Γράφουν η Ninoslava Bogdanović και ο Αναστάσιος Αραμπατζής
Τα εταιρικά και προσωπικά δεδομένα αποθηκεύονται σε κατανεμημένες πλατφόρμες υπολογιστικού νέφους με αυξανόμενο ρυθμό λόγω της επιτάχυνσης του ψηφιακού μετασχηματισμού σε όλους τους κλάδους και τομείς, της αυξημένης υιοθέτησης τεχνολογιών που βασίζονται στο υπολογιστικό νέφος και των υβριδικών μορφών εργασίας. Πολλές οντότητες, συμπεριλαμβανομένων εφαρμογών, οργανισμών, ανθρώπων, συσκευών κ.λπ. έχουν πρόσβαση σε αυτά τα δεδομένα.
Τα παραδοσιακά μέτρα ασφαλείας δεν είναι πλέον επαρκή για τη διασφάλιση των δεδομένων μας, επειδή τα παραδοσιακά όρια των εταιρειών έχουν συρρικνωθεί. Η ταυτότητα έχει γίνει το νέο κάστρο προς φύλαξη, ωστόσο νέα ζητήματα ασφαλείας συνδέονται με την προστασία της ταυτότητας. Για να αντιμετωπίσουν αυτή την τάση, οι επιχειρήσεις επενδύουν στην ενίσχυση των ελέγχων πρόσβασης, στη μετάβαση σε μια προσέγγιση μηδενικής εμπιστοσύνης στην κυβερνοασφάλεια και στη μεγιστοποίηση της αποτελεσματικότητας του ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
Τι είναι το MFA;
Μια στέρεη πολιτική διαχείρισης πρόσβασης πρέπει να περιλαμβάνει το MFA ως κρίσιμο στοιχείο. Το MFA είναι απαραίτητο για τον περιορισμό της ικανότητας των επιτιθέμενων να κλέβουν τις ψηφιακές μας ταυτότητες και να έχουν πρόσβαση στα συστήματά μας. Η MFA απαιτεί ένα ή περισσότερα επιπλέον στοιχεία επαλήθευσης εκτός από το όνομα χρήστη και τον κωδικό πρόσβασης, γεγονός που μειώνει την πιθανότητα επιτυχούς κυβερνοεπίθεσης.
Τι είναι η κόπωση από το MFA;
Υπάρχουν κρίσιμα στοιχεία υλοποίησης που μπορούν να επηρεάσουν την ασφάλεια και τη χρηστικότητα μιας υλοποίησης MFA και είναι σημαντικό να θυμόμαστε ότι δεν προσφέρουν όλες οι λύσεις MFA την ίδια προστασία από επιθέσεις αυθεντικοποίησης. Λόγω ελαττωμάτων στην εφαρμογή του MFA, είδαμε πολλές επιθέσεις τα δύο προηγούμενα χρόνια, όταν οι κλέφτες μπορούσαν να παρακάμψουν την προστασία MFA.
Σε τέτοιες επιθέσεις, γνωστές και ως push bombing ή κόπωση από το MFA, οι εγκληματίες του κυβερνοχώρου βομβαρδίζουν ανυποψίαστους στόχους με ειδοποιήσεις push για κινητά, ζητώντας τους να αποδεχθούν προσπάθειες εισόδου στους εταιρικούς λογαριασμούς τους με κλεμμένα διαπιστευτήρια. Τα θύματα συχνά ενδίδουν στα κακόβουλα αιτήματα push MFA που αποστέλλονται επανειλημμένα, είτε ακούσια είτε σε μια προσπάθεια να σταματήσουν να λαμβάνουν αυτό που μοιάζει με ατελείωτη ροή ειδοποιήσεων, επιτρέποντας στους επιτιθέμενους να συνδεθούν στους λογαριασμούς τους.
Ποιες είναι οι τελευταίες εξελίξεις στον έλεγχο πρόσβασης;
Για να μετριάσουν τις επιθέσεις μέσω MFA, οι τεχνολογικοί γίγαντες Google και Microsoft ανακοίνωσαν πρόσφατα δύο πρωτοβουλίες που κινούνται προς ένα ασφαλέστερο και μάλιστα χωρίς κωδικούς πρόσβασης μέλλον. Ας εξετάσουμε ποιες είναι αυτές οι εξελίξεις.
Η Google κάνει ένα βήμα προς ένα μέλλον χωρίς κωδικούς πρόσβασης.
Ο τεχνολογικός γίγαντας εγκαινίασε πρόσφατα τα passkeys, ένα είδος ψηφιακού διαπιστευτηρίου, ως επιλογή για τη δημιουργία και χρήση αντί των κωδικών πρόσβασης ως μια ασφαλέστερη και πιο πρακτική εναλλακτική λύση.
Τι είναι τα passkeys;
Τα passkeys δημιουργούνται χρησιμοποιώντας κρυπτογραφία δημόσιου κλειδιού, γνωστή και ως ασύμμετρη κρυπτογράφηση, η οποία χρησιμοποιεί ένα σύνολο ιδιωτικών και δημόσιων κλειδιών. Το ιδιωτικό κλειδί, ένα κρίσιμο μέρος του passkey, διατηρείται στη συσκευή, ενώ το δημόσιο κλειδί βρίσκεται στην πλευρά της εφαρμογής ή του ιστότοπου. Η τιμή του passkey δεν είναι προσβάσιμη στους ιστότοπους. Η Google καθορίζει αν το δημόσιο κλειδί ενός ιστότοπου αντιστοιχεί στο κλειδί πρόσβασης που χρησιμοποιεί ο χρήστης για να συνδεθεί στο λογαριασμό του.
Σε αντίθεση με έναν κωδικό πρόσβασης, αυτή η προσέγγιση ελέγχου ταυτότητας αυξάνει δραματικά την ανθεκτικότητα των λογαριασμών, επειδή το κλειδί δεν μπορεί να κλαπεί από τον ιστότοπο στον οποίο είναι αποθηκευμένο, ή να υποκλαπεί κατά τη μεταφορά. Επιπλέον, ο λογαριασμός δεν μπορεί να δεχθεί επίθεση λόγω αδύναμου κωδικού πρόσβασης ή επαναχρησιμοποίησης κωδικού πρόσβασης, καθώς δεν υπάρχει κωδικός πρόσβασης.
Εικόνα 1: Passkey. Πηγή: Google
Όπως σημείωσε η Google στην ανακοίνωσή της:
“Η χρήση κωδικών πρόσβασης θέτει μεγάλη ευθύνη στους χρήστες. Η επιλογή ισχυρών κωδικών πρόσβασης και η απομνημόνευσή τους σε διάφορους λογαριασμούς μπορεί να είναι δύσκολη. Επιπλέον, ακόμη και οι πιο έμπειροι χρήστες συχνά παραπλανώνται και τους παραδίδουν κατά τη διάρκεια προσπαθειών phishing. Το 2SV (2FA/MFA) βοηθά, αλλά και πάλι επιβαρύνει τον χρήστη με πρόσθετες, ανεπιθύμητες τριβές και εξακολουθεί να μην προστατεύει πλήρως από επιθέσεις phishing και στοχευμένες επιθέσεις όπως η “ανταλλαγή SIM” για επαλήθευση SMS. Τα Passkeys συμβάλλουν στην αντιμετώπιση όλων αυτών των ζητημάτων”.
Τα passkeys χρησιμοποιούν τις τρεις μορφές πληροφοριών που χρησιμοποιούνται συχνά στην MFA: κάτι που έχετε (όπως ένα smartphone), κάτι που είστε (όπως τα βιομετρικά σας στοιχεία) ή κάτι που γνωρίζετε (όπως ένα PIN ή ένα μοτίβο). Παρόλο που τα passkeys χαρακτηρίζονται ως ένας τύπος MFA, η FIDO Alliance ισχυρίζεται ότι αρκετοί ρυθμιστικοί οργανισμοί πρέπει ακόμη να το αναγνωρίσουν αυτό, παρόλο που προσπαθούν ενεργά να το πράξουν.
Θα ήταν καλύτερο να μην δημιουργήσετε ένα passkey στον κοινόχρηστο υπολογιστή στον χώρο της επιχείρησής σας, καθώς τα passkeys θα πρέπει να δημιουργούνται μόνο σε συσκευές που ελέγχετε μεμονωμένα. Η Google δήλωσε ότι τα passkeys για τη σύνδεση των εργαζομένων θα ενεργοποιηθούν από τους διαχειριστές λογαριασμών Workspace “σύντομα”. Καθώς οποιοσδήποτε χρησιμοποιεί τη συσκευή θα μπορούσε να έχει πρόσβαση στο λογαριασμό σας Google, δεν θα πρέπει να δημιουργήσετε ένα passkey σε κοινόχρηστες συσκευές, όπως ο οικογενειακός σας υπολογιστής. Μόλις δημιουργηθεί ένα passkey σε αυτή τη συσκευή, οποιοσδήποτε μπορεί να την ξεκλειδώσει μπορεί να συνδεθεί ξανά στο λογαριασμό σας χρησιμοποιώντας το passkey, ακόμη και αν έχετε αποσυνδεθεί.
Η Microsoft ενισχύει το MFA με αντιστοίχιση αριθμών.
Η Microsoft ανακοίνωσε ότι θα αρχίσει να επιβάλλει την αντιστοίχιση αριθμών για τις ειδοποιήσεις MFA μέσω του Microsoft Authenticator για να εμποδίσει τις προσπάθειες επίθεσης λόγω κόπωσης MFA.
“Από τις 8 Μαΐου 2023, η αντιστοίχιση αριθμών ενεργοποιείται για όλες τις ειδοποιήσεις push του Authenticator. Καθώς οι σχετικές υπηρεσίες αναπτύσσονται, οι χρήστες παγκοσμίως που έχουν ενεργοποιήσει τις ειδοποιήσεις push του Authenticator θα αρχίσουν να βλέπουν την αντιστοίχιση αριθμών στα αιτήματα έγκρισής τους”, αναφέρεται στην ανακοίνωση της εταιρείας.
Τι είναι η αντιστοίχιση αριθμών;
Η αντιστοίχιση αριθμών είναι μια ρύθμιση που αναγκάζει τον χρήστη να εισάγει τους αριθμούς που εμφανίζονται στην πλατφόρμα όπου προσπαθεί να πιστοποιηθεί στην εφαρμογή authenticator για να εγκρίνει το αίτημα, εξηγεί ο αμερικανικός οργανισμός Cybersecurity and Infrastructure Security Agency (CISA).
Εικόνα 2: Αντιστοίχιση Αριθμών. Πηγή: Microsoft
Η απαίτηση αντιστοίχισης αριθμών μειώνει την κόπωση από το MFA με την ανάγκη πρόσβασης στην οθόνη σύνδεσης για την έγκριση αιτήσεων. Όταν οι χρήστες χρησιμοποιούν το Microsoft Authenticator για να απαντήσουν σε ένα μήνυμα MFA push, θα βλέπουν έναν αριθμό. Για να ολοκληρώσουν την έγκριση, πρέπει να εισάγουν αυτόν τον αριθμό στην εφαρμογή. Οι χρήστες δεν μπορούν να εγκρίνουν αιτήματα χωρίς την εισαγωγή των αριθμών στην οθόνη σύνδεσης.
“Η αντιστοίχιση αριθμών αποτελεί βασική αναβάθμιση της ασφάλειας στις παραδοσιακές ειδοποιήσεις δεύτερου παράγοντα στο Microsoft Authenticator. Θα καταργήσουμε τους διαχειριστικούς ελέγχους και θα επιβάλουμε την εμπειρία αντιστοίχισης αριθμών σε όλη την επικράτεια για όλους τους χρήστες ειδοποιήσεων push του Microsoft Authenticator από τις 8 Μαΐου 2023”, αναφέρει η Microsoft.
Αν θέλετε να μάθετε περισσότερα για τον έλεγχο ταυτότητας πολλαπλών παραγόντων και για το πώς ο οργανισμός σας μπορεί να αναπτύξει με επιτυχία και αποτελεσματικότητα το MFA, κατεβάστε το τελευταίο μας έγγραφο, “Επιλέγοντας μια λύση ελέγχου ταυτότητας πολλαπλών παραγόντων: Πώς να αντιμετωπίσετε τις ανθρώπινες και τεχνολογικές ανησυχίες.