Uwierzytelnianie wieloskładnikowe chroni konta użytkowników przed atakami hakerów. Choć jest to bardzo skuteczna metoda, nie zapewnia ona całkowitego bezpieczeństwa.
Hasła od lat pozostają najczęściej stosowaną metodą uwierzytelniania, co nie oznacza, że najbardziej efektywną. Jakie błędy sabotujące skuteczność popełniają użytkownicy?
Błąd nr 1 – łatwe hasła
Użytkownicy często idą na łatwiznę i korzystają z prostych, łatwych do rozszyfrowania sekwencji. Wprawdzie zapamiętanie haseł 123456, 123456789, password, 12345678 czy „iloveyou” jest dziecinnie proste, ale hakerzy łamią je w ciągu sekundy. Nawet nieco trudniejsze sekwencje, takie jak: picture1, michelle, Sample123 mogą być rozszyfrowane przez napastników w trzy godziny. Co istotne, analizy specjalistów z NIST, przeprowadzone na podstawie naruszonych haseł pokazują, że dłuższe sekwencje są trudniejsze do sforsowania, aniżeli skomplikowane zawierające różnego rodzaju znaki.
Błąd nr 2 – jedno hasło do wielu kont
Drugim nagminnym błędem popełnianym przez Internautów jest wykorzystywanie tego samego hasła w różnych miejscach. Jeśli napastnik uzyska dostęp do jednego konta, automatycznie ma otwartą drogę do pozostałych.
Kolejne warstwy kontroli
Nie bez przyczyny firmy oraz instytucje wprowadzają kolejną warstwę kontroli w postaci Multi-factor Authentication (MFA), czyli uwierzytelniania wieloskładnikowego. Oprócz podstawowego zestawu zabezpieczeń, a więc nazwy użytkownika i hasła, dochodzi kod kod wysłany za pośrednictwem SMS-a, czy też dane biometryczne (odcisk palca, skan tęczówki czy rozpoznawanie twarzy).
Jak wynika z badania przeprowadzonego przez OKTA, największą popularnością cieszą się powiadomienia push (29 procent), które polegają na wysyłaniu powiadomień bezpośrednio do bezpiecznej aplikacji zainstalowanej na urządzeniu użytkownika. Na kolejnych miejscach znalazły się SMS-y (17 procent) oraz tokeny programowe (13 procent). W ubiegłym roku poziom adaptacji MFA wśród Internautów wynosił 64 procent, zaś w przypadku administratorów IT wskaźnik osiągnął poziom 90 procent. To wyraźny progres w porównaniu z wcześniejszymi latami – dla porównania w 2019 roku adaptacja MFA nie przekraczała pułapu 40 procent.
Uwierzytelnianie wieloskładnikowe szybko zyskuje zwolenników. Szacuje się, że około 60 procent wycieków informacji jest następstwem kradzieży danych uwierzytelniających. Według specjalistów zajmujących się cyberbezpieczeństwem MFA blokuje 99,9 procent cyberataków. Do wzrostu popularności tej metody przyczyniły się nie tylko bardzo wysoka skuteczność, ale także regulacje, pandemia i szeroko nagłaśniane przez media cyberataki – tłumaczy Michał Łabęcki, G DATA Software.
To nie koniec wojny
Wojna cyberprzestępców z dostawcami systemów bezpieczeństwa IT jest prawdziwym wyścigiem zbrojeń – każdy postęp w branży stanowi wyzwanie dla napastników. Nie inaczej jest w przypadku MFA. Grupy przestępcze stosują kilka technik mających na celu ominięcie zabezpieczeń.
W przypadku łamania niezbyt zaawansowanych haseł skutecznym sposobem na ich złamanie są tak zwane ataki brute force (siłowe). Napastnicy, aby rozszyfrować prawidłową sekwencję stosują metodę prób i błędów. Czasami potrzebują na osiągnięcie celu kilkanaście minut, a innym razem kilku godzin. Według bardzo podobnego schematu działają cyberprzestępcy bombardujący użytkownika konta poświadczeniami wysyłanymi za pomocą automatycznego skryptu. W krótkim czasie potencjalna ofiara otrzymuje setki powiadomień push z komunikatami typu „zatwierdź” lub „odmów” logowania. Część osób w wyniku frustracji i zmęczenia reaguje na zaczepki napastników.
Szczególnie złą sławą cieszy się grupa Lapsus$, specjalizują się w technikach obejścia MFA. Na swoim oficjalnym kanale na Telegramie, napastnicy udzielają wskazówek dotyczących ataków.
„Nie ma ograniczeń co do liczby połączeń, które można wykonywać. Zadzwoń do pracownika 100 razy o godzinie pierwszej w nocy, kiedy próbuje zasnąć. Wówczas najprawdopodobniej zaakceptuje połączenie. Gdy przyjmie wstępne połączenie, możesz uzyskać dostęp do portalu rejestracji MFA i zarejestrować inne urządzenie” – wyjaśnia jeden z członków grupy przestępczej.
Czasami napastnicy sięgają po bardziej wysublimowane metody i wykorzystują serwer pośredniczący do przechwytywania w czasie rzeczywistym poświadczeń i sesji użytkownika. W ten sposób haker pośredniczy w wymianie informacji pomiędzy użytkownikiem i docelową, prawdziwą stroną internetową. W rezultacie przejmuje nazwę użytkownika, hasło, tokeny sesji lub kody jednorazowe służące do uwierzytelniania dwuskładnikowego.
Innym trudnym do wykrycia atakiem jest wymiana karty SIM, często też określana jako „SIM swapping”. Haker przejmuje całkowitą kontrolę nad numerem telefonu ofiary, wyrabiając duplikat karty SIM. Jednak aby to zrobić, napastnik musi posiadać dane osobowe właściciela numeru. Napastnik kontaktuje się z operatorem telefonii komórkowej, podszywając się pod prawdziwego abonenta. Następnie, pod pretekstem zgubienia bądź uszkodzenia telefonu, zleca wyrobienie nowej karty SIM. Wraz z otrzymaniem duplikatu przejmuje całkowitą kontrolę nad numerem telefonu ofiary.
– Napastnik może omijać MFA, ale żeby to zrobić, w większości przypadków musi posiadać odpowiednie dane logowania. Dlatego samo wdrożenie metody wielokrotnego uwierzytelniania nie zwalnia od stosowania silnych haseł. Poza tym w firmach warto stosować zasadę „zerowego zaufania”, czyli udostępniać pracownikom tylko dane potrzebne do wykonywania obowiązków służbowych – podsumowuje Michał Łabęcki.