image

Britse overheid roept op tot gebruik van phishingbestendige MFA

woensdag 9 oktober 2024, 14:04 door Redactie, 6 reacties

De Britse overheid roept organisaties op tot het gebruik van phishingbestendige multifactorauthenticatie (MFA), aangezien aanvallers beter worden in het compromitteren van met MFA beveiligde accounts. "Niet alle MFA is gelijk", aldus het Britse National Cyber Security Centre (NCSC). De overheidsinstantie pleit al jaren voor het gebruik van multifactorauthenticatie, aangezien dit een extra beveiligingslaag vormt die het lastiger voor aanvallers maakt om accounts en systemen te compromitteren.

"Aanvallers beseffen dat veel van de social engineering-technieken die ervoor zorgen dat wachtwoorden worden afgestaan ook werken om sommige MFA-methodes te overwinnen. We zien de afgelopen jaren een toename van succesvolle aanvallen tegen met MFA beveiligde accounts." Het Britse NCSC heeft een nieuwe versie van het eigen MFA-advies gepubliceerd, om zo organisaties te helpen bij het kiezen van de sterkste MFA-methode.

"We verwachten dat authenticatie voor de nabije toekomst het belangrijkste doelwit van aanvallers zal zijn. Voor security professionals is er een balans tussen een systeem dat legitieme gebruikers binnenlaat en niet legitieme gebruikers buiten", stelt de Britse overheidsdienst. Die adviseert om bij gebruik van clouddiensten te kiezen voor diensten die standaard phishingbestendige MFA aan gebruikers aanbieden. "De online diensten die het gebruikers makkelijk maken om phishingbestendige MFA te gebruiken, zijn waarschijnlijk dezelfde die het in de toekomst eenvoudiger maken om over te stappen op nog robuustere authenticatie- en autorisatiemechanismen."

Reacties (6)
09-10-2024, 14:29 door Erik van Straten
Sja, wat zal ik zeggen...
09-10-2024, 14:32 door root
Ik ben het met Erik eens...
09-10-2024, 15:18 door Anoniem
En gaat deze phishing bestendige MFA ook helpen tegen het stelen van MFA tokens? Dus wanneer een gebruiker op een phishing site zijn inloggegevens invult en MFA bevestigd? Daar is nagenoeg niks tegen te doen :)
09-10-2024, 17:30 door Erik van Straten
Door Anoniem: En gaat deze phishing bestendige MFA ook helpen tegen het stelen van MFA tokens? Dus wanneer een gebruiker op een phishing site zijn inloggegevens invult en MFA bevestigd? Daar is nagenoeg niks tegen te doen :)
OK ik bijt.

De term "MFA token" is verwarrend, zo niet onzin (zie ook https://security.nl/posting/860935).

Ook de term "phishing-bestendig" is discutabel, want dat zou "in alle gevallen" kunnen suggereren. Als je, in "phishing-resistent", het woord "resistent" beschouwt als "weerstand biedend tegen", in de zin van "in de meeste gevallen", is dat wellicht een betere uitdrukking.

"Lekker" verwarrend uit https://www.ncsc.gov.uk/collection/mfa-for-your-corporate-online-services/recommended-types-of-mfa:
The NCSC have chosen this order based on the strength of authentication provided, including the assurance, accessibility, and usability that they provide. For each one, we've also outlined scenarios where the method is particularly appropriate (or less appropriate):

1. FIDO2 credentials (on trusted 'platform' devices or 'roaming' keys)
2. Challenge-based authenticator apps
3. App-based code generators
4. Hardware-based code generators
5. Message-based methods (email, SMS and call-based)

1. FIDO2 credentials (on trusted 'platform' devices or ‘roaming’ keys)
FIDO2 authentication is one of the most secure, yet usable methods of MFA. It uses standardised public-key cryptography to verify that the user possesses a trusted key-based credential. This key is protected by software on a user’s trusted ‘platform’ device, such as their laptop or smartphone, or on a ‘roaming’ FIDO2 security key, such as some YubiKeys. To achieve MFA, this software should additionally require established local user verification, such as a PIN or biometric (i.e. options enforced by Microsoft’s Windows Hello for Business or Apple’s Touch ID/Face ID systems), before the key-based credential can be used.

Mijn comments:
a) Opties 2. t/m 5. zijn niet phishing-resistant.

b) M.b.t. "FIDO2 credentials":

• RTFM. Bedoeld worden WebAuthn credentials, uit https://fidoalliance.org/fido2/:
The FIDO2 specifications are the World Wide Web Consortium’s (W3C) Web Authentication (WebAuthn) specification and FIDO Alliance’s corresponding Client-to-Authenticator Protocol (CTAP).

• De public key cryptography van WebAuthn is snake oil voor marketeers.

• Missing the point (and don't RTFM). De phishing-resistance van WebAuthn wordt gerealiseerd doordat software vaststelt dat er van https gebruik gemaakt wordt én dat (een deel van de) domeinnaam klopt. Indien er niet onterecht een https servercertificaat is uitgegeven voor de domeinnaam van de website waar je op inlogt, én de server de juiste checks op de volledige domeinnaam uitvoert, is phishing (inloggen op en nepwebsite) nagenoeg onmogelijk (mits het toestel waarmee je inlogt niet gecompromitteerd is).

Via Google (site:nscs.gov.uk "passkeys") en https://www.ncsc.gov.uk/search?q=passkeys kan ik slechts één pagina vinden waar het woord "passkeys" überhaupt in vóórkomt (de conservatieven hebben kennelijk nog steeds veel invloed). Voor info over passkeys zie https://security.nl/posting/798699/Passkeys_voor_leken.

Twee andere alternatieven zijn client certificates en wat ik eerder vandaag (in het Engels) nogmaals beschreef in https://infosec.exchange/@ErikvanStraten/113277630925350550.
09-10-2024, 19:07 door Anoniem
Ik denk dat het hoog tijd is dat we accepteren dat geen enkel systeem waterdicht is, of ooit zal worden.

Dat gezegd hebbende: de manier waarop veel mensen omgaan met hun online veiligheid laat vaak zwaar te wensen over. Er zijn phishingmails die bijna niet van echt te onderscheiden zijn. Maar er zijn ook verhalen waarop ik me werkelijk niet kan voorstellen hoe je zo stom kan zijn. Zeker niet met alle aandacht die daar de laatste jaren voor is.
10-10-2024, 12:22 door Anoniem
Phishing resistant is een zwalkend begrip. Zoiets als 'braakveilige' fietssloten. Er zijn wel pogingen en verbeteringen.


SP800-63B 4.2p over phishing resistance (AAL3 verplicht):
The ability of the authentication protocol to prevent the disclosure of authentication secrets and valid authenticator outputs to an impostor verifier without reliance on the vigilance of the claimant.

Gezien de verbeteringen (concreter maken) van rev 4 had ik hier een minder conceptuele duiding verwacht, heb hierop gewezen in de draft comment, misschien komt er nog een verduidelijking/concretisering in de definitieve versie.

De amerikanen pakken het top down aan, de ' office of the president' zeg in kader ZT implementatie iets over phishing resistance in OMB Memorandum 22-09, Zero Trust Implementation Strategy :
In this document, “phishing-resistant" authentication refers to authentication processes designed to detect and
prevent disclosure of authentication secrets and outputs to a website or application masquerading as a legitimate
system.

In het CISA ZT maturatity model wordt Phishing resistant MFA geplaatst in het level advanced. NIST 800-27 gaat over die ZT architectuur, maar geeft alleen aan dat attackers niet stil zitten en ZTA MFA middel bv phishing aan zullen vallen. Zwak, maar het dateert ook al uit 2020.

Het meest praktische is wat microsoft hierover schijft: https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-plan-prerequisites-phishing-resistant-passwordless-authentication

Mijn insteek na alles doorgenomen te hebben is dat Phishing resistant MFA crypto-gebaseerd (FIDO/passkey, certificaat) EN gebonden moet zijn aan de device/gebruiker sessie, dus geen 'externe' sessie mag authenticeren. Dat gaat verder dan definities die 'verlies van credentials of secrets' toepassen. Wat de useability in sommige usecases overigens niet ten goede zal komen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.