การกด 2FA ยังปลอดภัยหรือไม่?

ได้ หากใช้การจับคู่ตัวเลขหรือการตรวจสอบบริบททางภูมิศาสตร์ ซึ่งผู้ให้บริการรายใหญ่ส่วนใหญ่กำหนดให้เป็นค่าเริ่มต้น ข้อความแจ้ง "อนุมัติ/ปฏิเสธ" ธรรมดาที่ไม่มีหมายเลขตรงกันจะยังคงมีความเสี่ยงต่อความเหนื่อยล้าจาก MFA ตรวจสอบการตั้งค่าของแอปยืนยันตัวตนของคุณ — หากปรากฏเพียงปุ่มเดียว ให้เลือกใช้การจับคู่ตัวเลขในตำแหน่งที่มีตัวเลือกนั้นอยู่

รหัส SMS ปลอดภัยกว่าการแจ้งเตือนแบบพุชหรือไม่

รูปแบบภัยคุกคามที่แตกต่างกัน SMS เสี่ยงต่อการสลับซิมและการสกัดกั้น push 2FA เสี่ยงต่อความเหนื่อยล้าของ MFA เมื่อนำไปใช้อย่างไร้เดียงสา การพุชสมัยใหม่ที่มีการจับคู่หมายเลขนั้นปลอดภัยกว่า SMS อย่างมาก ปุ่มฮาร์ดแวร์เอาชนะทั้งสองอย่าง

เหตุใดผู้ใช้จึงอนุมัติพร้อมท์ที่พวกเขาไม่ได้เริ่มต้น

ความรำคาญ ความสับสน ความกดดันทางสังคม ผู้ใช้ที่ได้รับการแจ้งเตือน 50 ครั้งใน 10 นาทีถือว่ามีบางอย่างเสียหายและแตะเพื่อหยุด เพิ่มการโทรจากบุคคลที่อ้างว่าเป็นฝ่ายไอที และแม้แต่ผู้ใช้ที่ระมัดระวังในบางครั้งก็อนุมัติ โหลดทางปัญญา + การจัดการสคริปต์ทำงานได้

ความเหนื่อยล้าของ MFA สามารถทำงานได้โดยไม่ต้องใช้รหัสผ่านหรือไม่

ไม่ ผู้โจมตีต้องใช้ข้อมูลประจำตัวที่ใช้งานได้ก่อนจึงจะเรียกใช้การแจ้งเตือนได้ เลเยอร์การป้องกันด้านล่างคือรหัสผ่านที่แข็งแกร่งเฉพาะตัว + การตรวจสอบการละเมิด หากรหัสผ่านของคุณไม่อยู่ในมือของผู้โจมตี ความเหนื่อยล้าของ MFA จะไม่สามารถเริ่มต้นได้

เราควรลบ push 2FA ออกไหม?

ไม่จำเป็นหากปฏิบัติอย่างดี เวอร์ชันที่มีการจับคู่ตัวเลขนั้นแข็งแกร่งเพียงพอสำหรับโมเดลภัยคุกคามส่วนใหญ่ การถอดการกดและเปลี่ยนกลับเป็น TOTP เท่านั้นนั้นทำให้เกิดแรงเสียดทานมาก สำหรับบัญชีเดียวกัน คีย์ฮาร์ดแวร์มักจะเป็นเส้นทางการอัพเกรดที่ดีกว่า

อธิบายการโจมตีเมื่อยล้าของ MFA: ผู้โจมตีผ่านการแจ้งเตือนแบบพุชของคุณได้อย่างไร

การรับรองความถูกต้องแบบหลายปัจจัยแบบพุชนั้นสะดวก - แตะ "อนุมัติ" บนโทรศัพท์ของคุณและคุณก็เข้าร่วม นอกจากนี้ยังสร้างรูปแบบการโจมตีที่เรียกว่าความเหนื่อยล้าของ MFA ซึ่งผู้โจมตีที่มีรหัสผ่านจะส่งข้อความแจ้งเตือนแบบพุชให้คุณจนกว่าคุณจะแตะใช่เพื่อทำให้พวกเขาหยุด การละเมิด Uber และ Cisco ในปี 2022 ทั้งคู่เริ่มต้นในลักษณะนี้

เนื้อหาบทความฉบับเต็มมีให้เป็นภาษาอังกฤษด้านล่าง

MFA ความเหนื่อยล้า (หรือที่เรียกว่า MFA Bombing หรือ Prompt Bombing) เป็นการโจมตีทางวิศวกรรมสังคมต่อการแจ้งเตือนแบบพุช 2FA ผู้โจมตีมีรหัสผ่านของเหยื่อ แต่ถูกบล็อกโดยปัจจัยที่สอง วิธีแก้ไข: ทริกเกอร์ข้อความแจ้งเตือนซ้ำๆ หลายสิบหรือหลายร้อยครั้ง จนกว่าเหยื่อจะแตะอนุมัติ บางครั้งผู้โจมตียังโทรหาเหยื่อโดยสวมรอยเป็นฝ่ายสนับสนุนด้านไอที: "เพียงอนุมัติข้อความแจ้งแล้วเราจะแก้ไขปัญหา"

วิธีการทำงานของ push 2FA ตามปกติ

เมื่อคุณเข้าสู่ระบบด้วยชื่อผู้ใช้และรหัสผ่าน เซิร์ฟเวอร์จะส่งการแจ้งเตือนไปยังโทรศัพท์ที่ลงทะเบียนของคุณผ่าน Duo, Microsoft Authenticator, Okta Verify หรือที่คล้ายกัน คุณเห็น "อนุมัติการเข้าสู่ระบบจาก หรือไม่" แล้วแตะใช่หรือไม่ใช่ สะดวกและดีกว่า SMS มาก - จนกว่าผู้โจมตีจะได้รับรหัสผ่านของคุณ

กลไกการโจมตี

Attacker ได้รับรหัสผ่านของเหยื่อ (ฟิชชิ่ง การยัดข้อมูลประจำตัวจากการละเมิดครั้งก่อน ซื้อในตลาดเว็บมืด)
Attacker เริ่มต้นการเข้าสู่ระบบ การแจ้งเตือนแบบพุชเริ่มทำงานบนโทรศัพท์ของเหยื่อ
Victim ปฏิเสธ หรือไม่มองเห็น
Attacker ลองอีกครั้ง ดันไฟอีกแล้ว และอีกครั้ง และอีกครั้ง
ในที่สุด เหยื่อ — รำคาญ สับสน หรือคิดว่าแอปค้าง — แตะอนุมัติ
Attacker เข้ามาแล้ว

Variants รวมพุชสแปมเข้ากับโทรศัพท์จากผู้โจมตีที่แกล้งทำเป็นฝ่ายสนับสนุนด้านไอที โดยส่งเหยื่อผ่านการอนุมัติพร้อมท์ให้ "แก้ไขความปลอดภัย" ปัญหา"

ตัวอย่างที่มีชื่อเสียง

Uber (กันยายน 2022) — ผู้โจมตีอายุ 18 ปีซื้อข้อมูลรับรองของผู้รับเหมา ข้อความแจ้ง MFA ที่เป็นสแปม จากนั้นส่งข้อความหาผู้รับเหมาใน WhatsApp โดยอ้างว่าเป็นฝ่ายไอที ผู้รับเหมาได้รับการอนุมัติ ผู้โจมตีสามารถเข้าถึงระบบภายใน รวมถึงแพลตฟอร์มตรวจสอบจุดบกพร่องของทีมรักษาความปลอดภัย ซึ่งผู้โจมตีโพสต์ภาพหน้าจอ
Cisco (พฤษภาคม 2022) — ผู้โจมตีบุกรุกบัญชี Google ส่วนตัวของพนักงาน Cisco ที่บันทึกข้อมูลรับรองของ Cisco พวกเขาส่งอีเมลแจ้งเตือน Duo และใช้ฟิชชิ่งด้วยเสียงเพื่อโน้มน้าวให้พนักงานยอมรับ
Microsoft (2022-2023) — กลุ่ม Lapsus$ ใช้ความเหนื่อยล้าของ MFA อย่างกว้างขวางกับพนักงานของบริษัทหลายแห่ง

รูปแบบมีความสอดคล้องกัน: การอนุมัติทางวิศวกรรมทางสังคมกลายเป็นเวกเตอร์การละเมิดหลังจากเลเยอร์รหัสผ่าน ล้มเหลว

Defenses

การจับคู่หมายเลข / รหัสยืนยัน แทนที่จะแสดงเพียง "อนุมัติ/ปฏิเสธ" เซิร์ฟเวอร์จะแสดงตัวเลข 2 หลักบนหน้าจอเข้าสู่ระบบ พรอมต์ข้อความขอให้ผู้ใช้พิมพ์หมายเลขเดียวกันบนโทรศัพท์ ผู้โจมตีไม่เห็นหมายเลข ผู้ใช้ไม่สามารถอนุมัติโดยไม่ตั้งใจได้ Microsoft, Google, Duo, Okta ได้เปิดตัวฟีเจอร์นี้เป็นค่าเริ่มต้นภายในปี 2024
Hardware FIDO2 คีย์ ไม่สามารถใช้งาน MFA ได้ — สัญญาณสำคัญเฉพาะเมื่อมีการแตะทางกายภาพเท่านั้น และลายเซ็นจะผูกไว้กับต้นทาง (เอาชนะฟิชชิ่งได้เช่นกัน)
Rate จำกัด บล็อกความพยายามพร้อมท์ซ้ำ ๆ ; ล็อคบัญชีหลังจากการแจ้งที่ล้มเหลวจำนวนเล็กน้อย
Risk การรับรองความถูกต้องตามความเสี่ยง การเข้าสู่ระบบจากพื้นที่ที่ไม่ปกติ อุปกรณ์ที่ผิดปกติ หรือเวลาที่ผิดปกติจำเป็นต้องมีการตรวจสอบที่รัดกุมมากขึ้น
การให้ความรู้แก่ผู้ใช้ ฝึกอบรมพนักงานที่แจ้งโดยไม่พึงประสงค์ หมายความว่ามีใครบางคนมีรหัสผ่านและพยายามจะบุกรุก อย่าอนุมัติข้อความแจ้งที่คุณไม่ได้ร้องขอ เริ่มต้น

เหตุใดชั้นการศึกษาของผู้ใช้จึงมีความสำคัญ

การป้องกันทางเทคนิคนั้นมีอยู่จริงและจำเป็น แต่ช่องโหว่ที่ซ่อนอยู่นั้นคือมนุษย์ แม้จะมีการจับคู่หมายเลข ผู้โจมตีในการโทรด้วยเสียงเพื่อบอกผู้ใช้ถึงหมายเลขที่จะพิมพ์ก็สามารถประสบความสำเร็จได้ คีย์ฮาร์ดแวร์เอาชนะทั้งคลาสได้เนื่องจากต้องมีการครอบครองทางกายภาพ แต่การเผยแพร่ไปยังพนักงานจำนวนมากนั้นมีราคาแพงและซับซ้อนในการปฏิบัติงาน

ชุดค่าผสมที่มีประสิทธิภาพมากที่สุด: คีย์ฮาร์ดแวร์สำหรับบัญชีที่มีมูลค่าสูงสุดและผู้ใช้ผู้ดูแลระบบ การพุชที่ตรงกันกับตัวเลขสำหรับคนอื่นๆ ด้วยการจำลองฟิชชิ่งเป็นระยะซึ่งรวมถึงสถานการณ์ความเหนื่อยล้าของ MFA

สิ่งที่บุคคลสามารถทำได้

หากคุณได้รับการแจ้งเตือนแบบพุชที่คุณไม่ได้เป็นผู้เริ่ม ให้ปฏิเสธ จากนั้นเปลี่ยนรหัสผ่านของคุณ — ข้อมูลประจำตัวของคุณถูกบุกรุก
อย่าอนุมัติการกดเพราะมีคนในโทรศัพท์แจ้งให้คุณทราบ ฝ่ายไอทีจริงจะไม่ขอให้คุณอนุมัติข้อความแจ้งให้แก้ไขสิ่งใดๆ
เปลี่ยนไปใช้ตัวตรวจสอบความถูกต้องที่จับคู่ตัวเลข หากมี (ตัวตรวจสอบหลักส่วนใหญ่รองรับ)
สำหรับบัญชีที่คุณสนใจจริงๆ ให้ตั้งค่าคีย์ฮาร์ดแวร์ — การป้องกันที่มีประสิทธิภาพสูงสุดเพียงครั้งเดียว
Treat ข้อความแจ้งที่ไม่พึงประสงค์ซ้ำๆ ถือเป็นเหตุการณ์ร้ายแรง แจ้งทีมไอทีของคุณและเปลี่ยนข้อมูลรับรองทันที

คำถามที่พบบ่อย

การกด 2FA ยังปลอดภัยหรือไม่?: ได้ หากใช้การจับคู่ตัวเลขหรือการตรวจสอบบริบททางภูมิศาสตร์ ซึ่งผู้ให้บริการรายใหญ่ส่วนใหญ่กำหนดให้เป็นค่าเริ่มต้น ข้อความแจ้ง "อนุมัติ/ปฏิเสธ" ธรรมดาที่ไม่มีหมายเลขตรงกันจะยังคงมีความเสี่ยงต่อความเหนื่อยล้าจาก MFA ตรวจสอบการตั้งค่าของแอปยืนยันตัวตนของคุณ — หากปรากฏเพียงปุ่มเดียว ให้เลือกใช้การจับคู่ตัวเลขในตำแหน่งที่มีตัวเลือกนั้นอยู่
รหัส SMS ปลอดภัยกว่าการแจ้งเตือนแบบพุชหรือไม่: รูปแบบภัยคุกคามที่แตกต่างกัน SMS เสี่ยงต่อการสลับซิมและการสกัดกั้น push 2FA เสี่ยงต่อความเหนื่อยล้าของ MFA เมื่อนำไปใช้อย่างไร้เดียงสา การพุชสมัยใหม่ที่มีการจับคู่หมายเลขนั้นปลอดภัยกว่า SMS อย่างมาก ปุ่มฮาร์ดแวร์เอาชนะทั้งสองอย่าง
เหตุใดผู้ใช้จึงอนุมัติพร้อมท์ที่พวกเขาไม่ได้เริ่มต้น: ความรำคาญ ความสับสน ความกดดันทางสังคม ผู้ใช้ที่ได้รับการแจ้งเตือน 50 ครั้งใน 10 นาทีถือว่ามีบางอย่างเสียหายและแตะเพื่อหยุด เพิ่มการโทรจากบุคคลที่อ้างว่าเป็นฝ่ายไอที และแม้แต่ผู้ใช้ที่ระมัดระวังในบางครั้งก็อนุมัติ โหลดทางปัญญา + การจัดการสคริปต์ทำงานได้
ความเหนื่อยล้าของ MFA สามารถทำงานได้โดยไม่ต้องใช้รหัสผ่านหรือไม่: ไม่ ผู้โจมตีต้องใช้ข้อมูลประจำตัวที่ใช้งานได้ก่อนจึงจะเรียกใช้การแจ้งเตือนได้ เลเยอร์การป้องกันด้านล่างคือรหัสผ่านที่แข็งแกร่งเฉพาะตัว + การตรวจสอบการละเมิด หากรหัสผ่านของคุณไม่อยู่ในมือของผู้โจมตี ความเหนื่อยล้าของ MFA จะไม่สามารถเริ่มต้นได้
เราควรลบ push 2FA ออกไหม?: ไม่จำเป็นหากปฏิบัติอย่างดี เวอร์ชันที่มีการจับคู่ตัวเลขนั้นแข็งแกร่งเพียงพอสำหรับโมเดลภัยคุกคามส่วนใหญ่ การถอดการกดและเปลี่ยนกลับเป็น TOTP เท่านั้นนั้นทำให้เกิดแรงเสียดทานมาก สำหรับบัญชีเดียวกัน คีย์ฮาร์ดแวร์มักจะเป็นเส้นทางการอัพเกรดที่ดีกว่า