Je push 2FA stále bezpečný?

Áno, ak používa zhodu čísel alebo overenie geografického kontextu, ktoré teraz väčšina veľkých poskytovateľov vyžaduje štandardne. Obyčajné výzvy „schváliť/zamietnuť“ bez zhody čísel zostávajú náchylné na únavu MFA. Skontrolujte nastavenia aplikácie na overovanie totožnosti – ak zobrazuje iba tlačidlo, aktivujte zhodu čísel tam, kde táto možnosť existuje.

Sú SMS kódy bezpečnejšie ako push notifikácie?

Rôzne modely hrozieb. SMS je citlivá na výmenu a odpočúvanie SIM; push 2FA je náchylný na únavu MFA, keď je implementovaný naivne. Moderné push s párovaním čísel je zmysluplne bezpečnejšie ako SMS. Hardvérové klávesy porazia oboje.

Prečo by používateľ schvaľoval výzvu, ktorú neinicioval?

Mrzutosť, zmätok, spoločenský tlak. Používateľ, ktorý dostane 50 výziev za 10 minút, predpokladá, že je niečo pokazené, a poklepaním zastaví. Pridajte telefonát od niekoho, kto tvrdí, že je IT, a niekedy to schvália aj opatrní používatelia. Kognitívna záťaž + skriptovaná manipulácia funguje.

Môže únava MFA fungovať bez hesla?

Nie – útočník potrebuje na spustenie výziev najprv pracovné poverenia. Obranná vrstva nižšie sú silné jedinečné heslá + monitorovanie narušenia. Ak vaše heslo ešte nie je v rukách útočníkov, únava z MFA sa nemôže spustiť.

Mali by sme jednoducho odstrániť push 2FA?

Nie je potrebné, ak sa dobre implementuje. Verzia s párovaním čísel je dostatočne robustná pre väčšinu modelov hrozieb. Odstránenie tlačenia a návrat iba na TOTP je náročné na trenie; pre rovnaké účty sú hardvérové kľúče zvyčajne lepšou cestou aktualizácie.

Vysvetlenie únavových útokov MFA: Ako sa útočníci dostávajú cez vaše push notifikácie

Viacfaktorová autentifikácia založená na push je pohodlná – ťuknite na „schváliť“ na svojom telefóne a ste v tom. Vytvoril sa tiež vzor útoku nazývaný únava z MFA, kde vás útočník, ktorý má heslo, zaplaví upozorneniami push, kým neklepnete na áno, aby ich zastavil. Porušenia Uber a Cisco v roku 2022 začali týmto spôsobom.

Celé telo článku je uvedené v angličtine nižšie.

MFA únava (tiež nazývaná MFA bombardovanie alebo rýchle bombardovanie) je sociálno-inžiniersky útok proti push-notification 2FA. Útočník má heslo obete, ale je blokovaný druhým faktorom. Ich riešenie: opakovane spúšťajte výzvu na zatlačenie – desiatky alebo stovky krát – kým obeť neklepne na súhlas. Útočník niekedy zavolá aj obeti a vydáva sa za IT podporu: „Stačí schváliť výzvu a problém vyriešime.“

Ako push 2FA normálne funguje

Keď sa prihlásite pomocou používateľského mena a hesla, server odošle upozornenie na váš registrovaný telefón cez Duo, Microsoft Authenticator, Okta Verify alebo podobne. Vidíte "Schváliť prihlásenie z ?" a klepnite na áno alebo nie. Pohodlné a oveľa lepšie ako SMS – kým útočník nezíska vaše heslo.

Útočná mechanika

Attacker získa heslo obete (phishing, získanie poverení z predchádzajúceho narušenia, zakúpené na dark-webových trhoch).
Attacker iniciuje prihlásenie. Na telefóne obete sa spustí upozornenie push.
Obeť odmieta. Alebo to nevidí.
Útočník to zopakuje. Znova zatlačte požiare. A znova. A znova.
Obeť – rozčúlená, zmätená alebo v domnení, že je aplikácia zaseknutá – klepne na súhlas.
Attacker je in.

Varianty kombinujú výzvu typu push spam s telefonátom od útočníka, pričom obeť predstiera, že ide o podporu IT. problém."

Známe príklady

Uber (september 2022) — 18-ročný útočník kúpil poverenia dodávateľa, rozosielal nevyžiadané výzvy MFA a potom mu poslal správu na WhatsApp. Tvrdil, že je IT. Dodávateľ schválený. Útočník mal prístup k interným systémom vrátane platformy bug-buunty bezpečnostného tímu, kde útočník zverejnil snímky obrazovky.
Cisco (máj 2022) – útočníci napadli osobný účet Google zamestnanca spoločnosti Cisco, ktorý uložil poverenia spoločnosti Cisco. Spamovali výzvy aplikácie Duo a pomocou hlasového phishingu presvedčili zamestnanca, aby to prijal.
Microsoft (2022-2023) – skupina Lapsus$ vo veľkej miere využívala únavu z MFA proti zamestnancom viacerých spoločností. zlyhá.
Obrana
- Kódy na zhodu/overenie čísel. Namiesto „schváliť/zamietnuť“ server zobrazí na prihlasovacej obrazovke 2-miestne číslo; výzva push požiada používateľa, aby na svojom telefóne zadal rovnaké číslo. Útočník nevidí číslo; používateľ nemôže náhodne schváliť. Microsoft, Google, Duo, Okta to všetko zaviedli ako predvolené do roku 2024.
- Hardvérové kľúče FIDO2. Nemožno unaviť MFA – kláves sa podpisuje len pri fyzickom klepnutí a podpis je viazaný na pôvod (porazí aj phishing 5Z5ZXXPL6PLXPLX). limiting. Blokovať opakované pokusy o výzvu; uzamknutie účtu po malom počte neúspešných výziev.
- Autentifikácia založená na riziku. Prihlásenia z neobvyklých geografických oblastí, neobvyklých zariadení alebo neobvyklých časov vyžadujú prísnejšie overenie.
- Vzdelávanie používateľa. Nikdy neškolte zamestnancov, ktorí sa pokúšajú prelomiť nevyžiadané heslo a neznamená, že niekto iniciovať.
Prečo je dôležitá úroveň vzdelávania používateľov
Technická ochrana je skutočná a nevyhnutná, ale základná zraniteľnosť je ľudská. Dokonca aj pri zhode čísel môže útočník uspieť pri hlasovom hovore, ktorý používateľovi povie, aké číslo má zadať. Hardvérové kľúče porazia celú triedu, pretože si vyžadujú fyzické vlastníctvo, ale ich zavedenie pre veľké pracovné sily je drahé a prevádzkovo zložité.
Najúčinnejšia kombinácia: hardvérové kľúče pre účty s najvyššou hodnotou a správcovských používateľov, číselne prispôsobené push pre všetkých ostatných, s pravidelnými simuláciami phishingu, ktoré zahŕňajú scenáre únavy MFA.
Čo môžu jednotlivci urobiť
- Ak dostanete upozornenie push, ktoré ste neiniciovali, odmietnite ho. Potom si zmeňte heslo – vaše prihlasovacie údaje sú ohrozené. Skutočné IT od vás nebude žiadať schválenie výzvy na opravu čohokoľvek.
- Prepnite na autentifikátor na zhodu čísiel, ak je k dispozícii (väčšina z nich ho podporuje).
- Pre účty, na ktorých vám skutočne záleží, nastavte hardvérový kľúč – jediná najefektívnejšia obrana.
- Považujte opakované nevyžiadané výzvy za vážny incident. Informujte svoj IT tím a okamžite zmeňte poverenia.

Často kladené otázky

Je push 2FA stále bezpečný?: Áno, ak používa zhodu čísel alebo overenie geografického kontextu, ktoré teraz väčšina veľkých poskytovateľov vyžaduje štandardne. Obyčajné výzvy „schváliť/zamietnuť“ bez zhody čísel zostávajú náchylné na únavu MFA. Skontrolujte nastavenia aplikácie na overovanie totožnosti – ak zobrazuje iba tlačidlo, aktivujte zhodu čísel tam, kde táto možnosť existuje.
Sú SMS kódy bezpečnejšie ako push notifikácie?: Rôzne modely hrozieb. SMS je citlivá na výmenu a odpočúvanie SIM; push 2FA je náchylný na únavu MFA, keď je implementovaný naivne. Moderné push s párovaním čísel je zmysluplne bezpečnejšie ako SMS. Hardvérové klávesy porazia oboje.
Prečo by používateľ schvaľoval výzvu, ktorú neinicioval?: Mrzutosť, zmätok, spoločenský tlak. Používateľ, ktorý dostane 50 výziev za 10 minút, predpokladá, že je niečo pokazené, a poklepaním zastaví. Pridajte telefonát od niekoho, kto tvrdí, že je IT, a niekedy to schvália aj opatrní používatelia. Kognitívna záťaž + skriptovaná manipulácia funguje.
Môže únava MFA fungovať bez hesla?: Nie – útočník potrebuje na spustenie výziev najprv pracovné poverenia. Obranná vrstva nižšie sú silné jedinečné heslá + monitorovanie narušenia. Ak vaše heslo ešte nie je v rukách útočníkov, únava z MFA sa nemôže spustiť.
Mali by sme jednoducho odstrániť push 2FA?: Nie je potrebné, ak sa dobre implementuje. Verzia s párovaním čísel je dostatočne robustná pre väčšinu modelov hrozieb. Odstránenie tlačenia a návrat iba na TOTP je náročné na trenie; pre rovnaké účty sú hardvérové kľúče zvyčajne lepšou cestou aktualizácie.

Ako push 2FA normálne funguje

Útočná mechanika

Známe príklady

Obrana

Prečo je dôležitá úroveň vzdelávania používateľov

Čo môžu jednotlivci urobiť

Často kladené otázky