Die Implementierung der Multi-Faktor-Authentifizierung (MFA) ist eine ausgezeichnete Strategie, um die Sicherheit Ihrer Online-Konten zu erhöhen, aber ausgeklügelte Phishing-Angriffe können MFA umgehen. Erwägen Sie daher die Einführung einer starken Phishing-resistenten MFA-Methode, um moderne Phishing-Kampagnen zu bekämpfen.
Wie ist herkömmliches MFA anfällig für Phishing-Angriffe? Was ist eine Phishing-resistente MFA-Lösung und wie kann sie Phishing-Angriffe verhindern?
Was ist Multi-Faktor-Authentifizierung?
Wie der Begriff schon sagt, erfordert die Multi-Faktor-Authentifizierung, dass Sie zwei oder mehr Verifizierungsfaktoren vorlegen, um auf Ihre Konten zugreifen zu können.
Ein Faktor in einem Authentifizierungsprozess ist ein Mittel zur Überprüfung Ihrer Identität, wenn Sie versuchen, sich anzumelden.
Die häufigsten Faktoren sind:
- Etwas, das Sie wissen: ein Passwort oder eine PIN, an die Sie sich erinnern
- Etwas, das Sie haben: einen sicheren USB-Stick oder ein Smartphone, das Sie haben
- Etwas, das du bist: Ihre Gesichtserkennung oder Ihren Fingerabdruck
Die Multi-Faktor-Authentifizierung fügt Ihren Konten zusätzliche Sicherheitsebenen hinzu. Es ist, als ob Sie Ihrem Schließfach ein zweites oder drittes Schloss hinzufügen würden.
Bei einem typischen mehrstufigen Authentifizierungsprozess geben Sie zuerst Ihr Passwort oder Ihre PIN ein. Dann erhalten Sie möglicherweise den zweiten Faktor auf Ihrem Smartphone. Dieser zweite Faktor kann eine SMS oder Benachrichtigung in einer Authentifizierungs-App sein. Abhängig von Ihren MFA-Einstellungen müssen Sie möglicherweise Ihre Identität durch Biometrie überprüfen.
Es gibt viele Gründe, Multi-Faktor-Authentifizierung zu verwenden, aber kann Phishing vollständig widerstehen?
Leider ist die Antwort "nein".
Cyber-Bedrohungen für die Multi-Faktor-Authentifizierung
Obwohl MFA-Methoden sicherer sind als Ein-Faktor-Authentifizierungsmethoden, können Angreifer sie mit verschiedenen Techniken ausnutzen.
Hier sind Möglichkeiten, wie Hacker MFA umgehen können.
Brute-Force-Angriffe
Wenn Hacker Ihre Zugangsdaten haben und Sie eine 4-stellige PIN festgelegt haben, die als zweiter Faktor verwendet werden soll, Sie können Brute-Force-Angriffe durchführen, um die Sicherheits-PIN zu erraten, um Multi-Faktor zu umgehen Authentifizierung.
SIM-Hacking
Heutzutage verwenden Bedrohungsakteure Techniken wie SIM-Swapping, SIM-Cloning und SIM-Jacking Hacken Sie Ihre SIM-Karte. Und sobald sie die Kontrolle über Ihre SIM-Karte haben, können sie den SMS-basierten zweiten Faktor leicht abfangen und Ihren MFA-Mechanismus kompromittieren.
MFA-Ermüdungsattacken
In einem (n MFA-Ermüdungsattacke, bombardiert Sie ein Hacker mit einer Flut von Push-Benachrichtigungen, bis Sie nachgeben. Sobald Sie die Anmeldeanforderung genehmigt haben, kann der Hacker auf Ihr Konto zugreifen.
Gegner in den mittleren Angriffen
Hacker können AiTM-Frameworks wie Evilginx verwenden, um sowohl Anmeldeinformationen als auch das Zweitfaktor-Token abzufangen. Dann können sie sich in Ihr Konto einloggen und alles Böse tun, was ihnen gefällt.
Pass-the-Cookie-Angriffe
Sobald Sie den mehrstufigen Authentifizierungsprozess abgeschlossen haben, wird ein Browser-Cookie erstellt und für Ihre Sitzung gespeichert. Hacker können dieses Cookie extrahieren und damit eine Sitzung in einem anderen Browser auf einem anderen System starten.
Phishing
Phishing, eine der häufigsten gängige Social-Engineering-Taktiken, wird oft verwendet, um auf den zweiten Faktor zuzugreifen, wenn der Angreifer bereits Ihren Benutzernamen und Ihr Passwort hat.
Sie verwenden beispielsweise einen Software-as-a-Service (SaaS)-Anbieter und Ihre Anmeldeinformationen sind kompromittiert. Ein Hacker wird Sie anrufen (oder per E-Mail kontaktieren), der sich als Ihr SaaS-Anbieter ausgibt, um den zweiten Faktor zur Überprüfung anzufordern. Sobald Sie den Bestätigungscode teilen, kann der Hacker auf Ihr Konto zugreifen. Und sie können Daten stehlen oder verschlüsseln, die Sie und Ihren Anbieter betreffen.
Heutzutage beschäftigen Hacker Fortgeschrittene Phishing-Techniken. Achten Sie also auf Phishing-Angriffe.
Was ist Phishing-resistente MFA?
Phishing-resistente MFA ist unanfällig für alle Arten von Social Engineering, einschließlich Phishing-Angriffen, Credential-Stuffing-Angriffen, Man-in-the-Middle-Angriffen und mehr.
Da Menschen im Mittelpunkt von Social-Engineering-Angriffen stehen, entfernt Phishing-resistente MFA das menschliche Element aus dem Authentifizierungsprozess.
Um als Phishing-resistenter MFA-Mechanismus zu gelten, sollte der Authentifikator kryptografisch an die Domäne gebunden sein. Und es sollte eine gefälschte Domain erkennen, die von einem Hacker erstellt wurde.
Im Folgenden wird beschrieben, wie die Phishing-resistente MFA-Technologie funktioniert.
Erstellen Sie eine starke Bindung
Zusätzlich zur Registrierung Ihres Authentifikators führen Sie eine kryptografische Registrierung durch, einschließlich Identitätsnachweis, um eine starke Bindung zwischen Ihrem Authentifikator und Ihrer Identität herzustellen Anbieter (IDP). Dadurch kann Ihr Authentifikator gefälschte Websites identifizieren.
Nutzen Sie asymmetrische Kryptografie
Eine solide Bindung zweier Parteien auf der Grundlage asymmetrischer Kryptografie (Public-Key-Kryptografie) macht gemeinsame Geheimnisse wie Passwörter überflüssig.
Um Sitzungen zu starten, werden beide Schlüssel (öffentliche Schlüssel und private Schlüssel) benötigt. Hacker können sich nicht authentifizieren, um sich anzumelden, da private Schlüssel sicher in Hardware-Sicherheitsschlüsseln gespeichert werden.
Antworten Sie nur auf gültige Authentifizierungsanfragen
Phishing-resistente MFA antwortet nur auf gültige Anfragen. Alle Versuche, sich als legitime Anfragen auszugeben, werden vereitelt.
Absicht überprüfen
Die Phishing-resistente MFA-Authentifizierung muss die Absicht des Benutzers validieren, indem der Benutzer aufgefordert wird, eine Aktion auszuführen, die die aktive Beteiligung des Benutzers an der Authentifizierung der Anmeldeanforderung anzeigt.
Warum Sie Phishing-resistente MFA implementieren sollten
Die Einführung von Phishing-resistenter MFA bietet mehrere Vorteile. Es eliminiert das menschliche Element aus der Gleichung. Da das System eine gefälschte Website oder eine nicht autorisierte Authentifizierungsanfrage automatisch erkennen kann, kann es alle Arten von Phishing-Angriffen verhindern, die darauf abzielen, Benutzer dazu zu bringen, Anmeldedaten preiszugeben. Folglich kann eine Phishing-resistente MFA Datenschutzverletzungen in Ihrem Unternehmen verhindern.
Darüber hinaus verbessert eine gute Phishing-resistente MFA, wie die neueste FIDO2-Authentifizierungsmethode, die Benutzererfahrung. Dies liegt daran, dass Sie biometrische oder einfach zu implementierende Sicherheitsschlüssel verwenden können, um auf Ihre Konten zuzugreifen.
Nicht zuletzt erhöht die Phishing-resistente MFA die Sicherheit Ihrer Konten und Geräte und verbessert sich dadurch Weide für Cybersicherheit in ihrer Firma.
Das hat das US Office of Management and Budget (OMB) herausgegeben Federal Zero Trust Strategy Dokument, die von Bundesbehörden verlangt, bis Ende 2024 nur Phishing-resistente MFA zu verwenden.
Sie können also verstehen, dass Phishing-resistente MFA für die Cybersicherheit von entscheidender Bedeutung sind.
So implementieren Sie Phishing-resistente MFA
Entsprechend der Bericht zum Status der sicheren Identität MFA-Bypass-Angriffe, die vom Auth0-Team von Okta vorbereitet wurden, nehmen zu.
Da Phishing der führende Angriffsvektor bei identitätsbasierten Angriffen ist, kann die Implementierung einer Phishing-resistenten Multi-Faktor-Authentifizierung Ihnen helfen, Ihre Konten zu schützen.
Die FIDO2/WebAuthn-Authentifizierung ist eine weit verbreitete Phishing-resistente Authentifizierungsmethode. Es ermöglicht Ihnen, gängige Geräte zur Authentifizierung in mobilen und Desktop-Umgebungen zu verwenden.
Die FIDO2-Authentifizierung bietet starke Sicherheit durch kryptografische Anmeldeinformationen, die für jede Website einzigartig sind. Und Anmeldedaten verlassen niemals Ihr Gerät.
Darüber hinaus können Sie integrierte Funktionen Ihres Geräts verwenden, z. B. einen Fingerabdruckleser, um kryptografische Anmeldedaten zu entsperren.
Du kannst Überprüfen Sie die FIDO2-Produkte um das richtige Produkt auszuwählen, um Phishing-resistente MFA zu implementieren.
Eine weitere Möglichkeit, Phishing-resistente MFA zu implementieren, ist die Verwendung von Public-Key-Infrastruktur (PKI)-basierten Lösungen. PIV-Smartcards, Kreditkarten und E-Pässe verwenden diese PKI-basierte Technologie.
Phishing-resistente MFA ist die Zukunft
Phishing-Angriffe nehmen zu und die Implementierung nur traditioneller Multi-Faktor-Authentifizierungsmethoden bietet keinen Schutz vor ausgeklügelten Phishing-Kampagnen. Implementieren Sie also Phishing-resistente MFA, um zu verhindern, dass Hacker Ihre Konten übernehmen.
