A Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) átfogó figyelmeztetést adott ki a felhasználóknak a rövid üzenetszolgáltatásra (SMS) támaszkodó többtényezős hitelesítés (MFA) kockázataira vonatkozóan.
Ez az ajánlás a A CISA új „Mobile Communications Best Practice Guidance” című dokumentuma, amelynek célja a mobilkommunikáció biztonságának megerősítése, különösen a megcélzott személyek számára. kifinomult kibertámadások.
A 2024. december 18-án közzétett tájékoztató egyre növekvő kiberfenyegetések közepette, különösen az érzékeny kommunikációt célzó, államilag támogatott szereplők részéről.
„Az SMS MFA nem adathalászat-ellenálló és ezért nem erős hitelesítés erősen megcélzott személyek fiókjainál” – áll a tanácsadó, aláhúzva az ügynökség biztonságosabb alternatívák iránti kérését. mint a Fast Identity Online (FIDO) hitelesítési protokollok.
Kapcsolódó: Kritikus Microsoft MFA-kiskapuk milliónyi felhasználói fiókot kitéve
Miért sebezhető az SMS MFA
Az SMS-alapú MFA egyszerűsége és széles körben elterjedtsége miatt régóta népszerű választás az online fiókok biztosítására. A CISA azonban két fő sebezhetőséget azonosít, amelyek miatt az SMS MFA nem megfelelő a modern kiberbiztonsági kihívásokhoz.
Először is, az SMS-üzenetek továbbítása egyszerű szöveggel történik, így a távközlési hálózatokhoz hozzáférő támadók elfoghatják őket. Másodszor, az SMS MFA-nak nincs adathalászat-ellenállása, ami azt jelenti, hogy a fenyegetés szereplői könnyen megtéveszthetik a felhasználókat, hogy megosszák hitelesítési kódjaikat csalárd üzeneteken vagy webhelyeken.
Kapcsolódó: Az AWS debütált az incidensekre adott válaszszolgáltatással a rohamosan rohamosan növekvő kiberrel Fenyegetések
Ezeket a sebezhetőségeket államilag támogatott szereplők használták ki, különösen azok, akik Kínába. Az ilyen szereplők a telekommunikációs infrastruktúrát célozták meg az SMS-üzenetek lehallgatása és az érzékeny fiókok veszélyeztetése érdekében.
Tanácsában a CISA arra figyelmeztet, hogy a magas kockázatú személyek, mint például a kormányzati tisztviselők és a kritikus infrastruktúrában dolgozók, különösen ki vannak téve a támadások ilyen formáinak.
Az átmenet Adathalászat-ellenálló hitelesítés
E kockázatok kezelése érdekében a CISA az adathalászat-ellenálló MFA-módszerekre való átállást javasolja, nagy hangsúlyt fektetve FIDO-hitelesítés. A FIDO protokollok kriptográfiai kulcsokat használnak fel a felhasználók hitelesítésére anélkül, hogy érzékeny adatokat továbbítanának nem biztonságos hálózatokon.
A hardver alapú biztonsági kulcsok, például a Yubico vagy a Google Titan a legerősebbek opció, bár a FIDO jelszavak – digitális kriptográfiai hitelesítő adatok – szintén elfogadható alternatíváknak minősülnek.
„A FIDO-alapú regisztrációt követően hitelesítést, tiltsa le az MFA egyéb, kevésbé biztonságos formáit”– tanácsolja az útmutatás. Ez biztosítja, hogy a tartalék opciók, például az SMS-ek, ne okozzanak véletlenül kihasználható sebezhetőséget.
Kapcsolódó: Microsoft Frissíti a Windows 11 WebAuthn API-kat, hogy engedélyezze a harmadik féltől származó jelszót
Tágabb körű ajánlások mobileszközökhöz Biztonság
A CISA útmutatásai az SMS MFA elleni tanácsok mellett számos bevált gyakorlatot is tartalmaznak a mobilkommunikáció biztosítására. Ezek közé tartozik a végpontok közötti titkosított üzenetküldő platformok, például a Signal alkalmazása gondoskodjon róla, hogy a kommunikáció privát és védett maradjon. A CISA emellett azt javasolja, hogy jelszókezelőket használjanak egyedi jelszavak generálására és biztonságos tárolására, ezáltal csökkentve annak kockázatát, hogy a gyenge vagy újrafelhasznált hitelesítő adatok miatt feltörjenek a fiókok.
A figyelmeztetés a személyes virtuális magánhálózatok (VPN) használatára is figyelmeztet. , kijelentve, hogy áthelyezhetik a sebezhetőségeket az internetszolgáltatókról a VPN-szolgáltatókra. Ehelyett a szervezeteket arra ösztönzik, hogy vállalati szintű megoldásokat használjanak, ha VPN-hozzáférésre van szükség.
Kapcsolódó: AI által vezérelt rosszindulatú programok: Hogyan célozzák meg a hamis alkalmazások és CAPTCHA-k a Windows-és macOS-felhasználókat
p>
A FIDO hitelesítés megértése
Fast Identity Online (FIDO) hitelesítés jelentős előrelépést jelent a fiókbiztonság terén. A hagyományos MFA-módszerekkel ellentétben a FIDO nyilvános kulcsú titkosításra támaszkodik a felhasználók hitelesítéséhez.
Amikor a felhasználó regisztrál egy eszközt, egy privát kriptográfiai kulcs generálódik és biztonságosan tárolódik az eszközön, míg a megfelelő nyilvános kulcs a szerveren. A bejelentkezés során az eszköz a privát kulccsal aláír egy szerver kihívást, biztosítva, hogy érzékeny információk soha ne hagyják el az eszközt.
Ez a módszer erőteljes védelmet nyújt az adathalászat és a köztes támadások ellen, így alapvető eszköz a nagy értékű számlák védelméhez. A továbbított kódok szükségességének kiküszöbölésével a FIDO-hitelesítés megszünteti az SMS MFA-ban rejlő alapvető sebezhetőségeket.
A szélesebb körű kiberbiztonsági kontextus
A CISA útmutatása egy nagyobb erőfeszítéseket tesznek az államilag támogatott kiberszereplők növekvő fenyegetéseinek kezelésére. Az elmúlt években megszaporodtak a távközlési infrastruktúrát célzó rosszindulatú kampányok, amelyek lehetővé teszik a támadók számára, hogy elfogják a magánjellegű kommunikációt és kiszűrjék a bizalmas adatokat.
Az útmutatás kifejezetten a magas kockázatú szerepköröket betöltő személyeket célozza meg, például vezető kormányzati tisztviselőket és vállalati vezetőket, akik gyakran ezeknek a fejlett kibertámadásoknak a középpontjában állnak.
„A határozottan célzott személyeknek vállalniuk kell a felelősséget. hogy a mobileszközök közötti minden kommunikációt az elfogás vagy a manipuláció veszélye fenyegeti”– figyelmeztet az útmutató. Ez az éles értékelés tükrözi a kiberfenyegetések és hangsúlyozza az erősebb biztonsági intézkedések végrehajtásának fontosságát.
