'identità sicura preparato dal team Auth0 di Okta, gli attacchi di bypass MFA sono in aumento.
Poiché il phishing è il vettore di attacco principale negli attacchi basati sull'identità, l'implementazione dell'autenticazione a più fattori resistente al phishing può aiutarti a proteggere i tuoi account.
L'autenticazione FIDO2/WebAuthn è un metodo di autenticazione resistente al phishing ampiamente utilizzato. Consente di utilizzare dispositivi comuni per l'autenticazione in ambienti mobili e desktop.
L'autenticazione FIDO2 offre una forte sicurezza attraverso credenziali di accesso crittografiche univoche per ogni sito web. E le credenziali di accesso non lasciano mai il tuo dispositivo.
Inoltre, puoi utilizzare le funzionalità integrate del tuo dispositivo, come un lettore di impronte digitali per sbloccare le credenziali di accesso crittografiche.
Puoi controlla i prodotti FIDO2 per selezionare il prodotto giusto per implementare l'MFA resistente al phishing.
Un altro modo per implementare un MFA resistente al phishing consiste nell'utilizzare soluzioni basate su infrastrutture a chiave pubblica (PKI). Le smart card PIV, le carte di credito e i passaporti elettronici utilizzano questa tecnologia basata su PKI.
L'AMF resistente al phishing è il futuro
Gli attacchi di phishing sono in aumento e l'implementazione dei soli metodi tradizionali di autenticazione a più fattori non offre protezione da sofisticate campagne di phishing. Quindi implementa un MFA resistente al phishing per impedire agli hacker di impossessarsi dei tuoi account.