Verhärtung von Identitäten mit Phish-resistenter MFA

Seit dem Zeitpunkt vielen Jahren ist die Multifaktor-Authentifizierung (MFA) welcher Schlüssel zur Minderung des Passwortrisikos. Da die MFA-Nutzung jedoch zugenommen hat, nach sich ziehen Cyberkriminelle ihre Taktiken zum Klauerei von Anmeldeinformationen zugeschnitten.

Im Januar 2022 veröffentlichte dasjenige Office of the Management and Topf (OMB) ein Memo, in dem Bundesbehörden empfohlen wurde, gen passwortlose MFA umzusteigen. Und obwohl sich dieses Memo nur an Bundesbehörden richtet, erhoben die US-Regierung die Cybersicherheitsbasis. Es liegt an Organisationen des privaten Sektors, dies zur Kenntnis zu nehmen.

Eine Strategie, die sich herauskristallisiert hat, ist Zero Trust. Mindestens 76 % welcher Unternehmen nach sich ziehen mit welcher Umsetzung ihrer Zero-Trust-Strategien begonnen, wodurch MFA eine herausragende Rolle spielt. Dasjenige Nationalistisch Institute of Standards and Technology empfiehlt, Ihre MFA-Strategie um die Sicherung welcher Geräteidentität zu erweitern. Dies führt zu mehr Authentifizierungsvertrauen wie dasjenige, welches mehrere Benutzeridentitätsfaktoren einzig eröffnen können.

Vorlesung halten Sie weiter, um zu versiert, wie Sie Identitätsrichtlinien stärken können, während Sie Ihre MFA-Strategie erweitern und vorhandene Sicherheitsoptionen nutzen.

MFA-Einschränkungen verstehen

Traditionell waren starke Passwörter die Strategie welcher Wahl, um Brute-Force-Angriffe zu reduzieren. Die meisten Menschen können sich jedoch nicht ganz ihre komplexen Passwörter realisieren, sodass sie sie am Finale jenseits mehrere Konten hinweg wiederverwenden. Die durchschnittliche Person verwendet ihr Passwort 14 Mal wieder, und sie verwenden vielerorts gleichartig Passwort sowohl zu Händen persönliche wie gleichwohl zu Händen Unternehmenskonten. Dies schafft zusammensetzen blinden Punkt, in dem Unternehmenskonten durch Phishing-Angriffe gen persönliche Konten kompromittiert werden können – irgendwas, dasjenige vollwertig external welcher Elektronische Post-Schutzfunktionen von Unternehmen liegt.

Wir nach sich ziehen gleichwohl eine Zunahme von Man-in-the-Middle (MiTM)-Phishing-, SMS-Hijacking- und Elektronische Post-Hijacking-Angriffen festgestellt. MiTM-Phishing tritt gen, wenn Angreifer zweite Faktoren mit Out-of-Tonband-Authentifizierungspfaden wie App-Benachrichtigungen, Elektronische Post oder SMS ausnutzen. Welcher Benutzer initiiert eine Kennwortauthentifizierungsanforderung, die vom Angreifer abgefangen wird, welcher dann eine separate Authentifizierungsanforderung und eine begleitende Out-of-Tonband-Konsole zu Händen den zweiten Merkmal erstellt. Benutzer stimmen diesen Eingabeaufforderungen vielerorts zu, da sie von ihren eigenen nicht zu unterscheiden sind.

Im Kontext einem SMS-Hijacking-Offensive leitet welcher Angreifer dasjenige SMS-Benachrichtigungsziel gen sein eigenes Gerät um. Damit können sie eine Authentifizierungsanforderung initiieren, die ohne Wissen des Benutzers genehmigt werden kann. Hinauf ähnliche Weise können Angreifer ein kompromittiertes Elektronische Post-Postfach verwenden, um Elektronische Post-basierte zweite Faktoren zu genehmigen. Da Elektronische Post gleichwohl vielerorts wie Trampelpfad zu Händen die Wiederherstellung von Anmeldeinformationen zu Händen Nicht-SSO-Dienste verwendet wird, kann ein kompromittiertes Postfach gleichwohl zur Kompromittierung einer langen Kettenfäden abhängiger Dienste durch Kennwortzurücksetzungen von Drittanbietern zur Folge haben.

Ein weiterer möglicher blinder Punkt sind Phishing-Angriffe, die illegale Zustimmungserteilungen verwenden, da jene schwerer zu wiedererkennen sein können wie herkömmliche Phishing-Angriffe. Im Kontext einem unerlaubten Zustimmungserteilungsangriff bringt welcher Angreifer Endbenutzer dazu, einer böswilligen Applikation die Zustimmung zu erteilen, in ihrem Namen gen ihre Statistik zuzugreifen, normalerweise jenseits eine Elektronische Post mit einem Link. Dies ist eine Herausforderung, da dasjenige Linkziel selbst nicht schädlich ist, sondern nur die Applikation. Nachdem welcher böswilligen Applikation die Zustimmung erteilt wurde, verwendet sie den Zugriff gen Statistik gen Anwendungsschicht, ohne dass die Anmeldeinformationen des Benutzers erforderlich sind.

Leider sind typische Abwehrmaßnahmen, wie dasjenige Erfordernis von MFA oder dasjenige Zurücksetzen von Passwörtern zu Händen verletzte Benutzerkonten, gegen jene Fasson von Angriffen nicht wirksam. Da die Angriffe nachdem welcher Authentifizierung mit Anwendungen von Drittanbietern external welcher Organisation stattfinden, können Angreifer ihre eigenen externen dauerhaften Zugriffspfade erstellen. Wie demnach in Betracht kommen Unternehmen jene Herausforderung an?

Implementieren einer Phish-resistenten Authentifizierung

Stärkere Authentifizierungsmethoden und modernere Optionen zu nach sich ziehen bedeutet nicht, dass Unternehmen sie jenseits Nacht importieren können. In den meisten Fällen ist es sinnvoll sicherzustellen, dass MFA überall verwendet wird. Unternehmen können bspw. Richtlinien zu Händen den bedingten Zugriff einbetten, die Benutzer dazu verpflichten, ihre Aktivitäten gen Geräte welcher Organisation zu einschränken, um externe Phishing-Szenarien zu entschärfen.

Phish-Resistenz ist ein wichtiges Ziel, dasjenige mit zusätzlichen Zielen kombiniert werden sollte, um die Authentifizierungsstärke zu maximieren. Wir empfehlen Organisationen, passwortlos zu werden, während sie dasjenige Passwort des Benutzers wie Merkmal explantieren. Stellen Sie Authentifizierungsoptionen mit breiter Nützlichkeit fertig, die Desktop- und Mobilszenarien herunternehmen, und festsetzen Sie die Geräteidentität und den Integritätsstatus vor welcher Autorisierung.

Zero-Trust-Prinzipien sollten gleichwohl verwendet werden, um eine Implementierungs-Roadmap zu definieren, die ganz Punkte in welcher Authentifizierungskette mit einer mehrschichtigen Verteidigung anspricht. Ergreifen Sie Maßnahmen, um die Authentifizierungsinfrastruktur selbst zu stärken, Identitätsschutz gen Benutzer anzuwenden, Anwendungen gen illegale Genehmigungen zu identifizieren und zu beaufsichtigen und Geräte explizit während welcher Authentifizierung zu identifizieren, während Sie sie nachdem welcher Autorisierung kontinuierlich beaufsichtigen, während sie Zugriffstoken verwenden. Hinauf jene Weise können Unternehmen moderne, Phishing-resistente Authentifizierungsstrategien besser gedeihen.