Незащищённые имена пользователей и пароли малоэффективны в защите от атак с целью захвата учётных записей. Многофакторная аутентификация (MFA) вполне обоснованно стала фактическим стандартом для усиления контроля доступа.
Недаром почти все руководства по кибербезопасности рекомендуют именно эту функцию: исследования Microsoft показывают, что включение MFA может атак с автоматической подменой учетных данных и фишинговых атак.
Однако даже самые лучшие реализации MFA оставляют серьёзный пробел: слабые, повторно используемые или скомпрометированные пароли. Когда злоумышленник обходит MFA (будь то обманом вынуждая пользователя одобрить push-уведомление или используя резервный вариант), эти же слабые пароли становятся ключом злоумышленника к вашим системам.
Вот почему многоуровневый подход к безопасности персональных данных должен включать как надежную защиту паролей, так и многофакторную аутентификацию при каждом входе в систему.
Преимущества МФА неоспоримы
Прежде чем мы рассмотрим, почему пароли по-прежнему важны, давайте кратко напомним, что дает нам MFA:
- Дополнительный барьер для входа: даже если злоумышленник украдет или угадает ваш пароль, ему все равно понадобится второй фактор (например, одноразовый код или биометрическое сканирование) для завершения входа в систему.
- Устойчивость к фишингу: токены MFA и push-подтверждения повышают планку для кампаний по сбору учётных данных. Одной кражи пароля недостаточно.
- Соответствие нормативным требованиям: рекомендуют использовать многофакторную аутентификацию (MFA) для конфиденциальных или ценных счетов. Внедрение этой функции помогает соблюдать требования к соблюдению нормативных требований в сфере финансов, здравоохранения, государственного управления и других областях.
- Доверие пользователей: когда сотрудники или клиенты знают, что их учетные записи защищены не только паролем, доверие и вовлеченность часто возрастают.
- Избежание расходов: первоначальные инвестиции в MFA окупаются за счет предотвращения расходов на устранение нарушений — судебных издержек, реагирования на инциденты, ущерба репутации и т. д.
Почему только МФА может сделать вас уязвимым
Несмотря на свои преимущества, многофакторная аутентификация (MFA) не является панацеей, и . Чрезмерное доверие к ней может привести к самоуспокоению организаций, полагаясь на самый базовый фактор аутентификации: пароль. Многоуровневая защита основана на способности каждого уровня выдерживать нагрузку, а пароль — это отправная точка для борьбы с MFA.
Если этот пароль слабый, используется повторно или уже известен злоумышленникам, они становятся на шаг ближе к нарушению вашего периметра.
Потерянные или сломанные устройства, забытые токены и сброс настроек службой поддержки часто приводят к тому, что доступ осуществляется только по паролю. Без надёжной политики паролей эти «стоп-сигналы» становятся лёгкими точками входа. Поведение пользователей также не меняется в одночасье: организации, внедряющие многофакторную аутентификацию (MFA) без дополнительного обучения пользователей использованию паролей, часто сталкиваются с тем, что пользователи продолжают выбирать слабые или предсказуемые пароли.
Это подрывает одну из ваших самых сильных защит.
Кроме того, сама система MFA может стать объектом атак. Такие методы, как подмена SIM-карт, бомбардировка запросов MFA и социальная инженерия, скрывающая процедуры службы поддержки, могут заставить пользователей или сотрудников одобрить мошеннические входы в систему.
Пять тактик, которые используют злоумышленники для обхода MFA
- Атаки, вызывающие усталость от MFA (также известные как ) . Быстро запуская десятки push-уведомлений подряд, злоумышленники изматывают жертву, пока она не даст на это согласие, «чтобы это прекратилось».
- Подмена SIM-карты и перехват SMS. Использование одноразовых кодов на основе SMS по умолчанию подвергает пользователей атакам через мобильные сети, которые передают контроль над вторым фактором злоумышленнику.
- Социальная инженерия в службе поддержки. Выдавая себя за заблокированного пользователя, злоумышленник убеждает сотрудников службы поддержки отключить многофакторную аутентификацию (MFA) или сбросить учётные данные, часто используя лишь правдоподобную историю. Например, недавний .
- Перехват сеанса и кража токенов. Файлы cookie и токены сеанса могут быть перехвачены или украдены с помощью вредоносных программ и атак типа «человек посередине», что позволяет злоумышленникам обходить как пароли, так и многофакторную аутентификацию (MFA).
- Использование резервных методов. Вопросы о забытых паролях, коды восстановления и сброс адреса электронной почты часто не столь эффективны, как основные каналы MFA, создавая альтернативные пути доступа к аккаунтам.
Создание надежных паролей и MFA
Ни один единый метод защиты не способен остановить любую атаку. Сочетая комплексную защиту паролей с надёжной многофакторной аутентификацией (MFA) на каждой критически важной системе (вход в Windows, VPN, удалённый рабочий стол, облачные порталы и многое другое), вы создаёте множество препятствий для злоумышленников. Даже если один уровень защиты обойти, другие всё равно смогут заблокировать или обнаружить вторжение.
Чтобы усилить свою защиту, используйте следующие передовые методы:
- Включите MFA: если вы ещё этого не сделали, это очевидное решение для начала. Рассмотрите простое и эффективное решение MFA, например , которое может защитить вход в Windows, VPN и RDP-подключения.
- Обеспечьте соблюдение минимальной длины и сложности пароля. Длина пароля должна быть не менее 15 символов, так как она обеспечивает наилучшую защиту от методов подбора. побудить пользователей создавать надёжные и длинные пароли.
- Блокируйте известные скомпрометированные учётные данные. Интегрируйте проверки в режиме реального времени по спискам, составленным в результате утечки данных, чтобы пользователи не выбирали пароли, которые уже были обнаружены в утечках данных. блокирует создание слабых паролей и непрерывно сканирует Active Directory на наличие более 4 миллиардов взломанных паролей. .
- Защитите свою службу поддержки . Такие решения, как используют вторичную проверку MFA для подтверждения личности любого пользователя, обращающегося в вашу службу поддержки.
- Отслеживайте необычные схемы входа в систему. Объединяйте журналы паролей и MFA для выявления аномалий, таких как входы из незнакомых мест или с незнакомых устройств, и при необходимости активируйте усиленную аутентификацию.
Относитесь к паролям как к важному уровню безопасности. Внедряйте политики, обеспечивающие их длину, уникальность и нераскрываемость, а затем добавьте многофакторную аутентификацию (MFA) в качестве критически важной второй линии защиты.
Вместе они формируют надежную стратегию аутентификации, которая значительно повысит безопасность вашей организации и ваших конечных пользователей.
