Lezers zoals jij steunen MUO. Wanneer u een aankoop doet via links op onze site, kunnen we een aangesloten commissie verdienen. Lees verder.

Het implementeren van multi-factor authenticatie (MFA) is een uitstekende strategie om de beveiliging van uw online accounts te versterken, maar geavanceerde phishing-aanvallen kunnen MFA omzeilen. Overweeg dus om een ​​sterke phishing-resistente MFA-methode te gebruiken om moderne phishing-campagnes te bestrijden.

Hoe is traditionele MFA vatbaar voor phishing-aanvallen? Wat is een phishing-resistente MFA-oplossing en hoe kan deze phishing-aanvallen voorkomen?

Wat is meervoudige authenticatie?

Zoals de term suggereert, vereist multi-factor authenticatie dat u twee of meer verificatiefactoren presenteert om toegang te krijgen tot uw accounts.

Een factor in een authenticatieproces is een manier om uw identiteit te verifiëren wanneer u probeert in te loggen.

De meest voorkomende factoren zijn:

  • Iets wat je weet: een wachtwoord of een pincode die u zich herinnert
  • instagram viewer
  • Iets wat je hebt: een beveiligde USB-sleutel of een smartphone die u hebt
  • Iets wat je bent: uw gezichtsherkenning of vingerafdruk

Multi-factor authenticatie voegt extra beveiligingslagen toe aan uw accounts. Het is alsof je een tweede of derde slot aan je kluisje toevoegt.

Bij een typisch multi-factor authenticatieproces voert u eerst uw wachtwoord of pincode in. Dan ontvangt u mogelijk de tweede factor op uw smartphone. Deze tweede factor kan een sms zijn of een melding op een authenticator-app. Afhankelijk van uw MFA-instellingen, moet u mogelijk uw identiteit verifiëren door middel van biometrische gegevens.

Er zijn vele redenen om multi-factor authenticatie te gebruiken, maar phishing volledig kunt weerstaan?

Helaas is het antwoord "nee".

Cyberbedreigingen voor multi-factor authenticatie

Hoewel MFA-methoden veiliger zijn dan authenticatiemethoden met één factor, kunnen bedreigingsactoren deze met verschillende technieken misbruiken.

Hier zijn manieren waarop hackers MFA kunnen omzeilen.

Aanvallen met brute kracht

Als hackers uw inloggegevens hebben en u een 4-cijferige pincode hebt ingesteld die als tweede factor moet worden gebruikt, ze kunnen brute-force-aanvallen uitvoeren om de beveiligingspin te raden om multi-factor te omzeilen authenticatie.

SIM-hacken

Tegenwoordig gebruiken cybercriminelen technieken als sim-swapping, sim-klonen en sim-jacking hack je simkaart. En als ze eenmaal controle hebben over uw simkaart, kunnen ze gemakkelijk op sms gebaseerde tweede factor onderscheppen, waardoor uw MFA-mechanisme in gevaar komt.

MFA-vermoeidheidsaanvallen

In een MFA-vermoeidheidsaanval, bombardeert een hacker je met een spervuur ​​van pushmeldingen totdat je toegeeft. Zodra u het aanmeldingsverzoek goedkeurt, heeft de hacker toegang tot uw account.

Tegenstander in de middelste aanvallen

Hackers kunnen AiTM-frameworks zoals Evilginx gebruiken om zowel inloggegevens als het tweede-factor-token te onderscheppen. Vervolgens kunnen ze inloggen op uw account en alle vervelende dingen doen die ze leuk vinden.

Pass-the-Cookie-aanvallen

Zodra u het multi-factor authenticatieproces hebt voltooid, wordt er een browsercookie gemaakt en bewaard voor uw sessie. Hackers kunnen deze cookie extraheren en gebruiken om een ​​sessie te starten in een andere browser op een ander systeem.

Phishing

Phishing, een van de meest voorkomende gemeenschappelijke social engineering-tactieken, wordt vaak gebruikt om toegang te krijgen tot de tweede factor wanneer de bedreigingsactor uw gebruikersnaam en wachtwoord al heeft.

U gebruikt bijvoorbeeld een software-as-a-service (SaaS)-leverancier en uw inloggegevens zijn gecompromitteerd. Een hacker zal u bellen (of e-mailen) die zich voordoet als uw SaaS-leverancier om de tweede factor ter verificatie aan te vragen. Zodra u de verificatiecode deelt, heeft de hacker toegang tot uw account. En ze kunnen gegevens stelen of versleutelen die van invloed zijn op u en uw leverancier.

Tegenwoordig gebruiken hackers geavanceerde phishing-technieken. Pas dus op voor phishing-aanvallen.

Wat is phishingbestendige MFA?

Phishing-resistente MFA is ongevoelig voor allerlei vormen van social engineering, waaronder phishing-aanvallen, credential stuffing-aanvallen, man-in-the-middle-aanvallen en meer.

Omdat mensen centraal staan ​​bij social engineering-aanvallen, verwijdert phishing-resistente MFA het menselijke element uit het authenticatieproces.

Om als een phishing-resistent MFA-mechanisme te worden beschouwd, moet de authenticator cryptografisch aan het domein zijn gebonden. En het zou een nepdomein moeten herkennen dat door een hacker is gemaakt.

Het volgende is hoe de phishing-resistente MFA-technologie werkt.

Creëer een sterke binding

Naast het registreren van uw authenticator, voltooit u een cryptografische registratie, inclusief identiteitsbewijs, om een ​​sterke binding te creëren tussen uw authenticator en identiteit aanbieder (IDP). Hierdoor kan uw authenticator valse websites identificeren.

Maak gebruik van asymmetrische cryptografie

Een solide binding van twee partijen op basis van asymmetrische cryptografie (public-key cryptografie) elimineert de noodzaak van gedeelde geheimen zoals wachtwoorden.

Om sessies te starten, zijn beide sleutels (openbare sleutels en privésleutels) vereist. Hackers kunnen zich niet authenticeren om in te loggen, omdat privésleutels veilig worden opgeslagen in hardwarebeveiligingssleutels.

Reageer alleen op geldige authenticatieverzoeken

Phishingbestendige MFA reageert alleen op geldige verzoeken. Alle pogingen om zich voor te doen als legitieme verzoeken zullen worden gedwarsboomd.

Intentie verifiëren

Phishingbestendige MFA-authenticatie moet de intentie van de gebruiker valideren door de gebruiker te vragen een actie uit te voeren die aangeeft dat de gebruiker actief betrokken is bij het authenticeren van het aanmeldingsverzoek.

Waarom u phishingbestendige MFA moet implementeren

Het gebruik van phishing-resistente MFA biedt meerdere voordelen. Het elimineert het menselijke element uit de vergelijking. Omdat het systeem automatisch een valse website of een niet-geautoriseerd authenticatieverzoek kan herkennen, kan het alle soorten phishing-aanvallen voorkomen die erop gericht zijn gebruikers ertoe te verleiden inloggegevens weg te geven. Zo kan phishing-resistente MFA datalekken in uw bedrijf voorkomen.

Bovendien verbetert een goede phishing-resistente MFA, zoals de nieuwste FIDO2-authenticatiemethode, de gebruikerservaring. Dit komt omdat u biometrische gegevens of eenvoudig te implementeren beveiligingssleutels kunt gebruiken om toegang te krijgen tot uw accounts.

Last but not least verhoogt phishing-resistente MFA de beveiliging van uw accounts en apparaten, waardoor deze verbetert cyberbeveiligingsweide in jouw gezelschap.

Dat heeft het Amerikaanse Office of Management and Budget (OMB) bekendgemaakt Federaal Zero Trust-strategiedocument, die vereist dat federale agentschappen tegen eind 2024 alleen phishing-resistente MFA gebruiken.

U begrijpt dus dat phishingbestendige MFA van cruciaal belang is voor cyberbeveiliging.

Phishingbestendige MFA implementeren

Volgens de State of Secure Identity-rapport opgesteld door het Auth0-team van Okta, nemen MFA-bypass-aanvallen toe.

Aangezien phishing de belangrijkste aanvalsvector is bij op identiteit gebaseerde aanvallen, kan het implementeren van phishing-resistente multi-factor authenticatie u helpen uw accounts te beveiligen.

FIDO2/WebAuthn-authenticatie is een veelgebruikte phishing-resistente authenticatiemethode. Hiermee kunt u veelgebruikte apparaten gebruiken voor authenticatie in mobiele en desktopomgevingen.

FIDO2-authenticatie biedt een sterke beveiliging door middel van cryptografische inloggegevens die uniek zijn voor elke website. En inloggegevens verlaten uw apparaat nooit.

Bovendien kunt u ingebouwde functies van uw apparaat gebruiken, zoals een vingerafdruklezer om cryptografische inloggegevens te deblokkeren.

Jij kan controleer FIDO2-producten om het juiste product te selecteren om phishing-resistente MFA te implementeren.

Een andere manier om phishing-resistente MFA te implementeren, is door op Public Key Infrastructure (PKI) gebaseerde oplossingen te gebruiken. PIV-smartcards, creditcards en e-paspoorten gebruiken deze op PKI gebaseerde technologie.

Phishing-bestendige MFA is de toekomst

Phishing-aanvallen nemen toe en het implementeren van alleen traditionele multi-factor-authenticatiemethoden biedt geen bescherming tegen geavanceerde phishing-campagnes. Implementeer dus phishing-resistente MFA om te voorkomen dat hackers uw accounts overnemen.