Hala metin veya kimlik doğrulayıcı uygulamalar aracılığıyla giriş kodları mı alıyorsunuz? Yalnız değilsin – ve bu büyük bir sorun. Akıllı bir güvenlik katmanı gibi hisseden şey, saldırganların hesaplarınıza erişmesinin en kolay yollarından biridir.
İlk olarak MFA için SMS kullanmamız söylendi. Sonra bize söylendi: “MFA için SMS kullanmayın, bunun yerine bir kimlik doğrulayıcı uygulama kullanın.”
Ve bu bir adım ileri gibi görünse de, hala temelde kusurlu. Authenticator uygulamaları, mesaj müdahalesinden kaçınarak SMS üzerinden iyileştirilir, ancak kolayca avlanırlar (şimdi her gün) ve genellikle cihazdan ödün verilirse aynı zamanda taklit edilebilen, röle edilebilen veya hatta kesilebilen zamana dayalı kodlara güvenirler.
Temel sorun devam ediyor: Sistemin meşru sitede mi yoksa mükemmel bir sahte olup olmadığı hakkında hiçbir fikri yok. Yani farklı bir sistem olsa da, güvenli bir sistem değil – aynı sorunun kırık bir versiyonu.
Kanıt ister misin? Son yüksek profilli ihlaller (AFLAC, Erie Insurance ve Philadelphia sigorta şirketleri dahil) bunun ne kadar kolay olduğunu gösterdi.
Bazıları, bir MFA baypası veya sıfırlama isteyen masalara yardım ettiler. Ama favori hızla bir kimlik avı/parodi hilesi haline geliyor.
Bir kimlik avı e -posta arazileri. Kullanıcı tıklar. Sahtekarlık web sitesi piksel mükemmel. Kullanıcı adlarını, şifrelerini girerler ve bunların Auth uygulamalarında olduğunu onaylarlar. Tamamlamak. Saldırgan içeride.
Çünkü kimlik doğrulayıcı uygulaması kimin sorduğunu veya isteğin nereden geldiğini doğrulamadığından – saldırı vektörü olursunuz.
Fidye yazılımı saldırılarının nasıl geliştiğini ve Legacy MFA’nın neden devam edemediğini keşfetmek için indirin.
Bu kılavuz, kimliğe dirençli MFA’nın gerçek dünyadaki etkisini, hasar yapılmadan önce fidye yazılımlarını nasıl durdurduğunu ve CISO’ların neden yeni nesil kimlik doğrulamasına geçtiğini ortaya koyuyor.
CISO Kılavuzunu Oku
Kimsenin yüksek sesle söylemek istemediği şey budur: Authenticator uygulamaları ve SMS kodları gerçek zamanlı olarak yansıtılabilir. Bugün en yaygın tehdide karşı çok az gerçek bir koruma sunarken kullanıcılara yanlış bir güvenlik duygusu verirler – sosyal mühendislik ile eşleştirilmiş desteklenmiş web siteleri.
Amazon ve Google gibi büyük platformlar bile, son araştırmalara göre, üçüncü taraf SMS teslimat firmalarını kullanıyor-bazıları gözetim operasyonlarıyla bağları var. Bu aracılar zaten güvenlik ihlalleriyle bağlantılı olmuştur. ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) bile künt bir uyarı yayınladı: “SMS’yi ikinci bir faktör olarak kullanmayın.”
Böylece paskukların bir cevap olduğunu düşünebilirsiniz ve bunlar ileriye doğru küçük bir adımdır, ancak şimdi de kolayca tehlikeye girerler. Oturum açma kimlik bilgilerini web sitelerine kriptografik olarak bağlar ve insan hatasını azaltırlar. Ama kusursuz değiller. Passeyler genellikle bulut hesapları aracılığıyla saklanır ve senkronize edilir.
Birisi Apple veya Google hesabınızı kaçırırsa, kaydettiğiniz her passey’e erişebilir. Çalınan veya tehlikeye atılmış bir telefon? Aynı risk. Ve kötü amaçlı yazılım veya kullanıcı zorlaması yine de saldırganlara tam erişim sağlayan onaylarla sonuçlanabilir.
Ne olmuş ki Çözüm? Kod ve bulut senkronizasyonunun yanılsamasını geçmenin zamanı geldi. Girmek Jeton Ve Jeton biyoisti-Zayıf bağlantıları tamamen ortadan kaldıran süreçte inşa edilmiş, biyometrik donanım kimlik doğrulayıcıları.
İşte bu yüzden çalışıyorlar:
- Bulut yok.
- Paylaşılan sır yok.
- Kullanıcı kararına güvenmek yok.
- Kod girişi yok.
Jeton Yüzük ve Jeton Biyoisti, kimlik bilgilerinizi kurcalamaya dayanıklı güvenli öğeler içinde saklayın. Yalnızca parmak iziniz eşleştiğinde, fiziksel olarak mevcut olduğunuzda ve erişim isteyen etki alanı kriptografik olarak doğrulandığında kimlik doğrulaması yaparlar.
Bir saldırgan cihazı çalsa bile, parmak iziniz olmadan işe yaramaz. Sahte bir siteyi ziyaret etmek için kandırılmış olsanız bile, kimlik doğrulaması yapsın bile canlanmayacaktır – çünkü cihaz girişine yakın olmalı ve birisi bunu anlasa bile, şifreleme el sıkışması otomatik olarak başarısız olur.
Taşınamazlar. Uzaktan kaçırılamazlar. Denklemden güveni ortadan kaldırırlar. Biyometrik Fido2’nin güvenli donanımda, kısayol olmadan doğru yapılan gücü budur.
Alt satır: MFA’nız sahte bir web sitesi tarafından kandırılabilirse, zaten eskidir.
SMS öldü. Auth uygulamaları eskidir. Passeyler ilerleme – ama kusurlu.
Jeton Ve Jeton biyoisti altın standarttır. Kimlik avı geçirmez. Kurcalamaya dayanıklı. Biyometrik bağlı. Yakınlık gerekli.
Saldırganlar MFA ve Auth uygulamalarınız için geliyor – bu bir mesele değil eğerAncak Ne zaman. Ve bugün diğer her yöntem? Başarısız olurlar.
Yükseltme zamanı. Bir sonraki başlık sizden önce.
Jeton tarafından sponsorlu ve yazılmıştır.