Je push 2FA stále bezpečný?

Ano, pokud používá shodu čísel nebo ověření geografického kontextu, které nyní většina velkých poskytovatelů vyžaduje ve výchozím nastavení. Prosté výzvy „schválit/zamítnout“ bez shody čísel zůstávají zranitelné únavou MFA. Zkontrolujte nastavení aplikace pro ověřování – pokud zobrazuje pouze tlačítko, přihlaste se k porovnávání čísel tam, kde tato možnost existuje.

Jsou SMS kódy bezpečnější než push notifikace?

Různé modely hrozeb. SMS je zranitelná vůči záměně a odposlechu SIM; push 2FA je zranitelný vůči únavě MFA, když je implementován naivně. Moderní push s párováním čísel je podstatně bezpečnější než SMS. Hardwarové klávesy porazí obojí.

Proč by uživatel schvaloval výzvu, kterou neinicioval?

Otrávenost, zmatek, společenský tlak. Uživatel, který dostane 50 výzev za 10 minut, předpokládá, že je něco rozbité, a klepnutím to zastaví. Přidejte telefonní hovor od někoho, kdo tvrdí, že je IT, a někdy to schválí i opatrní uživatelé. Kognitivní zátěž + skriptovaná manipulace funguje.

Může únava MFA fungovat bez hesla?

Ne – útočník potřebuje nejprve funkční přihlašovací údaje, aby mohl spustit výzvy. Obranná vrstva níže jsou silná unikátní hesla + monitorování narušení. Pokud vaše heslo ještě není v rukou útočníků, únava MFA nemůže začít.

Měli bychom prostě odstranit push 2FA?

Není nutné, pokud je dobře implementováno. Verze s párováním čísel je dostatečně robustní pro většinu modelů hrozeb. Odstranění tlaku a návrat pouze k TOTP je náročný na tření; pro stejné účty jsou hardwarové klíče obvykle lepší cestou upgradu.

Vysvětlení únavových útoků MFA: Jak se útočníci dostanou přes vaše push notifikace

Vícefaktorová autentizace založená na push je pohodlná – klepněte na telefonu na „schválit“ a jste v tom. Vytvořil také vzorec útoku nazvaný únava z MFA, kdy vás útočník, který má heslo, zaplaví oznámeními push, dokud neklepnete na ano, abyste ho zastavili. Porušení Uberu a Cisco v roce 2022 začalo tímto způsobem.

Celé tělo článku je uvedeno níže v angličtině.

MFA únava (také nazývané MFA bombardování nebo rychlé bombardování) je sociálně-inženýrský útok proti push-notification 2FA. Útočník má heslo oběti, ale je blokován druhým faktorem. Jejich řešení: spouštějte výzvu k zatlačení opakovaně – desítky nebo stovkykrát – dokud oběť neschválí klepnutí. Někdy útočník také zavolá oběti a vydává se za IT podporu: „Stačí schválit výzvu a problém vyřešíme.“

Jak push 2FA normálně funguje

Když se přihlásíte pomocí uživatelského jména a hesla, server odešle oznámení na váš registrovaný telefon přes Duo, Microsoft Authenticator, Okta Verify nebo podobné. Vidíte "Schválit přihlášení z ?" a klepněte na ano nebo ne. Pohodlné a mnohem lepší než SMS – dokud útočník nezná vaše heslo.

Útočná mechanika

Attacker získá heslo oběti (phishing, nacpání pověření z předchozího narušení, zakoupené na dark-webových trzích).
Attacker zahájí přihlášení. Na telefonu oběti se spustí oznámení push.
Oběť odmítá. Nebo to nevidí.
Útočník se pokusí znovu. Push fires znovu. A znovu. A znovu.
Nakonec oběť – naštvaná, zmatená nebo si myslí, že se aplikace zasekla – klepne na souhlas.
Attacker je in.

Varianty kombinují push spam s telefonátem od útočníka, „procházejíce zabezpečením, že oběť je IT podpora“. problém."

Slavné příklady

Uber (září 2022) — 18letý útočník koupil přihlašovací údaje dodavatele, zasílal nevyžádané výzvy MFA a poté mu poslal zprávu na WhatsApp. Tvrdil, že je IT. Dodavatel schválen. Útočník měl přístup k interním systémům, včetně platformy bug-buunty bezpečnostního týmu, kam útočník zveřejnil snímky obrazovky.
Cisco (květen 2022) – útočníci napadli osobní účet Google zaměstnance společnosti Cisco, který uložil přihlašovací údaje společnosti Cisco. Spamovali výzvy aplikace Duo a pomocí hlasového phishingu přesvědčili zaměstnance, aby to přijal.
Microsoft (2022-2023) – skupina Lapsus$ značně využívala únavu MFA proti zaměstnancům více společností.

Vrstva schvalování hesel je konzistentní sociální vektor: porušení selže.

Obrana

Kódy pro shodu/ověřování čísel. Místo pouhého „schválit/zamítnout“ server zobrazí na přihlašovací obrazovce dvoumístné číslo; výzva push uživatele požádá, aby na svém telefonu zadal stejné číslo. Útočník toto číslo nevidí; uživatel nemůže náhodou schválit. Microsoft, Google, Duo, Okta to všechny zavedly jako výchozí do roku 2024.
Hardwarové klíče FIDO2. Nelze unavovat MFA – klíč se podepisuje pouze při fyzickém klepnutí a podpis je vázán na zdroj (poražení i phishingu (poražení i phishingu). limiting. Blokovat opakované pokusy o výzvu; uzamknout účet po malém počtu neúspěšných výzev.
Autentizace na základě rizika. Přihlášení z neobvyklých geografických oblastí, neobvyklých zařízení nebo neobvyklých časů vyžadují přísnější ověření.
Vzdělávání uživatele. Nikdy neškolte zaměstnance, kteří se snaží prolomit nevyžádané heslo a neznamená to, že někdo zahájit.

Proč je důležitá vrstva vzdělávání uživatelů

Technická obrana je skutečná a nezbytná, ale základní zranitelnost je lidská. I při shodě čísel může útočník uspět při hlasovém hovoru, který uživateli sdělí číslo, které má zadat. Hardwarové klíče porazí celou třídu, protože vyžadují fyzické držení, ale jejich zavedení pro velké pracovní síly je drahé a provozně složité.

Nejúčinnější kombinace: hardwarové klíče pro účty s nejvyšší hodnotou a administrátory, číselně odpovídající push pro všechny ostatní, s pravidelnými simulacemi phishingu, které zahrnují scénáře únavy MFA.

Co mohou jednotlivci udělat

Pokud obdržíte oznámení push, které jste neiniciovali, odmítněte ho. Poté změňte heslo – vaše přihlašovací údaje jsou ohroženy. Skutečné IT vás nebude žádat, abyste schválili výzvu k opravě čehokoli.
Přepněte na ověřovací zařízení pro porovnávání čísel, pokud je k dispozici (podporuje jej většina hlavních).
Pro účty, na kterých vám opravdu záleží, nastavte hardwarový klíč – jediná nejúčinnější obrana.
Považujte opakované nevyžádané výzvy za vážný incident. Informujte svůj IT tým a okamžitě změňte přihlašovací údaje.

Často kladené otázky

Je push 2FA stále bezpečný?: Ano, pokud používá shodu čísel nebo ověření geografického kontextu, které nyní většina velkých poskytovatelů vyžaduje ve výchozím nastavení. Prosté výzvy „schválit/zamítnout“ bez shody čísel zůstávají zranitelné únavou MFA. Zkontrolujte nastavení aplikace pro ověřování – pokud zobrazuje pouze tlačítko, přihlaste se k porovnávání čísel tam, kde tato možnost existuje.
Jsou SMS kódy bezpečnější než push notifikace?: Různé modely hrozeb. SMS je zranitelná vůči záměně a odposlechu SIM; push 2FA je zranitelný vůči únavě MFA, když je implementován naivně. Moderní push s párováním čísel je podstatně bezpečnější než SMS. Hardwarové klávesy porazí obojí.
Proč by uživatel schvaloval výzvu, kterou neinicioval?: Otrávenost, zmatek, společenský tlak. Uživatel, který dostane 50 výzev za 10 minut, předpokládá, že je něco rozbité, a klepnutím to zastaví. Přidejte telefonní hovor od někoho, kdo tvrdí, že je IT, a někdy to schválí i opatrní uživatelé. Kognitivní zátěž + skriptovaná manipulace funguje.
Může únava MFA fungovat bez hesla?: Ne – útočník potřebuje nejprve funkční přihlašovací údaje, aby mohl spustit výzvy. Obranná vrstva níže jsou silná unikátní hesla + monitorování narušení. Pokud vaše heslo ještě není v rukou útočníků, únava MFA nemůže začít.
Měli bychom prostě odstranit push 2FA?: Není nutné, pokud je dobře implementováno. Verze s párováním čísel je dostatečně robustní pro většinu modelů hrozeb. Odstranění tlaku a návrat pouze k TOTP je náročný na tření; pro stejné účty jsou hardwarové klíče obvykle lepší cestou upgradu.