SANS: Wat kun je nog doen als multi-factorauthenticatie te omzeilen is? - update

9 reacties

Het zal geen verrassing zijn dat er ook in 2023 een verhoogd risico is op cyberaanvallen en John Pescatore, Director of Emerging Security Trends aan het SANS Institute, waarschuwt voor een specifieke trend: bypassaanvallen op multi-factorauthenticatie (MFA). Hij deelt enkele inzichten met Hardware Info rondom deze nieuwe trend onder cybercriminelen; denk bijvoorbeeld ook eens aan wat er gebeurt als je niet meer bij een tweestapsverificatieapp kunt komen.

Maar eerst even een samenvatting van de punten die Pescatore met ons deelde; in de rest van het artikel leggen we uit waarom deze punten relevant zijn:

  • Hoewel MFA-apps veilig zijn, kan het resetten of terughalen van een account op ouderwetse technieken berusten. Kies MFA-systemen met een betrouwbaar backupsysteem.
  • Richt je op wie je bent en wat je hebt, niet op wat je weet. Cyberaanvallers kunnen informatie stelen, maar niet zo gemakkelijk fysieke objecten of biometrische gegevens.
  • Voor bedrijven: Het voorkomen van aanvallen is onvermijdelijk; probeer aanvallen snel te detecteren en beperkt het aantal plekken waar een aanval kan worden uitgevoerd.
  • MFA-systemen die zich aan het FIDO 2-standaard houden zijn in beginsel ontzettend veilig en moeilijk te omzeilen.

Omzeilen van MFA

“We zullen [binnen de techindustrie] een beweging zien richting multi-factorauthenticatie, wachtwoordsleutels en FIDO 2-authenticatie. Bedrijven als Apple, Google en Microsoft ontwikkelen eigen authenticatietokensystemen. Dit leidt tot een broodnodige verhoging van de beveiliging, maar ook tot een explosie van aanvallen die het doel hebben om de oudere MFA-benaderingen te omzeilen; nieuwere FIDO 2-compatibele MFA-systemen zijn hier wel tegen bestemd”, aldus Pescatore. Later komt hij terug op deze nieuwere technieken.

In de praktijk betekent dit dat hackers manieren (moeten gaan) zoeken om tweestapsverificatie te omzeilen. Deze beveiligingsmaatregel is ondertussen goed ingeburgerd en vereist dat gebruikers zich op meerdere manieren - dus niet alleen met inloggegevens - identificeren. Hartstikke veilig en waterdicht, toch?

Nou, nee. Het schaakspel tussen de aanvaller en de consument (of het bedrijf) stopt nooit. Pescatore stelt: "Wat gebeurt er als je je telefoon kwijt bent of je inloggegevens van Google Authenticator bent verloren? Dan moet je je account resetten. Dit backuptraject bestaat vaak uit het terugvallen op een systeem dat niet per se veilig is. 'Geef je moeders meisjesnaam of de naam van de beste vriend van je hond op om weer toegang te krijgen'; we kennen allemaal dit soort vragen."

Maar stel nou dat jij niet degene bent die het account probeert te resetten. "Een aanvaller zou dit proces kunnen starten, misschien wel omdat hij het antwoord op de betreffende beveiligingsvragen al weet. Gaat de recoverylink naar je e-mail? Is er toegang tot je sms'jes voor een code? Op deze manieren kan een ogenschijnlijk veilig MFA-proces ondermijnd worden." Hoewel een MFA-systeem zelf dus veilig kan zijn, hoeft hetzelfde niet voor het backupproces te gelden. Wees je hier bewust van, zo waarschuwt hij.

Fysieke toegang op basis van bezit

Pescatore raadt daarom aan om altijd iets fysieks te gebruiken ter authenticatie; iets wat moeilijker omzeild kan worden. Hij laat een beveiligingstoken zien via de videoverbinding zien; een soort beveiligings-usb-stick. Ook een smartphone met een biometrische login voor het inloggen in een authenticatiesysteem kan hierbij helpen.

"We moeten ons meer concentreren op wie we zijn en wat we hebben, niet op wat we weten." Hij verwijst hiermee naar biometrische gegevens en fysieke objecten, dingen die moeilijker gestolen kunnen worden dan een wachtwoorden of andere op kennis gebaseerde gegevens.

"Dat neemt niet weg dat criminelen altijd manieren zullen blijven zoeken om beveiligingsmaatregelen te omzeilen. Dat kun je niet tegenhouden." Hij stelt daarom dat het slim is om de hoeveelheid aanvalsmogelijkheden te minimaliseren: "Het is onmogelijk om alle toegangswegen naar een partij te blokkeren. Probeer dus te voorkomen dat er schade wordt toegebracht en vernauw die spreekwoordelijke toegangsweg."

Hij noemt als concreet voorbeeld het monitoren van belangrijke personen binnen een bedrijf. Veel topmensen hebben doorgaans meer privileges binnen een it-systeem en kunnen zo - wanneer hun account doelwit is geworden van een aanval - veel schade toebrengen. "Zorgt dat je heel snel detecteert wanneer het mis gaat, bijvoorbeeld door ip-adressen te monitoren."

Wat doen Google, Apple en Microsoft?

Hoe goed of slecht een individu of bedrijf zich ook beschermt tegen cyberaanvallen, uiteindelijk zijn 'de grote drie' vaak een bottleneck. Pescatore loopt Apple, Google en Microsoft na wat betreft hun respectievelijke cyberbeveiligingsbeleid: "Google is een advertentieverkoper en is dus niet per se gebaat bij het gebruikers die hun content geheim houden. Apple maakt zelf alle hardware en software en probeert gebruikers binnen een ecosysteem te houden. Microsoft moet - een beetje net als Google - zorgen dat allerlei derden zich aan regels en parameters houden; zij maken de software voor uiteenlopende hardware."

Dat klinkt behoorlijk hopeloos maar gelukkig lijkt er een belangrijke stap op komst: de FIDO Alliantie. Dit samenwerkingsverband tussen allerlei techgiganten, financiële instellingen en het World Wide Web Consortium heeft een verbeterd gezamenlijk standaard van authenticatie, FIDO 2. Volgens Pescatore is dit een belangrijke ontwikkeling; op deze manier zijn de meeste massaal gebruikte producten beter beschermd tegen cyberaanvallen. Naar verwachting leveren de grote drie tegen het einde van 2023 gedeelde MFA-oplossingen bestand tegen phishing.

Update, 10.55 uur: Na aanhoudende vragen over de concrete tips van Pescatore hebben we een samenvatting gemaakt met wat hapklare tips die in het daadwerkelijke artikel worden toegelicht.

« Vorig bericht Volgend bericht »
0

Hardware Info maakt gebruik van cookies

Hardware Info plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Hardware Info relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie.

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Hardware Info contextuele advertenties te tonen op basis van pagina's die je hebt bezocht.

    janee

    Hardware Info genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Hardware Info gevolgd worden. Deze data wordt maximaal 2 weken bewaard. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden.

    janee