Header Ads

Home / Amazon / Notícias / Usando 2FA? Excelente. Mas não é infalível

Usando 2FA? Excelente. Mas não é infalível

terça-feira, junho 08, 2021 ,

Shutterstock / BestForBest

Você deve usar a autenticação de dois fatores sempre que estiver disponível. Não é perfeito, mas impede a maioria dos invasores em seu caminho. Mas não se iluda pensando que é inexpugnável. Esse não é o caso.

O problema da senha

A senha tem sido o principal meio de proteger contas de computador desde os anos 1950. Setenta e tantos anos depois, todos nós estamos inundados com senhas, principalmente para serviços online. Por curiosidade, verifiquei meu gerenciador de senhas. Tenho 220 conjuntos de credenciais de login armazenados nele.

A menos que você seja particularmente talentoso, é impossível memorizar esse número de senhas complexas e robustas. É por isso que as pessoas reutilizam senhas e usam senhas fracas, mas fáceis de lembrar. Claro, esse é o tipo de comportamento que coloca suas contas em risco de comprometimento.

Ataques automatizados de força bruta, ataques de dicionário e outros ataques de pesquisa usam listas de palavras e bancos de dados de senhas violadas para tentar obter acesso não autorizado às contas de pessoas . Sempre que ocorre uma violação de dados, os dados são disponibilizados na dark web para uso por cibercriminosos. Eles usam os bancos de dados de senhas violadas como munição para seu software. Ele metralha as credenciais roubadas em contas, tentando combinar as senhas e obter acesso.

O site Have I Been Pwned coleta os dados do maior número possível de violações de dados. Você pode visitar o site gratuitamente para verificar se o seu endereço de e-mail ou qualquer uma de suas senhas foram expostos em uma violação. Para se ter uma ideia da escala do problema, há mais de 11 bilhões de conjuntos de credenciais em seus bancos de dados.

Com tantas senhas, há uma grande chance de que outra pessoa tenha escolhido a mesma senha que você. Portanto, mesmo que nenhum dos seus dados tenha sido exposto em uma violação, os dados de outra pessoa que por acaso usou a mesma senha que você — podem muito bem ter usado. E se você usou a mesma senha em muitas contas diferentes, isso coloca todas em risco.

RELACIONADO: Como verificar se os e-mails da equipe apresentam violação de dados

Políticas de senha

Todas as organizações devem ter uma política de senha que forneça orientação sobre a criação e o uso de senhas. Por exemplo, o comprimento mínimo de uma senha precisa ser definido e as regras que envolvem a composição de uma senha devem ser estabelecidas de forma clara para que todos os funcionários entendam e sigam. Sua política deve proibir a reutilização de senhas em outras contas e senhas baseadas em animais de estimação ou familiares &’ nomes, aniversários e aniversários.

O problema que você tem é como você o policia? Como você sabe se a equipe está obedecendo a essas regras? Você pode definir regras para complexidade mínima em muitos sistemas, para que eles rejeitem automaticamente senhas muito curtas, que não contenham números e símbolos ou sejam palavras de dicionário. Isso ajuda. Mas e se alguém usar a senha de uma de suas contas corporativas como senha da Amazon ou do Twitter? Você não tem como saber.

O uso da autenticação de dois fatores melhora a segurança de suas contas corporativas e também oferece alguma proteção contra o gerenciamento inadequado de senhas.

RELACIONADO: o problema com as senhas são as pessoas

Autenticação de dois fatores

A autenticação de dois fatores adiciona outra camada de proteção às contas protegidas por senha. Junto com seu ID e senha, você precisa ter acesso a um objeto físico registrado. Eles são dongles de hardware ou smartphones executando um aplicativo autenticador aprovado.

Um código único é gerado pelo aplicativo autenticador no smartphone. Você deve inserir esse código junto com sua senha ao fazer login na conta. Os dongles podem ser conectados a uma porta USB ou podem usar Bluetooth. Eles exibem um código ou geram e transmitem uma chave com base em um valor interno secreto.

A autenticação de dois fatores combina coisas que você conhece (suas credenciais) com algo que você possui (seu smartphone ou dongle). Portanto, mesmo que alguém adivinhe ou force brutalmente sua senha, ele ainda não conseguirá fazer login na conta.

RELACIONADO: a autenticação de dois fatores de SMS não é perfeita, mas você ainda deve usá-la

Comprometendo a autenticação de dois fatores

Existem várias maneiras de um invasor superar a autenticação de dois fatores e obter acesso a uma conta protegida. Algumas dessas técnicas requerem capacidades técnicas de elite e recursos significativos. Por exemplo, os ataques que exploram vulnerabilidades no protocolo Signaling System No. 7 (SS7) são geralmente conduzidos por grupos de hackers bem equipados e altamente qualificados ou invasores patrocinados pelo estado. SS7 é usado para estabelecer e desconectar comunicações baseadas em telefonia, incluindo mensagens de texto SMS.

Para atrair a atenção deste calibre de atores de ameaças, os alvos devem ser de alto valor. “ Alto valor ” significa coisas diferentes para atacantes diferentes. O resultado pode não ser financeiro direto, o ataque pode ter motivação política, por exemplo, ou fazer parte de uma campanha de espionagem industrial.

Em um golpe de “ port out ” os cibercriminosos entram em contato com sua operadora de celular e fingem ser você. Atores de ameaças com prática suficiente podem convencer o representante de que são os proprietários de sua conta. Eles podem então ter seu número de smartphone transferido para outro smartphone ao qual eles tenham acesso. Todas as comunicações baseadas em SMS são enviadas para o smartphone, não para o seu. Isso significa que todos os códigos de autenticação de dois fatores baseados em SMS são entregues aos cibercriminosos.

Usar técnicas de engenharia social para influenciar os funcionários das operadoras de celular não é simples. Um método mais fácil é usar um serviço de mensagens de texto de negócios online. Eles são usados ​​por organizações para enviar lembretes por SMS, alertas de conta e campanhas de marketing. Eles também são muito baratos. Por cerca de US $ 15, você pode encontrar um serviço que encaminhará todo o tráfego de SMS de um número de smartphone para outro, por um mês.

Claro, você deve ter ambos os smartphones ou ter a permissão do proprietário, mas isso não é um problema para os cibercriminosos. Quando questionados se esse é o caso, tudo o que eles precisam fazer é dizer “ sim. ” Não há mais verificação do que essa. Nenhuma habilidade exigida por parte dos invasores, mas seu smartphone está comprometido.

Esses tipos de ataques são todos focados na autenticação de dois fatores baseada em SMS. Existem ataques que também contornam a autenticação de dois fatores baseada em aplicativo com a mesma facilidade. Os agentes da ameaça podem montar uma campanha de phishing por e-mail ou usar typosquatting para direcionar as pessoas a uma página de login convincente, mas fraudulenta.

Quando uma vítima tenta fazer login, ela é solicitada a fornecer seu ID e senha, e seu código de autenticação de dois fatores. Assim que eles digitam o código de autenticação, essas credenciais são encaminhadas automaticamente para a página de login do site genuíno e usadas para acessar a conta da vítima.

Não pare de usá-lo!

A autenticação de dois fatores pode ser superada por uma variedade de técnicas que vão desde as tecnicamente exigentes até as relativamente simples. Apesar disso, a autenticação de dois fatores ainda é uma medida de segurança recomendada e deve ser adotada onde quer que seja oferecida. Mesmo na presença desses ataques, a autenticação de dois fatores é uma ordem de magnitude mais segura do que um simples esquema de ID e senha.

É improvável que os cibercriminosos tentem contornar sua autenticação de dois fatores, a menos que você seja um alvo de alto valor, alto perfil ou de outra forma estratégico. Portanto, continue usando a autenticação de dois fatores, é muito mais seguro do que não usá-la.

Nenhum comentário

Assinar: Postar comentários ( Atom )