FIDO2 standardı aracılığıyla parolasız kimlik doğrulama uygulayan birçok kuruluş, kimlik doğrulama gerçekleştikten sonra gerçekleşen oturumların güvenliğini uygun şekilde sağlamayarak yaklaşımın bazı güvenlik faydalarını zayıflatıyor olabilir.
Bu gözetim, saldırganlara, oturum çerezlerini denemek ve çalmak ve yasal olarak kimliği doğrulanmış bir kullanıcının gerçekleştirebileceği herhangi bir eylemi gerçekleştirmek için ortadaki adam (MITM) saldırısını kullanma olanağı sağlıyor. Silverfort’tan yeni analiz.
Parolasız Kimlik Doğrulamayı Gerçeğe Dönüştürmek
Silverfort güvenlik araştırmacısı Dor Segal, FIDO2’nin parolasız kimlik doğrulamayı gerçeğe dönüştürdüğünü ve kimlik avına karşı oldukça dayanıklı olduğunu söylüyor. Ancak FIDO’nun, MITM’e karşı koruma sağlayabileceğini öne sürdüğü ancak durumun her zaman böyle olmadığı bazı durumlar olduğunu söylüyor.
Segal, “Kuruluşların, FIDO2 kullanmaları halinde MITM saldırılarına karşı tamamen korundukları yönünde yanlış bir güvenlik algısına sahip olacaklarından endişe duyuyoruz” diyor. Kimlik doğrulamanın kendisi korunurken, etkinleştirdiği oturum korunmaz. “Birçok geliştirici ve mühendis bu nüansı anlamıyor ve FIDO kullanırken MITM’e karşı korunduklarına yanlış bir şekilde inanıyor.”
FIDO2 — veya Fast Identity Online 2 — bir açık kimlik doğrulama standardı FIDO İttifakından. Mümkün kılar şifresiz kimlik doğrulama kullanıcılara sunuculara ve web sitelerine giriş yapmak için biyometri, USB belirteçleri, geçiş anahtarları ve WebAuthn veya Web Kimlik Doğrulama API’si gibi seçenekler sunarak. Çoğu güvenlik uzmanı bunu bir çok sağlam protokol Kimlik avı ve kimlik bilgileri hırsızlığıyla ilgili saldırılara karşı koruma sağlamak için.
FIDO2 kurulumunda, kullanıcı ilk önce FIDO2 destekli bir çevrimiçi hizmete kaydolur ve geçiş anahtarları veya USB belirteci gibi bir kimlik doğrulama mekanizmasını seçer. Kayıt işlemi sırasında istemci cihaz, yalnızca söz konusu uygulama veya Web Sitesi için genel ve özel bir anahtar çifti oluşturur.
Gibi Microsoft Bunu şöyle açıklıyor: “Genel anahtar şifrelenir ve hizmetle paylaşılır, ancak özel anahtar kullanıcının cihazında güvenli bir şekilde kalır.” Bir kullanıcı hizmette (veya FIDO dilinde güvenen tarafta) oturum açmaya çalıştığında, hizmet istemci cihazına benzersiz bir meydan okuma sunar ve cihaz daha sonra buna yanıt verir, yanıtı özel anahtarla imzalar ve onu geri gönderir. Amaç, kimlik avı saldırılarına karşı dirençli bir şekilde tüm kimlik doğrulama sürecini kriptografik olarak korumaktır.
Korumasız Oturum Jetonları
Silverfort’a göre sorun genellikle bundan sonra ne olacağıdır. “Çoğu uygulama, kimlik doğrulama başarılı olduktan sonra oluşturulan oturum belirteçlerini korumaz.” Ve çoğu zaman Web kimlik doğrulaması sırasında oturumu talep eden cihazın doğrulanması yapılmaz. Segal, bunun MITM saldırganına oturum belirteçlerini çalma, kurbanın kimliğine bürünme ve kullanıcının tek oturum açma (SSO) yoluyla erişebildiği tüm uygulamalara erişim sağlama yolu sağladığını söylüyor.
Silvefort, Aktarım Katmanı Güvenliği (TLS) mekanizmalarının MITM saldırılarının gerçekleştirilmesini zorlaştırdığını söyledi. Yine de saldırganlar, ağdaki bir MITM konumunu güvence altına almak için DNS/DHCP sahtekarlığı, Adres Çözümleme Protokolü (ARP) zehirlenmesi ve Durum Bilgisiz Adres Otomatik Yapılandırması (SLAAC) gibi yöntemleri kullanabilir. Segal, “Çoğu tarayıcının TLS kullanması nedeniyle MITM saldırıları bugünlerde daha zor olsa da, MITM saldırısı gerçekleştirmek hala mümkün” diyor. “Bir düşman, bir MITM saldırısını güvence altına almak için sahtekarlık yapabilir, trafiği düşürebilir veya bir güvenlik açığından yararlanabilir.”
Bir saldırgan bir ağda MITM statüsünü kazandığında, kurbanın FIDO2 korumalı bir Web uygulamasına bağlanmak için SSO’yu kullanmasını beklemesi ve izlemesi gerekir. Sonraki oturum korunmazsa, saldırgan jetonları çalabilir, oturumu ele geçirebilir ve kurbanın kimliğine bürünebilir. Segal, “Yubico, EntraID ve Ping’i test ettik ve her durumda FIDO2’nin kimlik doğrulamayı ve SSO sağlayıcısını güvence altına alma konusunda harika bir iş çıkardığını gördük” diyor. “Ancak bu, bir saldırganın oturum belirteçlerini çalmasını engellemedi ve Web uygulamasını savunmasız bıraktı.”
Bilinen Bir Sorun mu?
SailPoint strateji ve standartlar direktörü Mike Kiser, Silverfort’un tespit ettiği sorunların iyi anlaşıldığını ve FIDO2 olsa da olmasa da mevcut olduğunu söylüyor. Kiser, “Bu durumda FIDO2’yi ‘atlayamıyorsunuz” diyor. “Hala işini yapıyor [it is meant for]: kimlik bilgilerinin çalınmasını ve/veya bunların aynı güvenen tarafa karşı tekrarlanmasını önlemek.”
Ayrıca Kiser, hedef ağda bir MITM pozisyonu elde etmenin, FIDO2 ortamında, aksi takdirde gerekeceğinden çok daha fazla çaba gerektirdiğini söylüyor. Kuruluşların halihazırda sahip oldukları kimlik güvenliği önlemlerini kullanmaya devam etmelerini tavsiye ediyor; güvenilir sertifika depolarını koruyun; en iyi güvenlik uygulamalarını hayata geçirmek; ve FIDO2’ye güvenmeye devam edin.
Sectigo’nun üründen sorumlu kıdemli başkan yardımcısı Jason Soroko, Silverfort raporunun, FIDO2’nin kendisi güçlü bir asimetrik gizliliğe dayanırken, bunun etrafında oluşturulan SSO uygulamalarının çoğunlukla oturum belirteci gibi çok daha az güvenli bir simetrik gizli gizliye dayandığının altını çizdiğini söylüyor . “Bu raporun ana çıkarımı, token bağlama fikrini yeniden incelememiz ve FIDO2 uygulamalarının zayıf bir temele dayanmamasını sağlamamız gerektiğidir” diyor.
Belirteç bağlama, kimlik doğrulama belirteçlerinin güvenliğini güçlendirmeye yönelik bir güvenlik mekanizmasıdır. Amaç, jeton hırsızlığını ve tekrar oynanmasını önlemektir. kriptografik olarak bağlayıcı temel TLS bağlantısına bir kimlik doğrulama belirteci.
Segal, SSO kimlik doğrulamasını güvence altına almak için FIDO2 kullanan kuruluşların varsayılan ayarı değiştirmeyi ve mümkün olduğunda token bağlamayı açmayı düşünmesi gerektiğini söylüyor. “Çoğu durumda, güvenlik konusunda yeterli bilgiye sahip olmayan ve bu seçeneğin varlığından bile haberdar olmayanlar, SSO’yu uygulayan geliştiricilerdir” diyor. “Dolayısıyla, yalnızca kimlik doğrulamayı güvence altına almanın değil, aynı zamanda kimlik doğrulama yapıldıktan sonra gerçekleşen oturumun da önemi konusunda farkındalık yaratmaya çalışıyoruz.”