Push 2FA hala güvenli mi?

Evet, çoğu büyük sağlayıcının artık varsayılan olarak gerektirdiği numara eşleştirme veya coğrafi bağlam doğrulamayı kullanıyorsa. Numara eşleşmesi olmayan düz "onayla/reddet" istemleri, MFA'nın yorulmasına karşı savunmasız kalır. Kimlik doğrulayıcı uygulamanızın ayarlarını kontrol edin; yalnızca bir düğme gösteriyorsa, seçeneğin mevcut olduğu yerde numara eşleştirmeyi seçin.

SMS kodları anlık bildirimlerden daha mı güvenli?

Farklı tehdit modelleri. SMS, SIM değişimine ve müdahaleye karşı savunmasızdır; push 2FA, saf bir şekilde uygulandığında MFA yorgunluğuna karşı savunmasızdır. Numara eşleştirmeli modern push, SMS'den anlamlı derecede daha güvenlidir. Donanım anahtarları her ikisini de yener.

Bir kullanıcı neden başlatmadığı bir istemi onaylasın ki?

Sıkıntı, kafa karışıklığı, sosyal baskı. 10 dakika içinde 50 uyarı alan bir kullanıcı, bir şeyin bozuk olduğunu varsayar ve onu durdurmak için dokunur. BT olduğunu iddia eden birinden gelen bir telefon çağrısını ekleyin ve hatta dikkatli kullanıcılar bile bazen bunu onaylar. Bilişsel yük + kodlanmış manipülasyon işe yarar.

MFA yorgunluğu şifre olmadan çalışabilir mi?

Hayır; saldırganın istemleri tetikleyebilmesi için öncelikle çalışan kimlik bilgilerine ihtiyacı vardır. Aşağıdaki savunma katmanı güçlü benzersiz şifreler + ihlal izlemeden oluşur. Şifreniz saldırganların elinde değilse MFA yorgunluğu başlayamaz.

Push 2FA'yı kaldırmalı mıyız?

İyi uygulanırsa gerekli değildir. Numara eşleştirmeli sürüm çoğu tehdit modeli için yeterince sağlamdır. İtmeyi kaldırmak ve yalnızca TOTP'ye geri dönmek sürtünme açısından ağırdır; aynı hesaplar için donanım anahtarları genellikle daha iyi yükseltme yoludur.

MFA Yorgunluk Saldırıları Açıklandı: Saldırganlar Anlık Bildirimlerinizi Nasıl Geçer?

Push tabanlı çok faktörlü kimlik doğrulama kullanışlıdır; telefonunuzdaki "onayla"ya dokunduğunuzda içeri girersiniz. Ayrıca, MFA yorgunluğu adı verilen bir saldırı modeli de yarattı; burada parolayı bilen bir saldırgan, siz evet'e dokunana kadar onları durdurmak için size anında bildirimler yağdırır. 2022'deki Uber ve Cisco ihlalleri de bu şekilde başladı.

Makalenin tam metni aşağıda İngilizce olarak verilmektedir.

MFAyorgunluğu (MFA bombalaması veya anında bombalama olarak da bilinir), anlık bildirim 2FA'ya karşı bir sosyal mühendislik saldırısıdır. Saldırganın kurbanın şifresi vardır ancak ikinci faktör tarafından engellenmektedir. Çözümleri: Kurban onay tuşuna basana kadar push istemini tekrar tekrar (onlarca veya yüzlerce kez) tetiklemek. Bazen saldırgan kurbanı da arar ve BT desteği gibi davranır: "sadece istemi onaylayın ve sorunu çözelim."

Push 2FA normalde nasıl çalışır

Kullanıcı adı ve şifreyle giriş yaptığınızda, sunucu kayıtlı telefonunuza Duo, Microsoft Authenticator, Okta Verify veya benzeri aracılığıyla bir bildirim gönderir. "'ten oturum açma onaylansın mı?" ifadesini görüyorsunuz. ve evet veya hayır'a dokunun. Kullanışlı ve SMS'ten çok daha iyi; ta ki saldırgan şifrenizi alana kadar.

Saldırı mekaniği

Saldırgan, kurbanın şifresini ele geçirir (kimlik avı, önceki ihlallerden kaynaklanan kimlik bilgileri doldurma, karanlık web pazarlarından satın alınmıştır).
Saldırgan oturum açmayı başlatır. Kurbanın telefonunda anlık bildirim etkinleşiyor.
Kurban reddediyor. Veya görmüyor.
Attacker yeniden dener. Ateşleri tekrar itin. Ve yine. Ve yine.
Sonunda, mağdur - sinirlenmiş, kafası karışmış veya uygulamanın takılı kaldığını varsayarak - onaylıyor.
Saldırgan içeride.

Varyantlar, push spam'ı BT desteği gibi davranan saldırganın telefon aramasıyla birleştiriyor ve kurbana "güvenliği düzeltme" istemini onaylayarak yol gösteriyor sorun."

Ünlü örnekler

Uber (Eylül 2022) — 18 yaşındaki bir saldırgan, bir yüklenicinin kimlik bilgilerini satın aldı, MFA istemlerini spam olarak gönderdi ve ardından BT olduğunu iddia ederek yükleniciye WhatsApp üzerinden mesaj gönderdi. Yüklenici onaylandı. Saldırganın, ekran görüntüleri yayınladığı güvenlik ekibinin hata bulma platformu da dahil olmak üzere dahili sistemlere erişimi vardı.
Cisco (Mayıs 2022) — Saldırganlar, bir Cisco çalışanının Cisco kimlik bilgilerini kaydeden kişisel Google hesabının güvenliğini ihlal etti. Duo istemlerini spam olarak gönderdiler ve çalışanı kabul etmeye ikna etmek için sesli kimlik avı kullandılar.
Microsoft (2022-2023) — Lapsus$ grubu, MFA yorgunluğunu birden fazla şirketin çalışanlarına karşı kapsamlı bir şekilde kullandı.

Model tutarlıdır: sosyal mühendislikle tasarlanmış onay, şifre katmanından sonra ihlal vektörü haline gelir başarısız olur.

Defenses

Numara eşleştirme / doğrulama kodları. Sunucu, yalnızca "onayla/reddet" yerine, oturum açma ekranında 2 haneli bir sayı görüntüler; push istemi kullanıcıdan aynı numarayı telefonuna yazmasını ister. Saldırgan numarayı görmez; kullanıcı yanlışlıkla onaylayamaz. Microsoft, Google, Duo ve Okta'nın tümü bunu 2024 yılına kadar varsayılan olarak kullanıma sunmuştur.
Donanım FIDO2 anahtarları. MFA tarafından yorulamaz; anahtarlar yalnızca fiziksel olarak dokunulduğunda imzalanır ve imza kaynağa bağlanır (kimlik avını da ortadan kaldırır).
Rate limiting. Tekrarlanan istem girişimlerini bloke edin; az sayıda başarısız istemden sonra hesabı kilitleyin.
Risk tabanlı kimlik doğrulama. Alışılmadık coğrafyalardan, olağandışı cihazlardan veya olağandışı zamanlardan yapılan girişler, daha güçlü doğrulama gerektirir.
Kullanıcı eğitimi. İstenmeyen istemlerin, birisinin parolayı ele geçirdiği ve içeri girmeye çalıştığı anlamına geldiği konusunda çalışanları eğitin. Yapmadığınız istemleri asla onaylamayın launch.

Kullanıcı eğitimi katmanı neden önemlidir

Teknik savunmalar gerçek ve gereklidir, ancak altta yatan güvenlik açığı insan kaynaklıdır. Numara eşleştirmede bile, sesli aramada kullanıcıya yazacağı numarayı söyleyen bir saldırgan başarılı olabilir. Donanım anahtarları, fiziksel sahiplik gerektirdiğinden tüm sınıfı alt eder, ancak bunları büyük iş gücüne dağıtmak pahalıdır ve operasyonel açıdan karmaşıktır.

En etkili kombinasyon: en yüksek değere sahip hesaplar ve yönetici kullanıcılar için donanım anahtarları, MFA yorulma senaryolarını içeren periyodik kimlik avı simülasyonlarıyla diğer herkes için eşleştirilmiş numara gönderme.

Kişiler neler yapabilir?

Başlatmadığınız bir anlık bildirim alırsanız bunu reddedin. Ardından şifrenizi değiştirin; kimlik bilgileriniz ele geçirilir.
Telefondaki biri size öyle yapmanızı söylediği için bir push işlemini asla onaylamayın. Gerçek BT sizden herhangi bir şeyi düzeltmek için bir istemi onaylamanızı istemeyecektir.
Varsa numara eşleştirme kimlik doğrulayıcısına geçin (büyüklerin çoğu bunu destekler).
Gerçekten önemsediğiniz hesaplar için bir donanım anahtarı oluşturun; en etkili tek savunma.
Tekrarlanan istenmeyen istemleri ciddi bir olay olarak değerlendirin. BT ekibinizi bilgilendirin ve kimlik bilgilerini hemen değiştirin.

Sık sorulan sorular

Push 2FA hala güvenli mi?: Evet, çoğu büyük sağlayıcının artık varsayılan olarak gerektirdiği numara eşleştirme veya coğrafi bağlam doğrulamayı kullanıyorsa. Numara eşleşmesi olmayan düz "onayla/reddet" istemleri, MFA'nın yorulmasına karşı savunmasız kalır. Kimlik doğrulayıcı uygulamanızın ayarlarını kontrol edin; yalnızca bir düğme gösteriyorsa, seçeneğin mevcut olduğu yerde numara eşleştirmeyi seçin.
SMS kodları anlık bildirimlerden daha mı güvenli?: Farklı tehdit modelleri. SMS, SIM değişimine ve müdahaleye karşı savunmasızdır; push 2FA, saf bir şekilde uygulandığında MFA yorgunluğuna karşı savunmasızdır. Numara eşleştirmeli modern push, SMS'den anlamlı derecede daha güvenlidir. Donanım anahtarları her ikisini de yener.
Bir kullanıcı neden başlatmadığı bir istemi onaylasın ki?: Sıkıntı, kafa karışıklığı, sosyal baskı. 10 dakika içinde 50 uyarı alan bir kullanıcı, bir şeyin bozuk olduğunu varsayar ve onu durdurmak için dokunur. BT olduğunu iddia eden birinden gelen bir telefon çağrısını ekleyin ve hatta dikkatli kullanıcılar bile bazen bunu onaylar. Bilişsel yük + kodlanmış manipülasyon işe yarar.
MFA yorgunluğu şifre olmadan çalışabilir mi?: Hayır; saldırganın istemleri tetikleyebilmesi için öncelikle çalışan kimlik bilgilerine ihtiyacı vardır. Aşağıdaki savunma katmanı güçlü benzersiz şifreler + ihlal izlemeden oluşur. Şifreniz saldırganların elinde değilse MFA yorgunluğu başlayamaz.
Push 2FA'yı kaldırmalı mıyız?: İyi uygulanırsa gerekli değildir. Numara eşleştirmeli sürüm çoğu tehdit modeli için yeterince sağlamdır. İtmeyi kaldırmak ve yalnızca TOTP'ye geri dönmek sürtünme açısından ağırdır; aynı hesaplar için donanım anahtarları genellikle daha iyi yükseltme yoludur.