Μύθος 1: Ο έλεγχος ταυτότητας μέσο κινητού είναι ασφαλής.
Το κινητό για έλεγχο ταυτότητας είναι απλά ένα μύθος και σήμερα θα αναφερθούμε στον έναν από τους πέντε λόγους. Σε επόμενα άρθρα θα αναφερθούμε αναλυτικά και στους 5 λόγους για τους οποίους δεν πρέπει να χρησιμοποιείται το κινητό για έλεγχο ταυτότητας.
Καθώς οι οργανισμοί κινούνται προς τον νέο τρόπο εργασίας, όπου η απομακρυσμένη και η υβριδική εργασία είναι ο μακροπρόθεσμος κανόνας, είναι επιτακτική ανάγκη να συνειδητοποιήσουμε ότι η βάση στην περιμετρική ασφάλεια δεν είναι πλέον αποτελεσματική και ότι οι παλαιού τύπου, αδύναμες μέθοδοι ελέγχου ταυτότητας, όπως ονόματα χρήστη και κωδικοί πρόσβασης, και οι έλεγχοι ταυτότητας που βασίζονται σε κινητά, μπορούν να θέσουν τον οργανισμό σας σε κίνδυνο εισβολής και σε υποκλοπές. Οι οργανισμοί που χρησιμοποιούν σήμερα έλεγχο ταυτότητας με ονόματα χρήστη και κωδικούς πρόσβασης ή αυτοί που χρησιμοποιούν συσκευές ελέγχου ταυτότητας που βασίζονται σε κινητά ή άλλες μορφές παλαιού τύπου MFA θα πρέπει να επανεκτιμήσουν τη μακροπρόθεσμη στρατηγική MFA τους και να εξετάσουν το ενδεχόμενο μετάβασης σε σύγχρονες λύσεις MFA.
5 κορυφαίες παρανοήσεις.
#1: Ο έλεγχος ταυτότητας μέσω κινητού είναι ασφαλής
#2: Ο έλεγχος ταυτότητας για κινητά είναι οικονομικός
#3: Ο έλεγχος ταυτότητας για κινητά είναι φιλικός προς το χρήστη
#4: Ο έλεγχος ταυτότητας για κινητά προσφέρει κάλυψη 360 μοιρών
#5: Ο έλεγχος ταυτότητας για κινητά είναι ασφαλής για το μέλλον
Ο έλεγχος ταυτότητας μέσω κινητού είναι ασφαλής;
Πραγματικότητα: Ο έλεγχος ταυτότητας μέσω κινητού θέτει τους οργανισμούς σε κίνδυνο
Είναι σημαντικό να θυμάστε ότι οι κινητές συσκευές έχουν κατασκευαστεί για επικοινωνία και όχι για ασφάλεια. Πολλές επιχειρήσεις πιστεύουν ότι «ο έλεγχος ταυτότητας για κινητά είναι αρκετά καλός». Αλλά πραγματικά, κάθε εργαλείο ελέγχου ταυτότητας για κινητά μπορεί να υποβληθεί σε ηλεκτρονικό ψάρεμα.
Στον έλεγχο ταυτότητας πολλών παραγόντων (MFA) που βασίζεται σε κινητά, ο δεύτερος παράγοντας συνδέεται με την κινητή συσκευή. Αυτή είναι μια κόκκινη σημαία, λόγω τριών πτυχών: δεν υπάρχει πραγματική εγγύηση ότι το ιδιωτικό κλειδί καταλήγει σε ένα ασφαλές στοιχείο στην κινητή συσκευή, ο κωδικός OTP ή το ιδιωτικό κλειδί θα μπορούσε να υποκλαπεί με κάποιο τρόπο και είναι αδύνατο να διασφαλιστεί απόδειξη κατοχής· ή με τους όρους του Εθνικού Ινστιτούτου Προτύπων και Τεχνολογίας (NIST) — είναι αδύνατο να αποδειχθεί ότι είναι ανθεκτικό στην πλαστοπροσωπία. Οι φορητές συσκευές έχουν μια μεγάλη επιφάνεια επίθεσης που περιλαμβάνει τις εφαρμογές, τα λειτουργικά συστήματα, την τεχνολογία ασφαλών στοιχείων και την επικοινωνία, το ένα το άλλο φορέα επίθεσης — για να μην αναφέρουμε την επίπτωση σε περίπτωση απώλειας ή κλοπής μιας συσκευής, εξαλείφει επίσης κάθε πρόσβαση σε 2FA/MFA και στη συνέχεια τις εφαρμογές.
Οι σημερινοί χάκερ πειράζουν ολοένα και περισσότερο κωδικούς μίας χρήσης και ωθούν ειδοποιήσεις μέσω υποκλοπής ή ηλεκτρονικού ψαρέματος, με τον εισβολέα και την κατάληψη του λογαριασμού να είναι αόρατοι στον χρήστη. Ο κίνδυνος υποκλοπής SMS είναι τόσο υψηλός που το NIST ζήτησε να καταργηθεί το SMS ως μέθοδος ελέγχου ταυτότητας.
Σε ένα πρόσφατο άρθρο του VICE, ένας χάκερ έδειξε πόσο εύκολο ήταν να ανακατευθύνει τα μηνύματα κειμένου για να καταλάβει τους λογαριασμούς ενός εθελοντή στα μέσα κοινωνικής δικτύωσης. Το μόνο που χρειάστηκαν ήταν μόλις 16 $ και λίγα δευτερόλεπτα για την πλήρη και αόρατη ανάληψη λογαριασμών που προστατεύονταν από το MFA που βασίζεται στο OTP.
Οι σημερινοί εγκληματίες του κυβερνοχώρου έχουν στη διάθεσή τους άφθονα και φθηνά εργαλεία για να δημιουργήσουν ιστότοπους ηλεκτρονικού ψαρέματος, να εισάγουν κακόβουλο λογισμικό στη συσκευή, να υποκλέψουν μηνύματα κειμένου ή να χρησιμοποιήσουν την εναλλαγή SIM για να υποκλέψουν, να παρακάμψουν ή με άλλον τρόπο να αποτρέψουν την παλαιού τύπου MFA με τρόπο που είναι σχεδόν μη ανιχνεύσιμος στον τελικό χρήστη .
Κάθε συσκευή ελέγχου ταυτότητας κινητού μπορεί να χακαριστεί.
Οι υποκλοπές των λογαριασμών συμβαίνουν όταν ένας χάκερ αποκτά με επιτυχία πρόσβαση στα διαπιστευτήρια ενός χρήστη. Αυτό μπορεί να προέλθει από πολλές μορφές:
- Ηλεκτρονικο Ψάρεμα
- Συνεχείς προσπάθεις με κλεμμένα διαπιστευτήρια
- Μαζική επίθεση με τυχαία διαπιστευτήρια
- Man-in-the-Middle (MiTM)
- Κακόβουλο λογισμικό
- OAuth phishing
- Ανταλλαγή SIM (SIM swapping)
Πηγή: Yubico