¿2FA ya no es suficiente? Pues vamos a por el tercer factor

Puerta Hoy traemos un tema algo menos técnico. Por cierto, que me parece que el sitio del que lo traemos últimamente ha bajado mucho el nivel de los artículos y ha perdido parte del interés que tenía. Pero aún podemos sacar alguna noticia. Podríamos decir que vivimos en una época de escalada ‘armamentística’: se van añadiendo recursos y herramientas a los que ya teníamos para tratar de aligerar el problema del fraude, donde los ‘malos’ son cada vez más eficientes buscando las debilidades y los defensores hacen lo que pueden, teniendo en cuenta que tienen en su lado al eslabón más débil de la cadena, que es el usuario en la mayoría de las ocasiones.

En 2FA is over. Long live 3FA! se hacen eco del creciente número de ataques y mecanismos que se están utilizando para atacar a los usuarios y los sistemas de identificación de doble factor (ya saben, además de la consabida contraseña, algo más que ayude a aligerar el problema de la autentificación. Ahora que ya casi estábamos convencidos de que era el camino a seguir.

In the past few months, we’ve seen an unprecedented number of identity theft attacks targeting accounts protected by two-factor authentication (2FA), challenging the perception that existing 2FA solutions provide adequate protection against identity theft attacks.

El problema, claro, es que casi siempre el segundo factor utiliza mecanismos que no son mucho más fuertes que la contraseña, y eso es un problema.

he problem with this type of second factor is that it is not necessarily stronger than a password; it is only timelier.

Esencialmente se utilizan dos tipos de ataques:

  • Por un lado, mecanismos de ‘adversario en medio’ adversary-in-the-middle (AiTM), que tratan de obtener esos segundos factores iniciando ellos la actividad en nombre del usuario y haciéndole creer que ese código deben ponerlo en un sitio controlado por el atacante.

AiTM is a technique used by attackers for doing phishing attacks via a proxy. Rather than harvesting passwords and trying to use them later, the attackers proxy the attempted login of the user, including the second authentication factor (whether it is an OTP or MFA push), and create a new session for the attacker, in real time, that is then used for future access.

  • Por el otro, lo que llaman fatiga multifactor, que trata de hacer llegar tantas peticiones de validación del segundo factor que el usuario baje la guardia y sea más fácil hacerle aceptar alguna de las que reciba.

The attacker then starts attempting to log in with the stolen credentials. Every time the attacker does so, the user gets a push notification on their app asking them to verify the authentication.

La propuesta sería añadir un factor más, fuera del alcance de un posible atacante, y típicamente ligados a dispositivos concretos.

The solution is to embrace MFA more broadly, moving to three-factor authentication (3FA) by adding an additional factor, but this time one that cannot be used by the attacker to authenticate from a foreign device. This can be done by tying the user authentication to a specific device or hardware token.

No sé yo…

 Date: November 30, 2022
 Categories:  seguridad
 Tags:  seguridad 2fa 3fa claves contraseñas autentificación

Previous
⏪ Nueva imagen y algunas novedades

Next
Extrayendo información de un teclado que aún conserva algo de calor ⏩