Utiliser 2FA ? Génial. Mais ce n'est pas infaillible

0
25
Shutterstock/BestForBest

Vous devez en utiliser deux -l'authentification par facteur partout où elle est disponible. Ce n'est pas parfait, mais cela arrête la plupart des attaquants dans leur élan. Mais ne vous laissez pas berner en pensant qu'il est imprenable. Ce n'est pas le cas.

Le problème du mot de passe

Le mot de passe est le principal moyen de sécurisation des comptes informatiques depuis les années 1950. Soixante-dix ans plus tard, nous sommes tous inondés de mots de passe, principalement pour les services en ligne. Par curiosité, j'ai vérifié mon gestionnaire de mots de passe. J'y ai 220 jeux d'identifiants de connexion.

À moins que vous ne soyez particulièrement doué, il est impossible de mémoriser ce nombre de mots de passe complexes et robustes. C'est pourquoi les gens réutilisent des mots de passe et utilisent des mots de passe faibles mais faciles à retenir. Bien sûr, c'est le genre de comportement qui met vos comptes en danger.

Les attaques automatisées par force brute, les attaques par dictionnaire et d'autres attaques par recherche utilisent des listes de mots et des bases de données de mots de passe violés pour tenter d'obtenir un accès non autorisé aux comptes des personnes. Chaque fois qu'il y a une violation de données, les données sont mises à disposition sur le dark web pour être utilisées par les cybercriminels. Ils utilisent les bases de données de mots de passe violés comme munitions pour leur logiciel. Il mitraille les identifiants volés dans des comptes, essayant de faire correspondre les mots de passe et d'y accéder.

Le site Web Have I Been Pwned collecte les données d'autant de violations de données que possible. Vous pouvez librement visiter le site pour vérifier si votre adresse e-mail ou l'un de vos mots de passe ont été exposés à une violation. Pour vous donner une idée de l'ampleur du problème, il existe plus de 11 milliards d'identifiants dans leurs bases de données.

Avec autant de mots de passe, il y a de fortes chances que quelqu'un d'autre ait choisi le même mot de passe que vous. Ainsi, même si aucune de vos données n'a jamais été exposée dans une violation, les données de quelqu'un d'autre qui ont utilisé le même mot de passe que vous pourraient bien l'avoir. Et si vous avez utilisé le même mot de passe sur de nombreux comptes différents, cela les met tous en danger.

CONNEXION : Comment vérifier si les e-mails du personnel contiennent des violations de données< /strong>

Politiques de mot de passe

Toutes les organisations devraient avoir une politique de mot de passe qui donne des conseils sur la création et l'utilisation de mots de passe. Par exemple, la longueur minimale d'un mot de passe doit être définie et les règles entourant la composition d'un mot de passe doivent être clairement définies pour que tout le personnel puisse les comprendre et les suivre. Votre politique doit interdire la réutilisation des mots de passe sur d'autres comptes et les mots de passe basés sur des animaux de compagnie ou des membres de la famille’ noms, anniversaires et anniversaires.

Le problème que vous avez est de savoir comment le contrôler? Comment savoir si le personnel respecte ces règles ? Vous pouvez définir des règles pour une complexité minimale sur de nombreux systèmes, afin qu'ils rejettent automatiquement les mots de passe trop courts, qui ne contiennent pas de chiffres et de symboles, ou qui sont des mots du dictionnaire. Qui aide. Mais que se passe-t-il si quelqu'un utilise le mot de passe de l'un de ses comptes d'entreprise comme mot de passe Amazon ou Twitter ? Vous n'avez aucun moyen de le savoir.

L'utilisation de l'authentification à deux facteurs améliore la sécurité de vos comptes d'entreprise et offre également une certaine protection contre une mauvaise gestion des mots de passe.

CONNEXES :< /strong> Le problème avec les mots de passe, ce sont les gens

Authentification à deux facteurs

L'authentification à deux facteurs ajoute une autre couche de protection aux comptes protégés par mot de passe. En plus de votre identifiant et de votre mot de passe, vous devez avoir accès à un objet physique enregistré. Il s'agit soit de dongles matériels, soit de smartphones exécutant une application d'authentification approuvée.

Un code à usage unique est généré par l'application d'authentification sur le smartphone. Vous devez entrer ce code avec votre mot de passe lorsque vous vous connectez au compte. Les dongles peuvent se brancher sur un port USB ou utiliser Bluetooth. Soit ils affichent un code, soit ils génèrent et transmettent une clé basée sur une valeur interne secrète.

L'authentification à deux facteurs combine des éléments que vous connaissez (vos identifiants) avec un élément que vous possédez (votre smartphone ou votre dongle). Ainsi, même si quelqu'un devine ou force brutalement votre mot de passe, il ne peut toujours pas se connecter au compte.

CONNEXION : L'authentification SMS à deux facteurs n'est pas parfaite, mais Vous devriez toujours l'utiliser

Authentification à deux facteurs compromettante

Il existe plusieurs façons pour un attaquant de surmonter l'authentification à deux facteurs et d'accéder à un compte protégé. Certaines de ces techniques nécessitent des capacités techniques d'élite et des ressources importantes. Par exemple, les attaques qui exploitent les vulnérabilités du protocole du système de signalisation n°7 (SS7) sont généralement menées par des groupes de piratage bien équipés et hautement qualifiés, ou des attaquants parrainés par l'État. SS7 est utilisé pour établir et déconnecter les communications basées sur la téléphonie, y compris les messages texte SMS.

Pour attirer l'attention de ce calibre d'acteurs de la menace, les cibles doivent être de très grande valeur. “Valeur élevée” signifie différentes choses pour différents attaquants. Le gain peut ne pas être simple et financier, l'attaque peut être motivée par des considérations politiques, par exemple, ou faire partie d'une campagne d'espionnage industriel.

Dans une “arnaque de sortie” les cybercriminels contactent votre opérateur de téléphonie mobile et se font passer pour vous. Les acteurs de la menace suffisamment expérimentés peuvent convaincre le représentant qu'ils sont les propriétaires de votre compte. Ils peuvent ensuite faire transférer votre numéro de smartphone vers un autre smartphone auquel ils ont accès. Toutes les communications par SMS sont envoyées à leur smartphone, pas au vôtre. Cela signifie que tous les codes d'authentification à deux facteurs basés sur SMS sont transmis aux cybercriminels.

Utiliser des techniques d'ingénierie sociale pour influencer les employés des opérateurs de téléphonie mobile n'est pas simple. Une méthode plus simple consiste à utiliser un service de messagerie texte d'entreprise en ligne. Ceux-ci sont utilisés par les organisations pour envoyer des rappels par SMS, des alertes de compte et des campagnes marketing. Ils sont aussi très bon marché. Pour environ 15 $, vous pouvez trouver un service qui transférera tout le trafic SMS d'un numéro de smartphone à un autre, pendant un mois.

Bien sûr, vous êtes censé posséder les deux smartphones ou avoir l'autorisation du propriétaire, mais ce n'est pas un problème pour les cybercriminels. Lorsqu'on leur demande si c'est le cas, il leur suffit de dire « oui ». Il n'y a pas plus de vérification que cela. Aucune compétence requise de la part des attaquants, et pourtant votre smartphone est compromis.

Ces types d'attaques sont tous axés sur l'authentification à deux facteurs par SMS. Il existe des attaques qui contournent tout aussi facilement l'authentification à deux facteurs basée sur les applications. Les auteurs de menaces peuvent lancer une campagne d'hameçonnage par e-mail ou utiliser le typosquattage pour diriger les gens vers une page de connexion convaincante mais frauduleuse.

Lorsqu'une victime essaie de se connecter, elle est invitée à saisir son identifiant et son mot de passe, ainsi que son code d'authentification à deux facteurs. Dès qu'ils tapent leur code d'authentification, ces informations d'identification sont automatiquement transmises à la page de connexion du site Web authentique et utilisées pour accéder au compte de la victime.

Don’ t Arrêtez de l'utiliser !

L'authentification à deux facteurs peut être surmontée par une gamme de techniques allant des techniques les plus exigeantes aux relativement simples. Malgré cela, l'authentification à deux facteurs reste une mesure de sécurité recommandée et doit être adoptée partout où elle est proposée. Même en présence de ces attaques, l'authentification à deux facteurs est d'un ordre de grandeur plus sûre qu'un simple schéma d'identifiant et de mot de passe.

Il est peu probable que les cybercriminels essaient de contourner votre authentification à deux facteurs à moins que vous n'ayez ;re une cible de grande valeur, de grande envergure, ou autrement stratégique. Alors continuez à utiliser l'authentification à deux facteurs, c'est beaucoup plus sûr que de ne pas l'utiliser.