2FA gebruiken? Super goed. Maar het is niet onfeilbaar

0
28
Shutterstock/BestForBest

Je moet twee-factor-authenticatie gebruiken waar deze beschikbaar is. Het is niet perfect, maar het houdt de meeste aanvallers tegen. Maar laat u niet misleiden door te denken dat het onneembaar is. Dat is niet het geval.

Het wachtwoordprobleem

Het wachtwoord is sinds de jaren vijftig het belangrijkste middel om computeraccounts te beveiligen. Zeventig jaar later worden we allemaal overspoeld met wachtwoorden, voornamelijk voor online diensten. Uit nieuwsgierigheid controleerde ik mijn wachtwoordmanager. Ik heb er 220 sets inloggegevens in opgeslagen.

Tenzij je bijzonder begaafd bent, is het onmogelijk om dat aantal complexe en robuuste wachtwoorden te onthouden. Dat is de reden waarom mensen wachtwoorden hergebruiken en wachtwoorden gebruiken die zwak maar gemakkelijk te onthouden zijn. Dat is natuurlijk het soort gedrag waardoor uw accounts gevaar lopen te worden gecompromitteerd.

Geautomatiseerde brute-force-aanvallen, woordenboekaanvallen en andere opzoekaanvallen gebruiken lijsten met woorden en databases met gehackte wachtwoorden om te proberen ongeautoriseerde toegang te krijgen tot de accounts van mensen. Telkens wanneer er een datalek is, worden de gegevens op het dark web beschikbaar gesteld voor gebruik door cybercriminelen. Ze gebruiken de databases met geschonden wachtwoorden als munitie voor hun software. Het zet de gestolen inloggegevens met machinegeweren in accounts, probeert de wachtwoorden te matchen en toegang te krijgen.

De website Have I Been Pwned verzamelt de gegevens van zoveel mogelijk datalekken. U kunt de site vrij bezoeken om te controleren of uw e-mailadres of een van uw wachtwoorden is gehackt. Om u een idee te geven van de omvang van het probleem: er zijn meer dan 11 miljard sets inloggegevens in hun databases.

Met zoveel wachtwoorden is de kans groot dat iemand anders hetzelfde wachtwoord heeft gekozen als jij. Dus zelfs als geen van uw gegevens ooit is blootgesteld aan een inbreuk, zijn de gegevens van iemand anders die toevallig hetzelfde wachtwoord heeft gebruikt als u misschien wel heeft. En als je hetzelfde wachtwoord voor veel verschillende accounts hebt gebruikt, lopen ze allemaal gevaar.

GERELATEERD: Hoe te controleren of e-mails van medewerkers gegevensinbreuken bevatten< /strong>

Wachtwoordbeleid

Alle organisaties moeten een wachtwoordbeleid hebben dat richtlijnen geeft voor het maken en gebruiken van wachtwoorden. Zo moet de minimale lengte van een wachtwoord worden gedefinieerd en moeten de regels rond het samenstellen van een wachtwoord duidelijk worden uitgelegd zodat alle medewerkers het kunnen begrijpen en volgen. Uw beleid moet het hergebruik van wachtwoorden op andere accounts verbieden en het baseren van wachtwoorden op huisdieren of familieleden’ namen, jubilea en verjaardagen.

Het probleem dat je hebt, is hoe je het controleert? Hoe weet u of het personeel zich aan deze regels houdt? U kunt op veel systemen regels instellen voor minimale complexiteit, zodat ze automatisch wachtwoorden afwijzen die te kort zijn, die geen cijfers en symbolen bevatten of woordenboekwoorden zijn. Dat helpt. Maar wat als iemand het wachtwoord voor een van zijn bedrijfsaccounts gebruikt als Amazon- of Twitter-wachtwoord? Je weet het niet.

Het gebruik van tweefactorauthenticatie verbetert de beveiliging van je bedrijfsaccounts en biedt ook enige bescherming tegen slecht wachtwoordbeheer.

GERELATEERD:< /strong> Het probleem met wachtwoorden zijn mensen

Twee-factorenauthenticatie

Twee-factor-authenticatie voegt een extra beveiligingslaag toe aan met een wachtwoord beveiligde accounts. Naast uw ID en wachtwoord moet u toegang hebben tot een geregistreerd, fysiek object. Dit zijn hardwaredongles of smartphones met een goedgekeurde authenticatie-app.

Een eenmalige code wordt gegenereerd door de authenticator-app op de smartphone. U moet die code samen met uw wachtwoord invoeren wanneer u zich aanmeldt bij het account. Dongles kunnen worden aangesloten op een USB-poort of ze kunnen Bluetooth gebruiken. Ze geven ofwel een code weer of ze genereren en verzenden een sleutel op basis van een geheime interne waarde.

Twee-factor-authenticatie combineert dingen die je weet (je inloggegevens) met iets dat je bezit (je smartphone of dongle). Dus zelfs als iemand je wachtwoord raadt of bruut forceert, kunnen ze nog steeds niet inloggen op het account.

GERELATEERD: Sms-authenticatie met twee factoren is niet perfect, maar Je moet het nog steeds gebruiken

Compromitterende authenticatie in twee stappen

Er zijn verschillende manieren waarop een aanvaller tweefactorauthenticatie kan omzeilen en toegang kan krijgen tot een beveiligd account. Sommige van deze technieken vereisen elite technische capaciteiten en aanzienlijke middelen. Aanvallen die misbruik maken van kwetsbaarheden in het Signaling System No. 7-protocol (SS7) worden bijvoorbeeld meestal uitgevoerd door goed uitgeruste en zeer bekwame hackgroepen of door de staat gesponsorde aanvallers. SS7 wordt gebruikt om op telefonie gebaseerde communicatie tot stand te brengen en te verbreken, inclusief sms-berichten.

Om de aandacht van dit kaliber van bedreigingsactoren te trekken, moeten de doelen van zeer hoge waarde zijn. “Hoogwaardig” betekent verschillende dingen voor verschillende aanvallers. De beloning is misschien niet eenvoudig financieel, de aanval kan bijvoorbeeld politiek gemotiveerd zijn of onderdeel zijn van een industriële spionagecampagne.

In een "port-out-zwendel" de cybercriminelen nemen contact op met uw mobiele provider en doen zich voor als u. Voldoende goed geoefende dreigingsactoren kunnen de vertegenwoordiger ervan overtuigen dat zij de eigenaren van uw account zijn. Zij kunnen dan uw smartphonenummer laten overzetten naar een andere smartphone waartoe zij toegang hebben. Alle op sms gebaseerde communicatie wordt naar hun smartphone gestuurd, niet naar die van jou. Dat betekent dat alle op sms gebaseerde tweefactorauthenticatiecodes worden afgeleverd bij de cybercriminelen.

Het is niet eenvoudig om social engineering-technieken te gebruiken om de werknemers van mobiele providers te beïnvloeden. Een eenvoudigere methode is om een ​​online zakelijke sms-service te gebruiken. Deze worden door organisaties gebruikt om sms-herinneringen, accountwaarschuwingen en marketingcampagnes te verzenden. Ze zijn ook erg goedkoop. Voor ongeveer $15 vind je een dienst die al het sms-verkeer een maand lang doorstuurt van het ene smartphonenummer naar het andere.

Het is natuurlijk de bedoeling dat je beide smartphones bezit of toestemming hebt van de eigenaar, maar dat is geen probleem voor cybercriminelen. Op de vraag of dat het geval is, hoeven ze alleen maar 'ja' te zeggen. Er is niet meer verificatie dan dat. Er zijn geen vaardigheden vereist van de aanvallers, en toch wordt uw smartphone gecompromitteerd.

Dit soort aanvallen zijn allemaal gericht op op sms gebaseerde tweefactorauthenticatie. Er zijn ook aanvallen die app-gebaseerde tweefactorauthenticatie net zo gemakkelijk omzeilen. De bedreigingsactoren kunnen een phishing-e-mailcampagne opzetten of typosquatting gebruiken om mensen naar een overtuigende maar frauduleuze inlogpagina te leiden.

Wanneer een slachtoffer probeert in te loggen, wordt ze gevraagd om hun ID en wachtwoord, en om hun tweefactorauthenticatiecode. Zodra ze hun authenticatiecode invoeren, worden die gegevens automatisch doorgestuurd naar de inlogpagina van de echte website en gebruikt om toegang te krijgen tot het account van het slachtoffer.

Don’ t Stop met het gebruiken!

Twee-factorenauthenticatie kan worden overwonnen door een reeks technieken, variërend van technisch veeleisend tot relatief eenvoudig. Desondanks is tweefactorauthenticatie nog steeds een aanbevolen beveiligingsmaatregel en moet deze worden toegepast waar deze ook wordt aangeboden. Zelfs in aanwezigheid van deze aanvallen is twee-factor-authenticatie een orde van grootte veiliger dan een eenvoudig ID- en wachtwoordschema.

Cybercriminelen zullen waarschijnlijk niet proberen om uw twee-factor-authenticatie te omzeilen, tenzij u&#8217 een hoogwaardig, spraakmakend of anderszins strategisch doelwit zijn. Dus blijf twee-factor-authenticatie gebruiken, het is veel veiliger dan het niet te gebruiken.