Новости Биометрия не спасет: найден способ обхода защиты FIDO2

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Действительно ли аппаратные ключи безопаснее, чем пароли?


m56g5kipadpccb6i58wjyea461uintqg.jpg


В новом отчёте Verizon Для просмотра ссылки Войди или Зарегистрируйся указывается, что почти в 30% всех зафиксированных нарушений за последние 10 лет виной всему стали украденные учетные данные. Такая тенденция подчеркивает, насколько критичной стала роль паролей и других средств аутентификации в современных цифровых угрозах.

Поэтому на данный момент наблюдается повышенный интерес к современным методам аутентификации, таким как FIDO2 . Этот стандарт использует уникальные криптографические удостоверения, связанные с аппаратными устройствами – смартфонами или ПК. Вместо традиционных паролей здесь применяются биометрические данные и многофакторная аутентификация через технологию единого входа (Single Sign-On, SSO ).

Однако, компания Silverfort Для просмотра ссылки Войди или Зарегистрируйся заявила, что даже такие защитные меры можно обойти. Методика Silverfort, основанная на атаке типа «человек посередине» (Man-in-the-Middle, MitM ), позволяет перехватывать и копировать сессии пользователя в различных приложениях, использующих SSO-решения.


0z2hosin5hf0r0a05djme7ybcvdeivdm.png


Перехват сессии аутентификации

FIDO2 разработан для защиты от фишинга и MITM-атак, заменяя уязвимые пароли на более надёжные аппаратные ключи и биометрию. Однако такое решение зависит от внешних систем типа SSO, которые создают аутентификационные сессии, идущие в качестве моста между пользователем и приложением. Проблема в том, что защита, обеспечиваемая протоколами как Transport Layer Security ( TLS ), не распространяется на токены и сессии, которые могут сохраняться и быть доступными часами.

Согласно Silverfort, успешно аутентифицированная сессия может передавать чувствительные данные, при этом токен сессии можно скопировать и использовать многократно без ограничений. Отмечается, что после прохождения аутентификации пользователь получает почти неограниченный доступ к ресурсам, что увеличивает риски злоупотребления.

Исследователи подчеркивают, что хотя их методы выявляют некоторые слабости в процессах, стандарты, подобные FIDO2, по-прежнему существенно превосходят пароли и основанные на знаниях формы защиты личных данных.

В FIDO Alliance подчеркнули, что методы обхода, описанные в исследовании, технически верны, но не отражают уязвимостей в стандартах аутентификации FIDO. Проблема заключается в неспособности индустрии разработать единый подход к защите токенов аутентификации от кражи или злоупотребления.

Тем не менее, решение «привязка токенов» может решить эту проблему, но широкое внедрение такой технологии пока ограничено, и единственный крупный браузер, поддерживающий её, — Для просмотра ссылки Войди или Зарегистрируйся

Привязка токена работает путем добавления дополнительного уровня безопасности, привязывая токен аутентификации сеанса к базовому подтверждению связи TLS, которое используется для шифрования трафика на внешнем интерфейсе. На практике это означает, что только реальный пользователь сможет использовать токен для доступа к приложениям, а злоумышленник не сможет продублировать сеанс для сохранения своего доступа.

Еще в 2022 году Microsoft Для просмотра ссылки Войди или Зарегистрируйся с использованием Windows Hello и ключей безопасности FIDO2. А с 2021 года пользователи GitHub могут Для просмотра ссылки Войди или Зарегистрируйся с помощью аппаратных ключей безопасности FIDO2.
 
Источник новости
www.securitylab.ru

Похожие темы