MFA penting … tapi itu tidak cukup sendiri

Nama pengguna dan kata sandi yang tidak dilindungi menawarkan sedikit pembelaan terhadap serangan pengambilalihan akun. Otentikasi Multi-Faktor (MFA) telah menjadi standar de facto untuk memperkuat kontrol akses.

Ada alasan mengapa hampir semua pedoman keamanan siber merekomendasikannya – Microsoft Research menunjukkan bahwa memungkinkan MFA CAN memblokir lebih dari 99% serangan kredensial dan phishing otomatis.

Namun bahkan implementasi MFA terbaik meninggalkan kesenjangan kritis: kata sandi yang lemah, digunakan kembali atau dikompromikan. Ketika penyerang melewati atau menghindari MFA (apakah dengan menipu pengguna untuk menyetujui pemberitahuan push atau mengeksploitasi fallback) kata sandi yang sama buruknya menjadi kunci penyerang untuk sistem Anda.

Itulah sebabnya pendekatan berlapis untuk keamanan identitas harus mencakup kebersihan kata sandi yang kuat dan MFA pada setiap titik login.

Manfaat MFA tidak bisa disangkal

Sebelum kita mengeksplorasi mengapa kata sandi masih penting, mari kita rekap secara singkat apa yang dibawa MFA ke meja:

1. Penghalang tambahan untuk masuk: Bahkan jika penyerang mencuri atau menebak kata sandi Anda, mereka masih membutuhkan faktor kedua (seperti kode satu kali atau pemindaian biometrik) untuk menyelesaikan login.
2. PHISHING TELP: Token MFA dan persetujuan berbasis push meningkatkan standar untuk kampanye pemanenan kredensial. Mencuri kata sandi saja tidak cukup.
3. Penyelarasan Regulasi: Standar seperti NIST Rekomendasikan MFA untuk akun sensitif atau bernilai tinggi. Menerapkannya membantu memenuhi mandat kepatuhan di bidang keuangan, perawatan kesehatan, pemerintah, dan seterusnya.
4. Kepercayaan Pengguna: Ketika karyawan atau pelanggan mengetahui akun mereka dilindungi oleh lebih dari sekadar kata sandi, kepercayaan, dan keterlibatan sering meningkat.
5. Penghindaran Biaya: Investasi di muka dalam MFA membayar dividen dalam biaya pelanggaran yang dicegah – biaya legal, respons insiden, kerusakan merek dan banyak lagi.

Mengapa MFA sendiri dapat membuat Anda terbuka

Terlepas dari kekuatannya, MFA bukan peluru perak dan itu bisa dilewati. Ketergantungan yang berlebihan dapat menidurkan organisasi hingga kepuasan di sekitar faktor otentikasi paling dasar: kata sandi. Pertahanan berlapis tergantung pada setiap lapisan yang menahan beratnya, dan kata sandi adalah titik masuk untuk tantangan MFA.

Jika kata sandi itu lemah, digunakan kembali atau sudah diketahui penyerang, mereka selangkah lebih dekat untuk melanggar perimeter Anda.

Perangkat yang hilang atau rusak, token yang terlupakan dan reset layanan-desk sering kali kembali ke akses hanya kata sandi. Tanpa kebijakan kata sandi yang kuat, skenario “break-glass” ini menjadi titik masuk yang mudah. Perilaku pengguna juga tidak berubah dalam semalam – organisasi yang mengadopsi MFA tanpa memperkuat pendidikan kata sandi yang sering melihat pengguna terus memilih kata sandi yang lemah atau dapat diprediksi.

Ini merusak salah satu pertahanan terkuat Anda.

Selain itu, MFA sendiri dapat ditargetkan. Teknik seperti pertukaran SIM, pemboman cepat MFA, dan rekayasa sosial di sekitar prosedur bantuan-desk dapat menipu pengguna atau staf agar menyetujui login penipuan.

Lima penyerang taktik digunakan untuk memotong MFA

1. Serangan kelelahan MFA (juga dikenal sebagai MFA Prompt-Bombing). Dengan memicu lusinan pemberitahuan push secara berturut -turut, penyerang mengurangi korban sampai mereka menyetujui “hanya untuk membuatnya berhenti.”
2. Sim Swap & SMS Hijack. Default ke kode satu kali berbasis SMS memaparkan pengguna pada serangan jaringan seluler yang mengontrol faktor kedua ke atas ke musuh.
3. Teknik Sosial di Meja Bantuan. Menyamar sebagai pengguna yang terkunci, penyerang meyakinkan staf pendukung untuk menonaktifkan MFA atau mengatur ulang kredensial, sering kali menggunakan tidak lebih dari cerita yang masuk akal. Misalnya, yang terbaru Hack besar di resor MGM.
4. Pembajakan Sesi & Pencurian Token. Cookie dan token sesi dapat dicegat atau dicuri melalui eksploitasi malware dan man-in-the-middle, membiarkan penyerang memotong kata sandi dan MFA.
5. Mengeksploitasi metode cadangan. Pertanyaan Lupa-Password, Kode Pemulihan, dan Reset Email sering kali tidak memiliki kekakuan saluran MFA primer, membuat jalur alternatif menjadi akun.

Layering Kata Sandi dan MFA yang kuat

Tidak ada kontrol tunggal yang dapat menghentikan setiap serangan. Dengan memasangkan pertahanan kata sandi yang komprehensif dengan MFA yang kuat pada setiap sistem kritis (Logon Windows, VPN, desktop jarak jauh, portal cloud dan banyak lagi) Anda membuat banyak rintangan untuk diatasi oleh musuh. Bahkan jika satu lapisan dilewati, yang lain tetap memblokir atau mendeteksi intrusi.

Untuk mengeraskan pertahanan Anda, masukkan praktik terbaik ini:

• Aktifkan MFA: Jika Anda belum melakukannya, ini adalah tempat yang jelas untuk memulai. Pertimbangkan solusi MFA yang sederhana dan efektif seperti Akses aman specops Itu dapat melindungi koneksi Windows Logon, VPN, dan RDP.
• Menegakkan panjang dan kompleksitas minimum. Membutuhkan setidaknya 15 karakter, karena panjang menawarkan perlindungan terbaik terhadap teknik-teknik brute-force. Passphrases adalah cara terbaik Untuk membuat pengguna membuat kata sandi yang kuat dan panjang.
• Blok kredensial yang diketahui dikompromikan. Mengintegrasikan cek real-time terhadap daftar yang dikompilasi dengan pelanggaran untuk mencegah pengguna memilih kata sandi yang telah muncul dalam kebocoran data. Kebijakan Kata Sandi Specops memblokir pembuatan kata sandi yang lemah dan terus memindai Direktori Aktif Anda untuk lebih dari 4 miliar kata sandi yang dilanggar. Pesan uji coba gratis hari ini.
• Lindungi Meja Layanan Anda. Solusi seperti Specops Secure Service Desk Menegakkan tantangan MFA sekunder untuk mengkonfirmasi identitas siapa pun yang menghubungi meja layanan Anda.
• Monitor untuk pola login yang tidak biasa. Gabungkan kata sandi dan log MFA untuk mendeteksi anomali-seperti login dari lokasi atau perangkat yang tidak dikenal-dan memicu otentikasi step-up saat dibutuhkan.

MFA secara dramatis mengurangi risiko akses yang tidak sah, tetapi seharusnya tidak pernah Ganti kebersihan kata sandi yang kuat.

Perlakukan kata sandi sebagai lapisan keamanan penting. Menegakkan kebijakan yang membuat mereka tetap panjang, unik, dan tanpa kompromi – kemudian tambahkan MFA sebagai garis pertahanan kedua yang kritis.

Bersama -sama, mereka membentuk strategi otentikasi yang tangguh yang akan membuat organisasi Anda dan pengguna akhir Anda jauh lebih aman.

Butuh saran tentang MFA atau keamanan kata sandi? Hubungi.

Disponsori dan ditulis oleh Perangkat Lunak Specops.