Autentificarea multi-factor securizată. Este suficientă o parolă sigură?

În cadrul evenimentului RSAConference2020, reprezentanți ai companiei Microsoft – Alex Weinert (Director of Identity Security) și Lee Walker (Principal Program Manager, Microsoft IT Identitiy and Access) au prezentat date statistice referitoare atacurile cibernetice care vizează compromiterea adreselor de email. Prezentarea completă se regăsește aici în format video și pdf.

Cifrele sunt interesante, iar în acest articol încercăm să înțelegem cum să ne protejăm parolele și conturile cât mai bine împotriva atacatorilor din spațiul cibernetic.

Mai mult de 1.2 milioane de conturi email compromise în luna ianuarie 2020

Statistica se referă doar la conturile administrate/înregistrate de utilizatorii platformelor companiei Microsoft. De fapt cifrele în statistica generală sunt cu mult mai mari. Ceilalți jucători importanți în zona serviciilor email (Gmail, Yahoo Mail, AOL Mail, Zoho Mail, Yandex Mail, Proton Mail etc.) nu au oferit până în prezent date referitoare la conturile compromise.

99.9% din conturile compromise nu aveau implementate măsuri de protecție suplimentară (MFA)

Având în vedere rafinarea atacurilor cibernetice, companiile de securitate tind să implementeze soluții moderne de autentificare multi-factor, unii promovând și beneficiile autentificării “fără parolă”. Există patru factori de autentificare: (1) ceva ce posedă/something you have, (2) ceva ce cunoaște/something you know, (3) ceva ce este/something you are și (4) locația unde este/somewhere you are (le vom detalia într-un viitor articol).

Un exemplu reprezentativ al acestei metode presupune extragerea de bani de la bancomat (ATM) ce necesită un card fizic (ceva ce posedă) și un cod PIN (ceva ce cunoaște).

Autentificarea în doi pași (two-step verification sau two-step authentication) presupune confirmarea identității prin îmbinarea a două elemente: 1) ceva ce cunoaște (ex. parolă) și 2) cod cu valabilitate limitată (OTP – One-Time Password), transmis printr-un canal distinct (ex. cod transmis prin SMS sau cod generat de aplicație terță precum Google Authenticator, Authy, andOTP etc.)

Aplicații precum Microsoft Authenticator prin intermediul căreia este generată o notificare tip push pe telefonul mobil, iar utilizatorul își confirmă identitatea folosind date biometrice sau un cod PIN.

Token fizic de autentificare precum RSA SecurID și ePass FIDO NFC care pot înlocui sau pot aduce un plus față de utilizarea unei parole tradiționale. Un singur token este capabil să protejeze un număr nelimitat de aplicații. Fiecărei aplicații se atribuie o pereche individuală de chei.

40% (480.000) de conturi au fost compromise prin metoda de atac Password Spraying

Metoda presupune derularea în mod automatizat a unei campanii de autentificări în cadrul unor conturi (targetate) prin utilizarea unui număr restrâns de parole cu frecvență mare în utilizare. Acest tip de atac poate fi pus în aplicare prin intermediul unor aplicații precum Sanmao SMTP Mail Cracker. Compromiterea unor conturi prin această metodă de atac poate fi eliminată prin implementarea unor măsuri de protecție suplimentară la autentificare precum cele descrise mai sus.

Concluzia este una destul de simplă: protejarea unui cont printr-o parolă tradițională NU reprezintă o măsură suficientă. Măsurile suplimentare la autentificare ne feresc de multe probleme și pot împiedica un atacator cibernetic să preia controlul asupra unui cont/echipament, uneori chiar dacă acesta a obținut parola prin mijloace precum ingineria socială sau atacuri de tip phishing / spear-phishing.

Ca să înțelegeți de ce metoda de atac Password Spraying va funcționa mult timp de acum înainte, aveți mai jos topul celor mai utilizate 20 parole în anul 2019. Lista completă (200 de parole) poate fi regăsită pe blogul celor de la NordPass. Dacă îți identifici parola în lista de mai jos, cred că este de înțeles că trebuie să citești în continuare postările de pe platforma SecurityPatch.ro. Ne poți contacta la adresa de email [email protected]