Reden: de meeste vormen van MFA zijn niet phishingbestendig, en de vormen die daar deels tegen beschermen, zijn “gedoe”, kosten geld en zijn vaak te omzeilen met downgrade attacks.
Ik weet niet of je bekend bent met FIDO,
Jazeker!
Door Anoniem: want FIDO is niet te omzeilen door phishing aanvallen omdat de 2FA URL in de key is mee versleuteld.
Niet de URL, maar een domeinnaam wordt (onversleuteld) opgeslagen bij de “credentials” (in feite een private key) voor elk account.
Die domeinnaam in de FIDO2 hardware key (of passkey) is in de eerste plaats bedoeld om de juiste credentials in de key op te zoeken. Bij een website met afwijkende domeinnaam (zoals gooogle.com) zal de key geen credentials kunnen vinden.
Een risico zijn dan downgrade attacks: die nepwebsite kan liegen dat er een beveilingsprobleem is met de public key opgeslagen op de server, of met hun processen daarvoor, of met jouw FIDO2 key zelf en dat je daarom op alternatieve wijze in moet loggen, bijvoorbeeld MFA via SMS, een tijdelijke code uit een authenticator app of met een “rescue code”.
Als die mogelijkheid bestaat (wat vaak het geval is), kan WebAuthn worden omzeild.
Als je alle zwakkere MFA alternatieven uitzet (voor zover dat kan bij jouw accounts, de meeste cloud-providers willen jouw telefoonnummer weten), ontkom je er niet aan om minstens twee verschillende keys per account te registreren (om te voorkomen dat je buitengesloten raakt bij het verlies of defectraken van jouw enige FIDO2 key). Een nadeel is dan dat je niet kunt inloggen als je niet minstens één van die keys bij je hebt. Sterke authenticatie is niet gebruiksvriendelijk.
Maar er zijn ook omstandigheden waarbij WebAuthn zelf “gephished” kan worden. Als er interesse voor bestaat kan ik daar een “in depth” bijdrage over schrijven (dat kan niet zonder in de details te duiken).
Door Anoniem: Ook al biedt je een FIDO sleutel aan bij bijvoorbeeld een 2fa fatique aanval dan nog laat deze je niet op de fake site inloggen omdat de url niet overeenkomt.
Ik ken minstens twee scenario’s waarbij dit toch kan (die niets met MFA fatigue te maken hebben). Die zul je niet bij huis, tuin en keuken aanvallen tegenkomen, maar potentieel wel bij targeted attacks waarbij er voor cybercriminelen veel te halen valt.
Door Anoniem: Er is een nieuwe versie van de MS Authenticator die nu een extra scherm toont waar je akkoord moet geven op het inloggen. In dat scherm zie je de locatie waar je inlogt maar of dat echt gaat helpen tegen zaken als fatique aanvallen vraag ik me af.
Misschien een klein beetje tegen “MFA fatigue” aanvallen, waarschijnlijk helpt de nieuwe “number matching” feature daar beter tegen. Echter geen van allen voorkómen dat iemand zelf diens credentials invult op een “evil proxy” website.
Door Anoniem: Van FIDO weet ik in ieder geval dat dit, tot op heden, de enige phishing bestandige MFA variant is.
WebAuthn is, in de praktijk, niet altijd “unphishable”. Hoe meer mensen ergens toegang tot hebben, hoe groter de kans dat iemand in een geraffineerde aanval trapt. We moeten m.i. niet dezelfde fout maken als bij oudere vormen van MFA (en allerlei andere deels werkende beveiligingsmaatregelen), namelijk roepen dat je volstrekt veilig bent als je X gebruikt.
Door Anoniem: Nadeel ervan is wel dat medewerkers dit in de vorm van iets fysieks bij zich moeten dragen, dat kan een usb sleutel zijn maar dat kan ook een identiteitskaart zijn waarin een NFC chip verwerkt zit. Ik heb al een kaart gezien die met biometrie werkt, net zoals de nieuwe Yubikey en die van Feitian. Nog een stukje veiliger dus.
Die maatregelen zouden kunnen helpen tegen het risico van in verkeerde handen vallen van zo’n hardware key. Echter, één dreiging verkleinen kun je “veiliger” noemen, maar aan een oplossing zoals van Microsoft tegen MFA fatigue heb je niets bij phishing aanvallen (en die nemen natuurlijk toe zodra je een andere aanvalsroute blokkeert).
Andere nadelen van Yubikeys zijn dat het aantal accounts dat je erop kunt opslaan, beperkt is, en het fysieke gedoe met bij je dragen (en niet kwijtraken). Een back-up key in een kluis is wenselijk, maar die heb je -hopelijk- weer niet altijd bij je (het alternatief is een zwakkere vorm van MFA met als risico een downgrade attack).
Bron: Security.nl