Recientemente, los investigadores informaron haber encontrado un ataque de phishing en la naturaleza que evita un esquema de autenticación multifactorial basado en FIDO (Identidad rápida en línea), el estándar de toda la industria que está siendo adoptado por miles de sitios y empresas. Si es cierto, el ataque, reportado en una publicación de blog el jueves por la firma de seguridad Expel, sería una gran noticia, ya que Fido es ampliamente considerado como inmune a los ataques de phishing de credenciales. Después de analizar la redacción de expulsiones, estoy seguro de que el ataque no pasa por alto las protecciones de Fido, al menos no en el sentido de que la palabra «bypass» se usa comúnmente en los círculos de seguridad. Más bien, el ataque deja de baja el proceso de MFA a un proceso más débil y no basado en Fido. Como tal, el ataque se describe mejor como un ataque de rebaja de Fido. Más sobre eso en breve. Por ahora, describamos lo que informaron los investigadores de expulsiones. Abusar de expulsiones de firmes de servicio cruzado dijo que la «técnica de ataque novedosa» comienza con un correo electrónico que vincula a una página de inicio de sesión falsa de OKTA, un proveedor de autenticación ampliamente utilizado. Le solicita a los visitantes que ingresen su nombre de usuario y contraseña válidas. Las personas que recurren el anzuelo ahora han ayudado al grupo de ataque, que según Expel se llama envenenamiento, aclaran el primer gran obstáculo para obtener acceso no autorizado a la cuenta OKTA. La especificación de FIDO fue diseñada para mitigar con precisión este tipo de escenarios al exigir a los usuarios que proporcionen un factor adicional de autenticación en forma de una clave de seguridad, que puede ser una clave de seguridad o una clave de seguridad física, como un teléfono inteligente o un dispositivo dedicado como un yubikey. Para este paso adicional, el PassKey debe usar una clave criptográfica única incrustada en el dispositivo para firmar un desafío que el sitio (OKTA, en este caso) envía al navegador inicia sesión. Una de las formas en que un usuario puede proporcionar este factor adicional es mediante el uso de una función de inicio de sesión entre dispositivos. En el caso de que no haya una clave de pase en el dispositivo que se usa para iniciar sesión, un usuario puede usar una clave de passaje para ese sitio que ya reside en un dispositivo diferente, que en la mayoría de los casos será un teléfono. En estos casos, el sitio que se registra mostrará un código QR. Luego, el usuario escanea el código QR con el teléfono, y el proceso Normal FIDO MFA continúa como normal.
Deja una respuesta