Mengapa otentikasi dua faktor tidak mudah

Pelanggaran terjadi — bahkan dengan otentikasi 2 faktor. Pelajari cara melindungi organisasi Anda dari pelanggaran keamanan.

Saya telah bekerja dengan otentikasi dua faktor (2FA) selama bertahun-tahun, terutama menggunakan koneksi VPN dan akses ke sistem yang sangat aman. Ini bekerja melalui mekanisme sesuatu-Anda-memiliki-plus-sesuatu-Anda-tahu di mana pengguna memasukkan pin / kata sandi diikuti dengan angka yang ditampilkan pada perangkat token yang aman.

Tujuannya adalah untuk membuat penyerang tidak mungkin mengakses sistem dan akun yang aman, tetapi itu tidak sempurna. Saya berbicara tentang kerentanan 2FA dan kiat pencegahan dengan dua penyedia solusi keamanan: Stephen Cox, wakil presiden dan kepala arsitek keamanan di SecureAuth; dan Bojan Simic, salah satu pendiri dan CTO, HYPR.

LIHAT: Kebijakan penggunaan VPN (TechRepublic Premium)

Apakah 2FA aman?

Scott Matteson: Seberapa amankah 2FA?

Stephen Cox: Konsumen dan pengguna tenaga kerja terus menggunakan 2FA untuk melindungi terhadap pencurian identitas dan pelanggaran data perusahaan, tetapi mereka tidak boleh terbuai dalam rasa aman yang salah. 2FA jelas merupakan langkah ke arah yang benar dalam lanskap ancaman saat ini, tetapi jalan menuju keamanan yang lebih kuat dan ketenangan pikiran yang sesungguhnya jauh melampaui 2FA dasar.

Bojan Simic: 2FA ada di banyak organisasi, tetapi ada tingkat adopsi yang sangat rendah karena pengalaman pengguna yang tidak praktis. Perusahaan mulai memberikan kemampuan autentikasi yang kuat kepada konsumen dan karyawan yang mengurangi gesekan dan tidak rentan terhadap serangan otomatis, seperti saat ini 2FA.

Scott Matteson: Apa saja serangan terbaru yang melewati 2FA?

Stephen Cox: Serangan-serangan ini terus berkembang. Beberapa insiden penting telah terjadi pada tahun lalu saja.

Pada November 2018, pelanggaran basis data yang melibatkan perusahaan komunikasi Vovox memperlihatkan lebih dari 25 juta pesan teks, yang berisi informasi pelanggan pribadi termasuk tautan setel ulang kata sandi, pemberitahuan pengiriman, dan kode 2FA.

Pada bulan Agustus 2018, beberapa akun karyawan Reddit dilanggar, memungkinkan penyerang untuk mengakses data cadangan. Hal ini mendorong pejabat Reddit untuk menulis, "Kami mengetahui bahwa otentikasi berbasis SMS hampir tidak seaman yang kami harapkan."

Bojan Simic: Modlishka adalah alat yang memungkinkan untuk otomasi menyerang 2FA berbasis rahasia bersama. Ada juga serangan PUSH, yang menjadi lebih populer karena pemberitahuan PUSH digunakan untuk menyetujui permintaan otentikasi.

LIHAT: Pengelola kata sandi: Bagaimana dan mengapa menggunakannya (PDF gratis) (TechRepublic)

Cara kerja serangan 2FA

Scott Matteson: Bagaimana cara kerja serangan 2FA ini?

Stephen Cox: Beberapa serangan ini sangat sederhana ketika 2FA adalah satu-satunya langkah pengamanan yang ada. Faktanya, penyerang dapat menggunakan lebih dari setengah lusin metode untuk mem-bypass 2FA. Ini termasuk:

  • Phising waktu nyata, di mana penyerang mengirim email, melakukan panggilan dan mengembangkan situs web replika untuk meniru orang lain dan memikat detail otentikasi dari pengguna.
  • Teks dan panggilan intersepsi, celah dalam protokol Signal System 7 (SS7) yang digunakan oleh jaringan operator telepon di mana penyerang dapat mencegat pesan yang dikirim ke ponsel.
  • Malware, istilah untuk kode berbahaya yang diinstal pada PC, tablet, dan smartphones melalui pintu terbuka di mana penyerang dapat menyalin dan meneruskan kode sandi 2FA satu kali.
  • Pemberitahuan kelelahan, yang sangat efektif ketika pengguna menerima beberapa permintaan otentikasi palsu dan hanya perlu mengklik "terima." Pengguna yang terganggu akan sering menerima permintaan hanya untuk menghapus pemberitahuan.
  • Otentikasi berbasis pengetahuan, juga dikenal sebagai "rahasia bersama," adalah bentuk lain dari rekayasa sosial di mana penyerang menggunakan informasi pribadi yang mudah diakses untuk mendapatkan akses ke layanan seperti bank.
  • Penipuan porting telepon (alias pertukaran kartu SIM), di mana cybercriminal meyakinkan operator telepon untuk mentransfer kontrol kartu SIM korban, mengkompromikan semua otentikasi berbasis telepon di masa depan.

Bojan Simic: Alat-alat seperti Modlishka berfungsi dengan menyamar sebagai domain dan bertindak sebagai proxy sehingga pengguna melihat apa yang tampak seperti situs yang sah dan diperdaya untuk menyediakan 2FA mereka.

Serangan kelelahan PUSH menjadi signifikan karena ada asumsi yang berkembang bahwa kata sandi sudah dikompromikan. PUSH menyerang spam pada dasarnya korban dengan pemberitahuan untuk mengotentikasi sampai mereka bosan dan menerima satu. Ketika digunakan dalam skala massal, bahkan tingkat keberhasilan yang rendah kurang dari 3% adalah signifikan.

LIHAT: Kebijakan keamanan informasi (TechRepublic Premium)

Target dan penyerang

Scott Matteson: Siapa yang menjadi target dan siapa yang diduga melakukan serangan ini?

Stephen Cox: Swap kartu SIM berbahaya menjadi sangat umum. Dalam satu kasus, di dekat San Francisco, peretas meniru seorang pria dan meyakinkan operator ponselnya untuk menukar nomor pada kartu SIM dan meletakkannya di ponsel penyerang. Kemudian mereka mengalihkan panggilan dan pesan teksnya untuk mencegat kode otentikasi. Dalam waktu singkat, mereka menukar tabungannya sebesar $ 1 juta ke dalam bitcoin dan mengosongkan akunnya.

Insiden Vovox bahkan lebih mengerikan, tapi untungnya, tidak ada nyawa yang dicuri. Seorang peneliti keamanan menemukan bahwa database yang dikelola Vovox tidak terlindungi dan mudah dicari nama, nomor telepon, dan pesan teks yang dikirim dari Google, Amazon, dan Microsoft, antara lain. Dia memberi tahu publikasi Web berbasis teknologi populer, yang memberi tahu Vovox tentang pintu yang terbuka. Basis data ditutup, tetapi ada periode singkat di mana seorang peretas dapat memantau aliran data untuk mencegat kode otentikasi dua faktor yang dikirimkan setelah mencoba masuk ke akun orang lain.

Bojan Simic: Serangan-serangan ini memengaruhi konsumen dan karyawan dan dapat dieksekusi oleh siapa pun yang memiliki keterampilan komputer terbatas. Keponakan remaja saya lebih dari mampu melakukan serangan ini dengan sedikit usaha jika dia cenderung melakukannya. Otomatisasi serangan 2FA menjadi lebih populer karena layanan mulai membutuhkan faktor tambahan.

Apa yang bisa dilakukan organisasi

Scott Matteson: Apa yang bisa melindungi organisasi dari serangan ini, dan apa yang harus dilakukan organisasi di masa depan?

Stephen Cox: Otentikasi dua faktor tentu saja lebih efektif daripada hanya nama pengguna dan kata sandi. Tetapi risiko serangan dan pelanggaran data tetap ada jika 2FA diimplementasikan dengan buruk, terutama dalam kasus di mana pemeriksaan yang sesuai tidak dimasukkan sebelum tantangan otentikasi disajikan.

Kebocoran kata sandi dan penyalahgunaan kredensial terus meningkat, dan penyerang terus-menerus mencari cara baru untuk mengakses organisasi dan sistem dengan tidak tepat. Kita perlu merangkul pendekatan yang berkembang terhadap keamanan identitas yang meningkatkan postur keamanan sekaligus mempertahankan pengalaman pengguna yang sederhana.

Pendekatan modern, adaptif, berbasis risiko yang memanfaatkan metadata real-time dan teknik deteksi ancaman harus menjadi standar. Intelijen perlu dibangun ke dalam proses otentikasi yang memanfaatkan kontrol dinamis secara real time. Mereka juga membutuhkan kemampuan untuk memblokir permintaan otentikasi ketika mereka dianggap berisiko tinggi.

Faktor-faktor risiko ini termasuk mendeteksi penggunaan proxy anonim, deteksi alamat IP jahat, kontrol geografis dinamis, kontrol perangkat, dan analisis untuk pola akses yang tidak biasa atau akun yang terlalu istimewa. Setelah lapisan-lapisan adaptif ini dilewatkan, kontrol otentikasi dapat disajikan secara bertanggung jawab kepada pengguna.

Bojan Simic: Organisasi harus menggunakan otentikasi kuat yang tidak bergantung pada rahasia bersama, melainkan PKC (kriptografi kunci publik) atau PKI (infrastruktur kunci publik). Ini dapat dicapai dengan menggunakan solusi berbasis standar dengan spesifikasi FIDO atau menggunakan metode otentikasi berbasis PKI lainnya. Menerapkan otentikasi tanpa rahasia bersama menghasilkan peretas harus memiliki akses fisik ke perangkat yang mereka inginkan untuk mendapatkan akses yang tidak layak secara ekonomi.

LIHAT: Otentikasi dua faktor: Lembar cheat (TechRepublic)

Perlindungan pengguna akhir

Scott Matteson: Bagaimana seharusnya pengguna akhir fokus pada melindungi diri mereka sendiri?

Stephen Cox: Pengguna perlu memperkuat kata sandi mereka. Meskipun kami percaya metode otentikasi adaptif adalah cara terbaik untuk menggagalkan serangan paling berbahaya hari ini, kata sandi tidak akan hilang dalam waktu dekat. Delapan puluh satu persen dari pelanggaran data yang dikonfirmasi hari ini masih melibatkan kata sandi yang lemah, default atau dicuri. Lihatlah pilihan kata sandi yang paling populer: "123456," "123456789," "qwerty" dan "password."

Sama berbahayanya adalah orang-orang menggunakan kembali kata sandi mereka untuk banyak akun meskipun ada peringatan publisitas yang meluas terhadap praktik ini. Tujuh dari 10 pengguna memiliki kata sandi rangkap.

Di luar kata sandi, aktifkan 2FA setiap kali tersedia (seperti dengan Gmail, Twitter dan Apple, di antara banyak organisasi lain). Juga, gunakan biometrik bila memungkinkan, dari ID Wajah di iPhone hingga pembaca sidik jari di Windows laptop.

Lihat juga

Getty Images / iStockphoto

Mengapa otentikasi dua faktor tidak mudah 2

Pos terkait

Back to top button