Britse overheid roept op tot gebruik van phishingbestendige MFA
De Britse overheid roept organisaties op tot het gebruik van phishingbestendige multifactorauthenticatie (MFA), aangezien aanvallers beter worden in het compromitteren van met MFA beveiligde accounts. "Niet alle MFA is gelijk", aldus het Britse National Cyber Security Centre (NCSC). De overheidsinstantie pleit al jaren voor het gebruik van multifactorauthenticatie, aangezien dit een extra beveiligingslaag vormt die het lastiger voor aanvallers maakt om accounts en systemen te compromitteren.
"Aanvallers beseffen dat veel van de social engineering-technieken die ervoor zorgen dat wachtwoorden worden afgestaan ook werken om sommige MFA-methodes te overwinnen. We zien de afgelopen jaren een toename van succesvolle aanvallen tegen met MFA beveiligde accounts." Het Britse NCSC heeft een nieuwe versie van het eigen MFA-advies gepubliceerd, om zo organisaties te helpen bij het kiezen van de sterkste MFA-methode.
"We verwachten dat authenticatie voor de nabije toekomst het belangrijkste doelwit van aanvallers zal zijn. Voor security professionals is er een balans tussen een systeem dat legitieme gebruikers binnenlaat en niet legitieme gebruikers buiten", stelt de Britse overheidsdienst. Die adviseert om bij gebruik van clouddiensten te kiezen voor diensten die standaard phishingbestendige MFA aan gebruikers aanbieden. "De online diensten die het gebruikers makkelijk maken om phishingbestendige MFA te gebruiken, zijn waarschijnlijk dezelfde die het in de toekomst eenvoudiger maken om over te stappen op nog robuustere authenticatie- en autorisatiemechanismen."
De term "MFA token" is verwarrend, zo niet onzin (zie ook https://security.nl/posting/860935).
Ook de term "phishing-bestendig" is discutabel, want dat zou "in alle gevallen" kunnen suggereren. Als je, in "phishing-resistent", het woord "resistent" beschouwt als "weerstand biedend tegen", in de zin van "in de meeste gevallen", is dat wellicht een betere uitdrukking.
"Lekker" verwarrend uit https://www.ncsc.gov.uk/collection/mfa-for-your-corporate-online-services/recommended-types-of-mfa:
1. FIDO2 credentials (on trusted 'platform' devices or 'roaming' keys)
2. Challenge-based authenticator apps
3. App-based code generators
4. Hardware-based code generators
5. Message-based methods (email, SMS and call-based)
1. FIDO2 credentials (on trusted 'platform' devices or ‘roaming’ keys)
FIDO2 authentication is one of the most secure, yet usable methods of MFA. It uses standardised public-key cryptography to verify that the user possesses a trusted key-based credential. This key is protected by software on a user’s trusted ‘platform’ device, such as their laptop or smartphone, or on a ‘roaming’ FIDO2 security key, such as some YubiKeys. To achieve MFA, this software should additionally require established local user verification, such as a PIN or biometric (i.e. options enforced by Microsoft’s Windows Hello for Business or Apple’s Touch ID/Face ID systems), before the key-based credential can be used.
Mijn comments:
a) Opties 2. t/m 5. zijn niet phishing-resistant.
b) M.b.t. "FIDO2 credentials":
• RTFM. Bedoeld worden WebAuthn credentials, uit https://fidoalliance.org/fido2/:
• De public key cryptography van WebAuthn is snake oil voor marketeers.
• Missing the point (and don't RTFM). De phishing-resistance van WebAuthn wordt gerealiseerd doordat software vaststelt dat er van https gebruik gemaakt wordt én dat (een deel van de) domeinnaam klopt. Indien er niet onterecht een https servercertificaat is uitgegeven voor de domeinnaam van de website waar je op inlogt, én de server de juiste checks op de volledige domeinnaam uitvoert, is phishing (inloggen op en nepwebsite) nagenoeg onmogelijk (mits het toestel waarmee je inlogt niet gecompromitteerd is).
Via Google (site:nscs.gov.uk "passkeys") en https://www.ncsc.gov.uk/search?q=passkeys kan ik slechts één pagina vinden waar het woord "passkeys" überhaupt in vóórkomt (de conservatieven hebben kennelijk nog steeds veel invloed). Voor info over passkeys zie https://security.nl/posting/798699/Passkeys_voor_leken.
Twee andere alternatieven zijn client certificates en wat ik eerder vandaag (in het Engels) nogmaals beschreef in https://infosec.exchange/@ErikvanStraten/113277630925350550.
Dat gezegd hebbende: de manier waarop veel mensen omgaan met hun online veiligheid laat vaak zwaar te wensen over. Er zijn phishingmails die bijna niet van echt te onderscheiden zijn. Maar er zijn ook verhalen waarop ik me werkelijk niet kan voorstellen hoe je zo stom kan zijn. Zeker niet met alle aandacht die daar de laatste jaren voor is.
SP800-63B 4.2p over phishing resistance (AAL3 verplicht):
The ability of the authentication protocol to prevent the disclosure of authentication secrets and valid authenticator outputs to an impostor verifier without reliance on the vigilance of the claimant.
Gezien de verbeteringen (concreter maken) van rev 4 had ik hier een minder conceptuele duiding verwacht, heb hierop gewezen in de draft comment, misschien komt er nog een verduidelijking/concretisering in de definitieve versie.
De amerikanen pakken het top down aan, de ' office of the president' zeg in kader ZT implementatie iets over phishing resistance in OMB Memorandum 22-09, Zero Trust Implementation Strategy :
In this document, “phishing-resistant" authentication refers to authentication processes designed to detect and
prevent disclosure of authentication secrets and outputs to a website or application masquerading as a legitimate
system.
In het CISA ZT maturatity model wordt Phishing resistant MFA geplaatst in het level advanced. NIST 800-27 gaat over die ZT architectuur, maar geeft alleen aan dat attackers niet stil zitten en ZTA MFA middel bv phishing aan zullen vallen. Zwak, maar het dateert ook al uit 2020.
Het meest praktische is wat microsoft hierover schijft: https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-plan-prerequisites-phishing-resistant-passwordless-authentication
Mijn insteek na alles doorgenomen te hebben is dat Phishing resistant MFA crypto-gebaseerd (FIDO/passkey, certificaat) EN gebonden moet zijn aan de device/gebruiker sessie, dus geen 'externe' sessie mag authenticeren. Dat gaat verder dan definities die 'verlies van credentials of secrets' toepassen. Wat de useability in sommige usecases overigens niet ten goede zal komen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
