Stosowanie wieloskładnikowego uwierzytelniania (MFA) jest ważnym środkiem bezpieczeństwa, który pomaga chronić konta i dane przed nieuprawnionym dostępem. Niemniej jednak, niektóre techniki mogą zostać wykorzystane do przełamania MFA. Oto niektóre z nich i sposoby, jak można się przed nimi zabezpieczyć:
Ataki socjotechniczne: atakujący może próbować oszukać użytkownika, aby podał swoje dane uwierzytelniające, w tym kod generowany przez MFA, poprzez fałszywe strony logowania, wiadomości e-mail lub telefoniczne. Aby się przed tym zabezpieczyć, zawsze należy upewnić się, że strona logowania jest autentyczna i używać tylko oficjalnych aplikacji i linków do MFA.
Ataki typu Man-in-the-Middle (MITM): podczas ataku typu MITM atakujący podszywa się pod prawidłowe strony internetowe lub komunikuje się z użytkownikiem w imieniu prawdziwej usługi, przechwytując dane uwierzytelniające, w tym kody MFA. Zabezpieczeniem, które może zminimalizować ryzyko tego typu atakiem jest używanie bezpiecznych protokołów komunikacyjnych, takich jak HTTPS. W przypadku, gdy atakujący kontroluje komunikację między użytkownikiem a serwerem uwierzytelniającym, może przechwycić dane uwierzytelniające, takie jak login i hasło. W sytuacji, gdy MFA jest oparte na kodach SMS lub aplikacjach autoryzacyjnych, atakujący może również przechwycić generowane kody MFA, co umożliwia mu dostęp do konta chronionego MFA. Jeśli atakujący jest w stanie przechwycić komunikację między aplikacją autoryzacyjną a serwerem uwierzytelniającym, może uzyskać dostęp do generowanych kodów MFA, które wykorzystuje aplikacja do potwierdzenia tożsamości użytkownika. Atakujący może stworzyć fałszywą stronę logowania, która wygląda podobnie do prawdziwej, ale przechwytuje dane uwierzytelniające, w tym generowane kody MFA. W przypadku, gdy użytkownik wprowadza swoje dane na fałszywej stronie, atakujący może wykorzystać te dane do uzyskania dostępu do konta. Aby minimalizować ryzyko ataku należy korzystać z bezpiecznych protokołów komunikacyjnych, takich jak HTTPS, aby zaszyfrować dane podczas transmisji, unikać korzystania z publicznych lub niezaufanych sieci Wi-Fi, które mogą umożliwić atakującemu monitorowanie ruchu sieciowego, używać aplikacji autoryzacyjnych zamiast kodów SMS do generowania kodów MFA, co utrudnia przechwycenie kodów przez atakującego. Każdorazowe sprawdzanie adresu URL strony logowania, aby uniknąć podawania danych uwierzytelniających na fałszywych stronach oraz zachowanie ostrożności wobec podejrzanych stron internetowych, wiadomości e-mail czy połączeń telefonicznych, które mogą próbować oszukać użytkownika i wyłudzić dane uwierzytelniające.
Skimming (przechwytywanie danych): atakujący może próbować przechwycić dane uwierzytelniające, w tym kody MFA, poprzez złośliwe oprogramowanie lub urządzenia, takie jak keyloggery. Aby zabezpieczyć się przed skimmingiem, warto korzystać z aktualnego oprogramowania antywirusowego i unikać uruchamiania niezaufanego oprogramowania. Atak typu skimming odnosi się głównie do metody przechwytywania danych uwierzytelniających, takich jak numery kart płatniczych i dane osobowe, na przykład za pomocą złośliwego oprogramowania lub urządzeń, które znajdują się na punktach płatności lub innych miejscach, gdzie dokonywane są transakcje. Skimming nie jest bezpośrednio związany z atakami na MFA, ale może stanowić zagrożenie dla konta chronionego MFA, jeśli atakujący uzyska dostęp do innych danych uwierzytelniających, takich jak hasło czy kod MFA, poprzez inne metody. Atakujący może wykorzystać skimming do przechwycenia danych uwierzytelniających do konta, takich jak login i hasło. W przypadku, gdy atakujący uzyska te dane, a MFA jest oparte na kodach SMS, aplikacjach autoryzacyjnych lub telefonach, które są podłączone do skradzionego numeru telefonu, to istnieje ryzyko, że skimming umożliwi dostęp do konta chronionego MFA.
Phishing: ataki z wykorzystaniem phishingu mogą zachęcać użytkowników do podania swoich danych uwierzytelniających, w tym kodów MFA, na fałszywych stronach lub w odpowiedzi na wiadomości e-mail. Atakujący może stworzyć fałszywą stronę logowania, która wygląda identycznie lub bardzo podobnie do prawdziwej strony logowania MFA. Kiedy użytkownik wprowadzi swoje dane uwierzytelniające na tej fałszywej stronie, atakujący uzyskuje dostęp do loginu i hasła oraz ewentualnie drugiego czynnika, takiego jak kod MFA, który użytkownik wprowadza na stronie. W przypadku, gdy MFA wykorzystuje generowanie kodów na podstawie aplikacji mobilnej, atakujący może wykorzystać techniki malware’u lub keyloggerów, aby przechwycić generowane kody MFA na zainfekowanym urządzeniu. Jeśli drugim czynnikiem MFA jest kod przesyłany przez SMS, atakujący może próbować przechwycić wiadomości SMS, wykorzystując różne techniki, takie jak podstawienie numeru telefonu ofiary lub przechwycenie ich poprzez programy szpiegowskie.
Słabe hasła lub pytania bezpieczeństwa: słabej jakości hasła lub pytania bezpieczeństwa mogą stanowić słabe ogniwo w łańcuchu MFA. Stosowanie silnych haseł i odpowiednich pytań bezpieczeństwa to kluczowe aspekty zapewnienia bezpieczeństwa konta. Hasło powinno być wystarczająco długie, najlepiej składające się z co najmniej 12 znaków. Im dłuższe, tym trudniejsze do złamania. Należy unikać używania tego samego hasła w różnych kontach. Każde konto powinno mieć inne, unikalne hasło. Hasło powinno zawierać różnorodne typy znaków, takie jak małe i wielkie litery, cyfry oraz znaki specjalne. Należy unikać oczywistych słów lub sekwencji znaków, takich jak „password”, „123456”, „qwerty” itp. oraz używania informacji osobistych, takich jak imię, nazwisko, daty urodzenia itp., jako części hasła. Stosując pytania bezpieczeństwa jako sposób na odzyskanie hasła należy unikać typowych pytań bezpieczeństwa, takich jak „Jakie jest twoje imię?” lub „Jaki jest twój ulubiony kolor?”. Warto wybierać pytania, na które trudniej będzie uzyskać odpowiedzi, a unikać używania odpowiedzi, na które można łatwo znaleźć w informacjach publicznie dostępnych, takich jak na przykład odpowiedzi na pytania często zadawane w mediach społecznościowych. Zaleca się wybrać kilka różnych pytań bezpieczeństwa, aby zmniejszyć ryzyko ataku opartego na zgadnięciu odpowiedzi. Zawsze warto pamiętać, iż czasami pytania bezpieczeństwa mogą zastępować hasło w procesie resetowania hasła, więc odpowiedzi powinny być równie mocne jak silne hasła.
Autor: Piotr Maziakowski