Dvojfaktorové overenie (2FA) alebo viacfaktorové overenie (MFA) nie je (a nikdy nebude) dokonalé. Motivovaní počítačoví zločinci už vyvinuli rôzne nástroje a techniky, ktoré im pomôžu obísť 2FA a použili ich pri útokoch v reálnom svete. Každý druhý deň čítame o tom, ako je možné phishingové kódy OTP a ako médiá, ako sú e-maily a SMS, neposkytujú zabezpečenie potrebné na prenos tohto druhu informácií. Dokonca aj špecializované aplikácie, ako je Google Authenticator nie sú imunní k úspešným útokom, čo veľa pochybuje o dodatočnej bezpečnosti, ktorú poskytuje 2FA. v prezentácia Na konferencii RSA v San Franciscu v minulom mesiaci Alex Weinert, riaditeľ spoločnosti Microsoft pre identifikáciu bezpečnosti, predložil niektoré štatistiky, ktoré ukazujú, aké irelevantné môžu byť tieto obavy.
Takmer všetky ohrozené podnikové účty nepoužívajú MFA
Údaje, ktoré Weinert predstavil ako podnikových používateľov Azure AD, systému riadenia identity a prístupu spoločnosti Microsoft a pôsobia ako dôkaz (ako keby bol potrebný dôkaz), že obchodné cloudové účty sú neustále ohrozované. Iba v mesiaci január Microsoft zistil úspešné útoky proti nie menej ako 1,2 miliónov účtov. Podľa Weinert to predstavuje 0,5% všetkých používateľov, čo nemusí znieť rovnako, ale keď si uvedomíte, že ide iba o mesačné štatistiky, veci začnú vyzerať trochu znepokojujúcejšie. Ešte desivejšie je však zjavná prevencia všetkých týchto útokov.
Neuveriteľných 99.9% všetkých úspešne kompromitovaných účtov nebolo chránených prostredníctvom makrofinančnej pomoci., čo skutočne ukazuje, ako veľmi niekedy môže byť nesprávne umiestnené zameranie. Zatiaľ čo ľudia nedokážu zapnúť overovanie s viacerými faktormi, pretože sa obávajú, že motivovaný útočník môže ukradnúť svoje dočasné kódy, samotní útočníci sa rozpadajú na účty bez toho, aby takéto kódy vôbec potrebovali. Je zrejmé, že miera adopcie je stále nízka, a hoci vedci v oblasti bezpečnosti, ktorí objavia nedostatky v systémoch 2FA, robia to pre väčšie dobro každého, poukazujúc na slabé stránky, neúmyselne odrádzajú ľudí od tejto funkcie. Je potrebné povedať, že to nie je jediný problém.
Hackerom tiež pomáhajú staršie autentifikačné protokoly a zlá správa hesiel
Nesmieme zabudnúť, že hovoríme o obchodných účtoch, čo okamžite komplikuje situáciu. Ako Microsoft zdôraznil, MFA často nie je pre používateľov ani možnosťou.
Podľa najpopulárnejšieho dodávateľa OS na svete je veľká väčšina útokov na prevzatie účtu zameraná na organizácie, ktoré používajú to, čo Microsoft nazýva „staršie overenie“. Tieto organizácie vybudovali celú svoju IT infraštruktúru na základe starých protokolov, ktoré nepovoľujú 2FA vôbec. Útočníci samozrejme vedia, aké slabé môžu byť tieto protokoly, a nebudú sa vyhýbať využívaniu tejto skutočnosti. Nanešťastie prechod na modernejší a bezpečnejší autentifikačný systém často vyžaduje veľa práce a prestoje, ktoré si spoločnosti jednoducho nemôžu dovoliť, čo znamená, že používatelia nikdy nedostanú šancu používať dvojfaktorové overenie. To by však nemalo byť ospravedlnením ich zlej bezpečnosti účtu.
Alex Weinert vo svojej prezentácii uviedol, že hackeri použili rozprašovanie hesla na prienik do približne 40% januárových kompromitovaných účtov. Pri útoku na striekanie hesla používajú počítačoví zločinci pomerne krátky zoznam bežne používaných hesiel a snažia sa ich použiť proti širšiemu okruhu užívateľských mien. Pretože veľa ľudí má tendenciu používať bežné, ľahko uhádnuteľné heslá, útoky sú často úspešné.
Ďalších 40% 1,2 miliónov účtov, ktoré boli rozdelené počas prvého mesiaca roka, sa stalo obeťou porušenia opakovaných útokov. Opakované porušenie je zrejme termín spoločnosti Microsoft pre zabezpečenie dôveryhodných údajov, počas ktorého hackeri používajú užívateľské mená a heslá ukradnuté z jednej online služby na otváranie účtov na viacerých iných webových stránkach. Znova nedbanlivý prístup ľudí k bezpečnosti ich účtov a ich tendencia opakovane používať heslá spôsobujú, že útok je veľmi úspešný.
Teoreticky je prevencia útokov na prevzatie účtu v podnikovom prostredí relatívne jednoduchá práca, ale skutočnosťou je, že v hre je dosť málo faktorov. Objavenie zraniteľností spochybňuje účinnosť 2FA, čo v spojení so skutočnosťou, že táto funkcia nie je k dispozícii vo všetkých podnikových systémoch, vedie k zlým číslam adopcie.
Na skutočné zlepšenie stavu vecí si musia ľudia uvedomiť, aké dôležité je správne spravovanie hesiel. Spoločnosti a poskytovatelia služieb musia urobiť všetko, čo je v ich silách, aby zabezpečili, že dodatočná bezpečnosť, ktorú poskytuje 2FA, je vždy k dispozícii, a používatelia by sa mali vyrovnať so skutočnosťou, že hoci nejde o všeliek, táto jednoduchá vlastnosť môže často znamenať rozdiel medzi ohrozený účet a bezpečný.