Lo más probable es que haya estado leyendo acerca de un término relativamente nuevo llamado MFA resistente al phishing . De hecho, estamos viendo requisitos gubernamentales recientes para la implementación de MFA resistente al phishing. ¿Qué es exactamente, cuáles son los beneficios y qué significa para usted y su organización? Este concepto puede resultar un poco desalentador al principio, por lo que comenzaremos por el principio, con la autenticación.
La autenticación es el proceso de confirmar la identidad de alguien. En otras palabras, ¿eres realmente la persona que dices ser? Cada vez que ingresa a un sitio web con su nombre de usuario y contraseña, se está autenticando. La autenticación a menudo se combina con la autorización. Una vez que esté autenticado (por ejemplo, su identidad ha sido confirmada), la autenticación determina lo que puede y no puede hacer. De lo que estamos hablando hoy es solo de la pieza de autenticación.
Tradicionalmente, la autenticación ha sido una combinación de nombre de usuario y contraseña. Su nombre de usuario indica quién es usted, el conocimiento de su contraseña confirma su identidad. El problema con las contraseñas es que son dolorosas y confusas para que las personas las usen y relativamente fáciles de comprometer para los atacantes cibernéticos. Hay varias formas en que una contraseña puede verse comprometida, por ejemplo, sitios web de phishing de contraseñas que recopilan sus contraseñas, malware de registro de pulsaciones de teclas que registra sus contraseñas, personas que usan contraseñas débiles y fáciles de adivinar, personas que reutilizan la misma contraseña en varias cuentas y sitios web comprometidos. Las contraseñas han demostrado ser una forma débil de autenticación. Si bien pueden haber sido "suficientemente buenos" hace diez o veinte años, ya no son lo suficientemente buenos para hoy.
Como resultado, se desarrolló una forma mucho más fuerte de autenticación, algo llamado autenticación de dos factores. Dos factores es más fuerte ya que su nombre implica que se requieren dos factores, generalmente algo que sabe (su contraseña) y algo que tiene (su dispositivo móvil) o algo que es (biometría). De esta manera, si su contraseña se vio comprometida, su identidad aún estaba segura ya que un atacante cibernético no tenía acceso al segundo método (como su dispositivo móvil). Este concepto es similar a su tarjeta de cajero automático cuando retira dinero. Para retirar dinero con éxito, necesita tanto su tarjeta de cajero automático como el PIN (es por eso que nunca desea escribir su PIN en su tarjeta de cajero automático).
Este método en capas es un enfoque mucho más sólido y está siendo adoptado por muchas organizaciones y sitios web. De hecho, la autenticación de dos factores se está convirtiendo rápidamente en un estándar, ya que es muy eficaz para detener los ataques basados en la autenticación. Pero hay varios problemas.
En primer lugar, hay que ponerse de acuerdo sobre cómo queremos llamar a esto. Originalmente, el término más común era autenticación de dos factores, ya que estaban involucrados dos factores. Pero a menudo se usan otros nombres para incluir la verificación en dos pasos, la autenticación fuerte y la contraseña de un solo uso (OTP). Sin embargo, la mayor parte de la industria parece estar estandarizando el término autenticación multifactor (MFA). Muy a menudo, las personas se confunden pensando que hay diferencias en estos (y puede haberlas), pero en general estos términos se refieren a lo mismo. Usaremos el término MFA en el futuro.
Desafortunadamente, no solo usamos diferentes nombres para la solución, sino que también se implementan de muchas maneras diferentes. Tres de las formas más comunes en SANS en las que vemos que se implementa MFA son las siguientes. Primero ingresa a su cuenta con su nombre de usuario y contraseña, luego. . .
- Se envía un código único a su dispositivo móvil.
- Se genera un código único en una aplicación móvil en su dispositivo móvil.
- Se envía un código único o una solicitud a su dispositivo móvil
Hay otras variaciones de MFA, pero casi todas comparten una debilidad, se requiere interacción humana. Tienes que hacer algo con el código. Y cuando se requiere interacción humana, las personas pueden ser objeto de suplantación de identidad. En otras palabras, un atacante cibernético puede insertarse en el proceso de autenticación. Después de que una víctima inicia sesión en un sitio web, y después de que una víctima obtiene su código MFA único, ese código puede ser extraído de la víctima y utilizado por el atacante cibernético para obtener acceso al sitio web. En otras palabras, estos enfoques de MFA son "phishing".
Ahora, antes de que entremos en pánico, cualquiera de estos métodos MFA es exponencialmente mejor que solo las contraseñas. ¿Deberíamos dejar de usar MFA porque son 'phishing'? Absolutamente no, hay un gran valor para ellos. Pero los atacantes cibernéticos solo mejorarán en la explotación del lado humano de esto. Entonces, ¿qué sigue?
MFA resistente al phishing. La MFA resistente al phishing no es más que el mismo proceso de autenticación que acabamos de describir, pero las personas se eliminan de la ecuación. Hay varias formas diferentes de implementar esto, pero lo guiaré a través del enfoque más común, algo llamado FIDO.
FIDO es un estándar creado hace años por FIDO Alliance , un equipo sin fines de lucro de múltiples organizaciones de todo el mundo. Este es un estándar neutral del proveedor que está siendo adoptado por la mayoría de los grandes jugadores, para incluir a Google, Amazon, Microsoft y Apple. Si escucha a la gente hablar sobre "WebAuthn", esa es la tecnología que admite y ayuda a implementar el estándar FIDO. FIDO y WebAuthn en un nivel alto hacen referencia a la misma solución (menciono esto porque siempre me confundió). Entonces, ¿cómo funciona esto?
Cuando crea una cuenta en línea (o actualiza una cuenta existente para usar FIDO), registra su dispositivo en el sitio web. Este dispositivo puede ser un token especial (como una YubiKey ) o puede usar su dispositivo móvil (como su teléfono inteligente) como token. Cuando registra su dispositivo, su dispositivo y el sitio web crean un par de claves criptográficas único para su cuenta (conocido como cifrado asimétrico o criptografía de clave pública). No necesita conocer los detalles técnicos, pero lo que sucede se basa en este par de claves, ese sitio web ahora 'sabe' y confía en su dispositivo. En el futuro, para iniciar sesión en el sitio web, simplemente inicie sesión con su dispositivo, a menudo no se requiere contraseña.
Desde la perspectiva del usuario (que variará de un sitio web a otro y de un dispositivo a otro), todo lo que sucede es que cuando visita un sitio web para el que ha creado una cuenta, le pedirá que se verifique con el dispositivo. Las formas en que puede hacer esto incluyen conectar su dispositivo al puerto USB de su computadora o usar tecnologías inalámbricas como NFC (comunicaciones de campo cercano). Para asegurarse de que realmente es usted con su dispositivo (en lugar de que alguien robe su dispositivo e intente iniciar sesión como usted), se le pedirá que demuestre que realmente es usted con datos biométricos (huella digital, escaneo facial, etc.). Desde la perspectiva del usuario, todo el proceso de autenticación no es más que datos biométricos.
Lo que hace que esto sea tan efectivo es que no hay un código único para phishing o engañar a las personas. Casi todo sucede entre su dispositivo y el sitio web. La única interacción humana es la biométrica, algo que la gente ya hace todos los días. Por lo tanto, tenemos una solución que no solo es mucho más segura ya que es mucho más resistente a los ataques de phishing, sino que también es mucho más fácil de usar para las personas. ¿Esta tecnología elimina todo riesgo? No. A medida que esto se implemente ampliamente, se desarrollarán nuevos ataques, pero será MUCHO más difícil para el atacante cibernético.
Passkey es el nombre que los miembros de FIDO Alliance le han dado a esta nueva forma de autenticación, para incluir a Apple, Google y Microsoft. De hecho, Apple lanzó claves de acceso como parte de iOS16 y MacOS Ventura , espere que otras grandes empresas anuncien estas características pronto (si es que aún no lo han hecho). Esperemos que esto le dé una idea de lo que es MFA 'resistente al phishing'. Si todavía está un poco confundido acerca de cómo funcionará todo esto, no se sienta mal. Yo también.
PD: Como nota al margen, una cosa clave que me gustaría aclarar. FIDO es extremadamente resistente a los ataques de phishing, pero adoptar FIDO no significa que su organización esté segura contra el phishing. Una gran cantidad de ataques de phishing no tienen nada que ver con las contraseñas (archivos adjuntos de correo electrónico infectados, BEC, ataques de llamada a este número de teléfono, etc.). Menciono esto porque veo organizaciones que insinúan "Estamos adoptando FIDO MFA, lo que significa que no podemos ser objeto de suplantación de identidad". Algunos de los correos electrónicos de phishing más efectivos que existen tienen solo una o dos oraciones y un número de teléfono para que la víctima llame. Así que recuerde, 'MFA resistente a phishing' o estándares como FIDO son mecanismos de autenticación increíblemente fuertes que son altamente resistentes a los ataques de phishing, pero hay una ENORME cantidad de ataques de phishing que no tienen absolutamente nada que ver con la autenticación.
Fuente: www.sans.org
No hay comentarios.:
Publicar un comentario