- Viele Unternehmen verwenden immer noch veraltete MFA-Methoden, die ein ernsthaftes Risiko für die Informationssicherheit darstellen.
- Obwohl die Multi-Faktor-Authentifizierung der effektivste Weg ist, um die Sicherheit privater Daten zu erhöhen ; Es gibt immer noch viele Unternehmen, die ihm nicht die Aufmerksamkeit schenken, die er verdient.
Die Multi-Faktor-Authentifizierung ist eine der effektivsten Methoden, um Geschäftsinformationen und technische Infrastrukturen zu schützen. Sie funktionieren jedoch nicht alle auf die gleiche Weise und es gibt 4 große Gefahren, wenn man weiterhin veraltete MFA-Methoden verwendet.
Gefahren der Verwendung veralteter MFA-Methoden
In der heutigen Cybersicherheitslandschaft muss sich die Technologie schnell weiterentwickeln; was viele MFAs in der Geschichte und mit mittelmäßiger Sicherheit hinterlässt. Viele böswillige Akteure verwenden verschiedene sehr effektive Techniken, um diese Sicherheitsmethoden zu umgehen, die für nichts mehr nützlich sind.
Falsch verwaltete und gestohlene Passwörter
Die überwiegende Mehrheit der traditionellen MFA-Methoden verfügt über Passwörter, die recht leicht kompromittiert werden können. Viele Menschen vergessen am Ende ihre Passwörter. Um dies zu vermeiden, versuchen sie, für alles dieselben zu verwenden. In Fortsetzung dieses Punktes versuchen wir, leicht zu merkende Passwörter zu erstellen, die auch die unsichersten sind. Darüber hinaus speichern sie ihre Passwörter ohne Schutz in einem Dokument oder einer Anwendung, um sie leicht nachschlagen zu können, und verwenden beispielsweise niemals einen Passwort-Manager.
Selbst wenn ein starkes Passwort erstellt und niemals in irgendeiner Weise weitergegeben wird; B. eine Keylogger- oder Screen-Scraper-Malware, beim Tippen sammeln und an Angreifer weitergeben kann. Es ist ein ziemlich großes Aufzinsungsrisiko und der Hauptgrund, warum Regierungsbehörden wie das National Institute of Standards and Technology (NIST) und das FBI so oft davor warnen, veraltete MFA-Ansätze zu verwenden.
Ungeschützte Maschineninteraktionen
Obwohl MFA in Bezug auf Gerätesitzungen ineffizient ist. Es bietet auch keinerlei Sicherheit für Computer-zu-Computer-Sitzungen, die hinter der Firewall eines Unternehmens stattfinden. In dieser Hinsicht ist eine starke Authentifizierung unbedingt erforderlich, um Sitzungen zwischen Servern, Apps, Geräten und anderen Netzwerkknoten zu schützen.
Eine der am häufigsten verwendeten Methoden zur Lösung dieses Problems wird mit einer MFA erreicht, die auf einer Public-Key-Infrastruktur (PKI) basiert, die digitale Zertifikate verwendet. Diese Zertifikate werden zu Beginn jeder Sitzung ausgetauscht; Sie authentifizieren die Identitäten von Sitzungsbenutzern auf strukturierte Weise und stellen sicher, dass nur bestimmte Computer Zugriff haben.
Aber der Punkt ist, dass PKI eine ziemlich komplizierte und komplexe Technologie ist, umso mehr im Verhältnis zur Gesamtzahl der digitalen Zertifikate. Das Erreichen des beabsichtigten Ergebnisses einer PKI-Implementierung erfordert viel Erfahrung und vor allem das Vorhandensein der richtigen Tools.
Organisationen, die versuchen, es zu implementieren, erzielen möglicherweise bessere Ergebnisse, wenn sie mit einem vertrauenswürdigen Drittanbieter zusammenarbeiten, der hochspezialisiert auf PKI und das Lifecycle-Management digitaler Zertifikate ist.
Sicherheitslücken bei der Schichtüberprüfung
Abgesehen von Passwörtern erfordert die Zwei-Faktor-Authentifizierung (2FA) für zusätzliche Sicherheit, dass Benutzer ihre Identität mit einem tokenbasierten Ansatz oder über einen externen Kommunikationskanal authentifizieren.
Zu den Authentifizierungsfaktoren gehören Wissen (die Antworten auf Sicherheitsfragen); Besitz (einmaliges Passwort auf einem Gerät); oder Vererbung (persönliches Attribut, wie z. B. ein Fingerabdruck). Diese Faktoren werden oft als „was du weißt“, „was du hast“ bzw. „was du bist“ bezeichnet.
Ein einfaches Beispiel: Nach erfolgreicher Passworteingabe generiert der Server ein weiteres Credential, quasi eine Art temporären Code oder ein zusätzliches Passwort; es wird an das anfordernde Gerät gesendet. Diese eindeutigen Zugangscodes, die einem Passwort zugeordnet sind, bilden ein gemeinsames oder “symmetrisches” Geheimnis, das sehr leicht entdeckt werden kann.
Die Out-of-Band (OOB)-Authentifizierung ist eine Art 2FA, die zwei verschiedene Kommunikationskanäle erfordert: die Internetverbindung und einen Telefonanruf. Obwohl diese Ansätze Standardangriffe erschweren, können Angreifer dennoch eine Telefonnummer auf ein Gerät übertragen, das sie besitzen, um OTPs durch Techniken wie SIM-Swapping zu erhalten.
Diese Methode war inmitten des Angriffs auf den Twitter-Gründer Jack Dorsey sehr erfolgreich , bei dem der Angreifer einen Mobilfunkanbieter dazu bringen konnte, die Telefonnummer von Dorseys Konto auf eine SIM-Karte zu übertragen.
2FA legt die Sicherheitslast auf die Schultern des Benutzers und beeinträchtigt in den meisten Fällen die Effektivität des Hinzufügens lästiger Benutzerschritte.
Verschiedene Social-Engineering-Tricks
Social Engineering, ein emotional getriebener Prozess, Mitarbeiter dazu zu bewegen, auf der Grundlage eines gefälschten Kontos oder einer Anfrage Maßnahmen zu ergreifen, ist ein vielseitiges und kreatives Werkzeug, das viele Cyberkriminelle verwenden, um veraltete MFAs zu überwinden.
Dank Social Engineering sind Angreifer in der Lage, Zugang zu privaten Informationen zu erhalten: Mitarbeiteranmeldeinformationen, persönlich identifizierbare Informationen von Kunden und Mitarbeitern, verschiedene Arten von Konten, Chats usw. Mitarbeiter können dazu verleitet werden, Geld auf verschiedene Konten zu überweisen, die vorgeben, von Anbietern oder Partnern zu stammen; aber sie werden von diesen böswilligen Leuten kontrolliert.
Eine andere Möglichkeit besteht darin, Benutzer dazu zu verleiten, bösartige Apps mit verschiedenen Funktionen, wie z. B. Bildschirmaufzeichnung, auf ihren Geräten zu installieren. Im März 2020 erschien TrickBot, ein Trojaner, der in der Lage ist, den Bildschirm aufzuzeichnen und alles zu sehen, was passiert, insbesondere Nachrichten mit Einmalpasswörtern. SMS-basierte Einmalpasswörter gehören der Vergangenheit an und sind gefährlich.