Serie cybersecurity (8/10):
MFA: Securitate suplimentară la autentificare

Dacă sunteți la fel ca majoritatea, probabil că folosiți o parolă pentru a vă conecta la aplicații și website-uri. Dar știați că (doar) parolele nu sunt suficiente pentru a vă proteja identitatea și confidențialitatea online? De fapt, parolele sunt una dintre cele mai slabe și mai vulnerabile forme de autentificare: pot fi ușor de ghicit, spart sau furat prin diverse metode (malware, ransomware, phishing etc.).

De aceea, recomandăm utilizarea MFA/autentificare multifactorială, o tehnică care adaugă un nivel suplimentar de securitate la procesul dvs. de autentificare și face mai dificilă accesarea conturilor sau datelor de către utilizatorii neautorizați. MFA este esențială pentru securitatea cibernetică, deoarece poate reduce semnificativ riscul de compromitere a conturilor, de furt de identitate și de încălcare a securității datelor.

MFA completează SSO/single sign-on, care vă permite să vă conectați la mai multe site-uri web și aplicații cu un singur set de credențiale. MFA sporește securitatea SSO prin faptul că solicită să vă verificați identitatea cu un alt factor (de ex. un smartphone, o scanare biometrică sau un cod unic), înainte de a accesa orice site web sau aplicație.

%
din atacurile cibernetice automate pot fi blocate de MFA. (Sursa: Microsoft)
%
din atacurile bot automate pot fi prevenite de MFA. (Sursa: Google)
%
din atacurile de phishing automate pot fi prevenite de MFA. (Sursa: Google)
În acest articol:
  1. Din articolele anterioare
  2. Factori de MFA
  3. Metode MFA
  4. Amenințări MFA
  5. Recomandări și bune practici MFA
  6. MFA în diferite industrii

Din articolele anterioare

Metodele de autentificare bazate pe un singur factor pot fi vulnerabile la atacuri. Cu MFA, adăugați un nivel suplimentar de verificare și împiedicați accesul neautorizat, chiar dacă unul dintre factori este compromis. Iată câteva cazuri în care MFA vă poate ajuta să vă protejați împotriva atacurilor cibernetice:

Malware

Dacă -de exemplu- folosiți o parolă unică (OTP) ca al doilea factor, programele malware nu o vor putea utiliza, deoarece este valabilă doar pentru o perioadă scurtă de timp și doar pentru o anumită sesiune.

Ransomware

Dacă folosiți un factor biometric (de exemplu, o amprentă digitală sau o scanare a feței) ca al doilea factor, ransomware-ul nu îl va putea utiliza, deoarece necesită prezența dumneavoastră fizică.

Phishing

Dacă folosiți o notificare push ca al doilea factor, puteți verifica autenticitatea cererii de conectare și o puteți respinge dacă este suspectă.

Factori de MFA

Factorii MFA sunt diferitele tipuri de informații sau probe care pot fi utilizate pentru a verifica identitatea unui utilizator sau a unui dispozitiv. În general, pot fi clasificați în trei categorii principale: ceva ce știți, ceva ce aveți și ceva ce sunteți. De asemenea, unele soluții MFA pot utiliza factori suplimentariȘ ceva ce faceți, ceva la care sunteți conectat sau undeva unde vă aflați.

Ceva ce știți

Acest factor se bazează pe o informație pe care numai dumneavoastră o cunoașteți (o parolă suplimentară, un cod PIN, o întrebare de securitate etc.). Gândiți-vă la „ceva ce știți” ca la încuietoarea de la ușa dvs.: poate ține la distanță unii intruși, dar poate fi, de asemenea, forțată sau spartă de alții.

Este cel mai comun factor, utilizat pe scară largă în metodele de autentificare, deoarece este ușor de implementat și de utilizat.
Este factorul cel mai vulnerabil la atacuri.
De unul singur, nu este suficient pentru a asigura o autentificare puternică și trebuie combinat cu alți factori.

Ceva ce aveți

Se bazează pe un obiect pe are numai dumneavoastră îl aveți (un token, un card inteligent, un dispozitiv mobil etc.). este similar cu cheia de la ușă: poate deschide încuietoarea, dar poate fi rătăcită sau luată de alte persoane.

Este mai sigur decât „Ceva ce știți”, deoarece necesită posesia fizică a obiectului.
Obiectul poate fi pierdut, furat sau deteriorat și poate necesita hardware sau software suplimentar pentru a fi utilizat.
„Ceva ce aveți” trebuie combinat cu alți factori și protejat cu un cod PIN sau o parolă.

Ceva ce sunteți

Acest factor se bazează pe un element al identității / unicității dvs.: o amprentă digitală, o scanare a feței, o scanare a irisului, o recunoaștere vocală etc. Gândiți-vă la „Ceea ce sunteți” ca la scanerul de amprente de la ușa dvs.: vă poate recunoaște, dar poate să funcționeze greșit.

„Ceva ce sunteți” este în fapt o autentificare biometrică și este cel mai sigur și unic dintre factori.
Poate fi costisitor, incomod sau inexact și poate ridica probleme legate de confidențialitate și de etică.
Ar trebui să fie combinat cu alți factori și utilizat cu precauție și consimțământ.

Factori suplimentari

Unele soluții MFA pot utiliza și factori precum „Ceva ce faceți”, „Ceva la care sunteți conectat” sau „Undeva unde vă aflați”. De exemplu:

„Ceva ce faceți” se poate baza pe comportamentul dumneavoastră, cum ar fi modelul de tastare, mișcarea mouse-ului, istoricul de navigare etc.

„Ceva la care sunteți conectat” se poate baza pe rețeaua dvs.: adresa IP, adresa MAC, Wi-Fi etc.

„Unde vă aflați” se poate baza pe locația dvs.: datele GPS, geofencing-ul, proximitatea dvs. etc.

Acești factori pot oferi mai mult context și încredere în autentificare, dar pot fi și nesiguri, intruzivi sau falsificați. Prin urmare, ar trebui combinați cu alți factori și utilizați cu atenție și transparență. Gândiți-vă la acești factori ca la camerele sau senzorii de la ușa dumneavoastră: vă pot monitoriza, dar pot fi, de asemenea, păcăliți sau piratați.

Metode MFA

Metodele MFA sunt modalitățile de furnizare / prezentare către utilizator sau dispozitiv. Ele pot varia în ceea ce privește ușurința de utilizare și securitatea, în funcție de tipul de factor, de canalul de comunicare și de nivelul de verificare. Iată câteva metode MFA obișnuite, precum și avantajele și dezavantajele asociate:

SMS

Trimite o parolă unică (OTP/one-time-password) la numărul de telefon al utilizatorului prin intermediul unui mesaj text. Utilizatorul introduce apoi OTP pe ecranul de conectare, împreună cu numele de utilizator și parola.

Este o metodă simplă și convenabilă, deoarece nu necesită hardware sau software suplimentar și funcționează cu orice telefon.
Poate fi o metodă riscantă și nesigură, deoarece poate fi interceptat, întârziat sau blocat (de ex. probleme de rețea, schimbarea SIM, phishing etc.).
Nu ar trebui să fie utilizat ca metodă unică sau principală de MFA, ci ar trebui înlocuit sau completat cu alte metode.

E-mail

Trimite o parolă unică (OTP) sau un link de verificare la adresa de e-mail a utilizatorului; apoi utilizatorul introduce OTP-ul sau face clic pe linkul de pe ecranul de conectare, împreună cu numele de utilizator și parola.

Este similar cu SMS-ul, deoarece este simplu și convenabil
Este riscant și nesigur: poate fi compromis, falsificat sau întârziat de diverși factori (filtrele de spam, phishing, malware etc.)
Nu ar trebui să fie utilizat ca metodă unică sau principală de AMF, ci ar trebui înlocuit sau completat cu alte metode.

Apel telefonic

Se apelează numărul de telefon al utilizatorului și se cere acestuia să introducă o parolă unică (OTP) sau să apese o tastă de pe tastatură. Utilizatorul introduce apoi OTP sau apasă tasta pe ecranul de conectare, împreună cu numele de utilizator și parola.

Este o metodă mai sigură și mai fiabilă decât SMS-ul sau e-mail-ul, deoarece este mai greu de interceptat sau de falsificat.
Este mai costisitor și mai incomod, deoarece e nevoie ca utilizatorul să răspundă la telefon și să introducă OTP sau să apese tasta.
Apelul telefonic trebuie utilizat cu precauție și combinat / alternat cu alte metode

Aplicație

Utilizează un app mobil sau desktop pentru a genera sau a primi o parolă unică (OTP) sau o notificare push. Utilizatorul introduce apoi OTP-ul sau aprobă notificarea pe ecranul de conectare, împreună cu numele de utilizator și parola.

Este o metodă mai sigură și mai fiabilă decât SMS-ul, e-mailul sau apelul telefonic, deoarece utilizează un canal de comunicare criptat și dedicat.
Este o metodă mai complexă și mai dependentă, deoarece necesită ca utilizatorul să instaleze și să actualizeze aplicația și să aibă acces la internet / date.
Ar trebui să fie utilizată cu rezerve, și ar trebui să fie compatibilă și convenabilă pentru utilizator.

Biometrie

Utilizează o caracteristică fizică sau comportamentală a utilizatorului (amprenta digitală, scanarea feței, scanarea irisului, recunoașterea vocii etc.), pentru a-l autentifica. Utilizatorul scanează (sau pronunță) apoi caracteristica sa biometrică pe ecranul de conectare, împreună cu numele de utilizator și parola.

Este cea mai sigură și unică metodă de MFA, deoarece folosește ceva ce doar utilizatorul este și care nu poate fi copiat sau furat cu ușurință.
Metoda biometrică este și cea mai costisitoare, incomodă sau inexactă, deoarece necesită ca utilizatorul să aibă un dispozitiv compatibil și funcțional (care este posibil să nu funcționeze bine în diferite condiții sau situații).
Biometria ar trebui utilizată cu consimțământ și ar trebui să fie precisă și consecventă pentru utilizator.

Amenințări MFA

MFA este o tehnică puternică care poate îmbunătăți semnificativ securitatea metodelor de autentificare și vă poate proteja datele și sistemele de diverse atacuri cibernetice. Dar MFA nu este un „glonț de argint” și se poate confrunta cu amenințări și provocări:

SIM swapping: furt de identitate care implică transferul numărului dvs. de telefon pe o nouă cartelă SIM, controlată de un atacator. Atacatorul poate folosi apoi numărul dvs. de telefon pentru a primi codurile MFA prin SMS sau apeluri telefonice și pentru a vă accesa conturile sau resursele. Schimbul de SIM-uri se poate realiza prin exploatarea vulnerabilităților furnizorului dvs. de servicii de telefonie mobilă sau prin înșelarea dvs. pentru a furniza informații personale sau coduri de verificare. Efectele negative sunt considerabile: preluarea conturilor, furtul de identitate, încălcarea securității datelor etc.
Phishing: atac de inginerie socială care încearcă să vă păcălească pentru a vă dezvălui datele de identificare sau pentru a face clic pe linkuri malițioase. Phishing-ul poate viza și metodele MFA, prin falsificarea mesajelor sau a cererilor MFA legitime și prin solicitarea de a introduce codurile MFA sau de a aproba notificările MFA. După cum am văzut, phishing-ul poate utiliza diverse tehnici (urgență, teamă, curiozitate etc.) pentru a vă manipula emoțiile și a vă influența acțiunile.
Spoofing: atac care presupune impersonarea sau imitarea unei entități legitime (un utilizator, un dispozitiv, o rețea etc.). Poate afecta metodele MFA prin utilizarea unor factori falși sau furați (parole, token-uri, date biometrice etc.) pentru a se autentifica în locul dvs. Spoofingul poate utiliza diverse instrumente (malware, software, hardware etc.) pentru a ocoli sau a păcăli metodele dvs. MFA (generatoare de OTP, notificări push, scanere biometrice etc.).

Recomandări și bune practici MFA

Pentru a preveni sau a atenua aceste amenințări și pentru a utiliza MFA în mod sigur și eficient, ar fi bine să urmați câteva recomandări și bune practici:

Utilizați o parolă puternică și unică pentru fiecare cont sau resursă și schimbați-o în mod regulat. Nu reutilizați și nu partajați parolele și -mai ales!- nu le notați și nu le păstrați într-un loc nesigur. Utilizați un manager de parole pentru a genera și gestiona parolele în siguranță.
Utilizați o metodă MFA diferită pentru fiecare cont sau resursă și alegeți cea mai sigură și mai fiabilă metodă disponibilă. Pe cât posibil, evitați să utilizați SMS sau e-mail ca metodă MFA unică sau principală și încercați să folosiți în schimb aplicații sau metode biometrice. Utilizați o metodă MFA de rezervă în cazul în care metoda principală nu este disponibilă sau este compromisă.
Protejați factorii și metodele MFA împotriva pierderii, furtului sau deteriorării. Păstrați token-urile, cardurile inteligente, dispozitivele mobile etc. într-un loc sigur și accesibil. Blocați-vă dispozitivele cu un cod PIN sau o parolă și activați funcțiile de criptare și ștergere de la distanță. Actualizați-vă periodic dispozitivele și aplicațiile și scanați-le pentru malware. Nu partajați factorii sau metodele MFA cu nimeni.
Verificați autenticitatea și legitimitatea mesajelor sau a cererilor de MFA. Nu răspundeți și nu aprobați niciunul dintre cele suspecte sau nesolicitate. Verificați expeditorul, destinatarul, conținutul și contextul solicitărilor MFA și căutați orice semn de phishing sau de spoofing (greșeli de scriere, erori gramaticale, adrese URL nepotrivite etc.). Contactați direct expeditorul sau furnizorul și raportați orice mesaje sau cereri de MFA frauduloase.
Educați-vă echipa și utilizatorii cu privire la beneficiile și riscurile MFA, precum și la cele mai bune practici și politici de utilizare a MFA. Oferiți instruire și îndrumare cu privire la modul de utilizare corectă și sigură a MFA, dar și la modul de gestionare a amenințărilor și provocărilor MFA. Monitorizați și auditați activitățile și evenimentele MFA; revizuiți și actualizați periodic setările și preferințele MFA.

MFA în diferite industrii

MFA poate fi aplicată în orice industrie sau sector care utilizează metode de autentificare pentru a accesa date/sisteme. Diferite industrii sau sectoare pot avea provocări diferite în ceea ce privește MFA (cerințele de reglementare și de conformitate, așteptările clienților și ale părților interesate, compromisurile în materie de securitate și de utilizare):

Sănătate

Exemplu: un pacient ar putea utiliza o scanare biometrică pentru a-și accesa fișa medicală; sau un medic poate utiliza o notificare push pentru a prescrie un medicament.

Date sensibile și personale: fișe medicale, rețete, rezultate de teste.
Părți interesate: pacienți, medici, asistente medicale, farmaciști, asiguratori.
Cerințe stricte de reglementare și de conformitate: HIPAA, GDPR, etc.; au ca scop protejarea confidențialității și securității datelor și a drepturilor persoanelor vizate.
Riscuri: consecințe grave pentru sănătatea și siguranța pacienților, dar și pentru reputația și răspunderea furnizorilor de servicii de sănătate.

Finanțe

Exemplu: un client poate folosi un token pentru a-și accesa contul bancar; sau un angajat poate folosi un apel telefonic pentru a aproba o tranzacție.

Date valoroase și confidențiale: conturi bancare, carduri de credit, tranzacții, investiții.
Părți interesate: clienți, angajați, parteneri, autorități de reglementare.
Cerințe stricte de reglementare și de conformitate: PCI DSS, SOX, etc.; au ca scop protejarea integrității și securității datelor și a tranzacțiilor.
Riscuri: vulnerabilitate la atacuri cibernetice (fraudă, furt, spălare de bani) cu consecințe grave pentru statutul financiar / juridic al clienților și al furnizorilor.

Educație

Exemplu: un student poate utiliza o scanare biometrică pentru a susține un examen online; sau un profesor poate utiliza o notificare push pentru a nota o lucrare.

Date diverse și dinamice: dosare de studenți, note, lucrări, examene.
Părți interesate: elevi, profesori, părinți, administratori.
Cerințe stricte de reglementare și de conformitate: FERPA, COPPA, etc.; au ca scop protejarea confidențialității și securității datelor și a drepturilor persoanelor vizate.
Riscuri: vulnerabilitate la atacuri cibernetice (trișare, plagiat, piraterie informatică) cu consecințe grave asupra performanțelor academice / profesionale și asupra reputației studenților și profesorilor.

***

În peisajul dinamic al securității cibernetice, autentificarea multifactorială (MFA) este o soluție esențială, care întărește apărarea împotriva amenințărilor în continuă evoluție. Abordarea sa pe mai multe niveluri, împreună cu o implementare vigilentă și o evoluție continuă, reprezintă o piatră de temelie în protejarea identităților digitale și a datelor sensibile.

***

La infinilink, credem că securitatea cibernetică este un efort continuu, iar menținerea vigilenței este esențială pentru a fi în fața amenințărilor cibernetice. Urmând câțiva pași relativ simpli, și menținând o atitudine activă în materie de securitate, puteți reduce semnificativ riscul de a cădea victimă atacurilor cibernetice.

Pentru orice informații suplimentare privind securitatea cibernetică și serviciile de cybersecurity ale infinilink, vă rugăm să ne contactați sau să accesați pagina web dedicată serviciilor cybersecurity.

Articole similare

Scroll to Top