- Эксперты предупреждают, что Фидо не поддерживается в доступе к идентификатору Entra
- Это запускает механизм регистрации резервного завышения, который может быть записан
- Введение должно быть настроено, говорят исследователи, говорят исследователи
Приложения Authenticator на основе FIDO считаются одной из самых сильных практических защит от фишинга и референциальной кражи, но это не без слабых сторон после последних исследований из PressionPoint.
Исследователи компании утверждают, что они нашли способ привязать цель отказаться от аутентификации на основе FIDO для более слабого метода регистрации, который можно принять при трафике.
Таким образом, несмотря на защищенные защитные механизмы, жертвы могут потерять доступ к ключевым счетам через отраслевой стандарт.
Отсутствуют функции безопасности
«Слабость» в этом сценарии заключается в том, что не все браузеры поддерживают Фидо. Например, Safari под Windows не совместим с аутентификацией на основе FIDO в Microsoft-Entra-ID. Если пользователь пытается зарегистрироваться в такой настройке, предложенная вам альтернатива, предложенная вам-одноразовый пароль с SMS, электронную почту или запрос на вступление в OAuth.
Все это можно поднять через атаку противника в среднем уровне (AITM), на которую нападающие направлялись и использовались для регистрации в учетной записи.
«Этот, казалось бы, незначительный пробел в функциональности может быть собрана злоумышленниками», — сказал доказательство в своем отчете.
«Игрок угроз может адаптировать AITM к неподдерживаемому пользователю, который не распознается реализацией FIDO. Затем пользователь будет вынужден аутентифицировать с помощью менее безопасного метода. Такое поведение, которое наблюдалось на платформах Microsoft, является отсутствием безопасности».
Согласно Pracepoint, нет никаких доказательств того, что этот метод неправильно используется в дикой природе, и предполагает, что игроки угроз по-прежнему с большей вероятностью будут нацелены на учетные записи без многофакторной аутентификации (MFA).
Тем не менее, поскольку все больше и больше компаний используют эту антифишингевую технику, может быть, что аутентификация по аутентификации на основе FIDO предлагается.
Чтобы минимизировать риск, компании должны деактивировать альтернативные методы аутентификации для ключевых учетных записей или, по крайней мере, включить дополнительные проверки, если запускается альтернатива.
Над Звуковой сигнал
Вы также могли бы понравиться
