Britse overheid roept op tot gebruik van phishingbestendige MFA
De Britse overheid roept organisaties op tot het gebruik van phishingbestendige multifactorauthenticatie (MFA), aangezien aanvallers beter worden in het compromitteren van met MFA beveiligde accounts. "Niet alle MFA is gelijk", aldus het Britse National Cyber Security Centre (NCSC). De overheidsinstantie pleit al jaren voor het gebruik van multifactorauthenticatie, aangezien dit een extra beveiligingslaag vormt die het lastiger voor aanvallers maakt om accounts en systemen te compromitteren.
"Aanvallers beseffen dat veel van de social engineering-technieken die ervoor zorgen dat wachtwoorden worden afgestaan ook werken om sommige MFA-methodes te overwinnen. We zien de afgelopen jaren een toename van succesvolle aanvallen tegen met MFA beveiligde accounts." Het Britse NCSC heeft een nieuwe versie van het eigen MFA-advies gepubliceerd, om zo organisaties te helpen bij het kiezen van de sterkste MFA-methode.
"We verwachten dat authenticatie voor de nabije toekomst het belangrijkste doelwit van aanvallers zal zijn. Voor security professionals is er een balans tussen een systeem dat legitieme gebruikers binnenlaat en niet legitieme gebruikers buiten", stelt de Britse overheidsdienst. Die adviseert om bij gebruik van clouddiensten te kiezen voor diensten die standaard phishingbestendige MFA aan gebruikers aanbieden. "De online diensten die het gebruikers makkelijk maken om phishingbestendige MFA te gebruiken, zijn waarschijnlijk dezelfde die het in de toekomst eenvoudiger maken om over te stappen op nog robuustere authenticatie- en autorisatiemechanismen."
De term "MFA token" is verwarrend, zo niet onzin (zie ook https://security.nl/posting/860935).
Ook de term "phishing-bestendig" is discutabel, want dat zou "in alle gevallen" kunnen suggereren. Als je, in "phishing-resistent", het woord "resistent" beschouwt als "weerstand biedend tegen", in de zin van "in de meeste gevallen", is dat wellicht een betere uitdrukking.
"Lekker" verwarrend uit https://www.ncsc.gov.uk/collection/mfa-for-your-corporate-online-services/recommended-types-of-mfa:
1. FIDO2 credentials (on trusted 'platform' devices or 'roaming' keys)
2. Challenge-based authenticator apps
3. App-based code generators
4. Hardware-based code generators
5. Message-based methods (email, SMS and call-based)
1. FIDO2 credentials (on trusted 'platform' devices or ‘roaming’ keys)
FIDO2 authentication is one of the most secure, yet usable methods of MFA. It uses standardised public-key cryptography to verify that the user possesses a trusted key-based credential. This key is protected by software on a user’s trusted ‘platform’ device, such as their laptop or smartphone, or on a ‘roaming’ FIDO2 security key, such as some YubiKeys. To achieve MFA, this software should additionally require established local user verification, such as a PIN or biometric (i.e. options enforced by Microsoft’s Windows Hello for Business or Apple’s Touch ID/Face ID systems), before the key-based credential can be used.
Mijn comments:
a) Opties 2. t/m 5. zijn niet phishing-resistant.
b) M.b.t. "FIDO2 credentials":
• RTFM. Bedoeld worden WebAuthn credentials, uit https://fidoalliance.org/fido2/:
• De public key cryptography van WebAuthn is snake oil voor marketeers.
• Missing the point (and don't RTFM). De phishing-resistance van WebAuthn wordt gerealiseerd doordat software vaststelt dat er van https gebruik gemaakt wordt én dat (een deel van de) domeinnaam klopt. Indien er niet onterecht een https servercertificaat is uitgegeven voor de domeinnaam van de website waar je op inlogt, én de server de juiste checks op de volledige domeinnaam uitvoert, is phishing (inloggen op en nepwebsite) nagenoeg onmogelijk (mits het toestel waarmee je inlogt niet gecompromitteerd is).
Via Google (site:nscs.gov.uk "passkeys") en https://www.ncsc.gov.uk/search?q=passkeys kan ik slechts één pagina vinden waar het woord "passkeys" überhaupt in vóórkomt (de conservatieven hebben kennelijk nog steeds veel invloed). Voor info over passkeys zie https://security.nl/posting/798699/Passkeys_voor_leken.
Twee andere alternatieven zijn client certificates en wat ik eerder vandaag (in het Engels) nogmaals beschreef in https://infosec.exchange/@ErikvanStraten/113277630925350550.
Dat gezegd hebbende: de manier waarop veel mensen omgaan met hun online veiligheid laat vaak zwaar te wensen over. Er zijn phishingmails die bijna niet van echt te onderscheiden zijn. Maar er zijn ook verhalen waarop ik me werkelijk niet kan voorstellen hoe je zo stom kan zijn. Zeker niet met alle aandacht die daar de laatste jaren voor is.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.