Ook multi-factorauthenticatie kan worden gehackt
Het is een feit: multi-factor authenticatie (MFA)-oplossingen die een wachtwoord als primaire authenticatiefactor gebruiken zijn onveilig. Er zijn namelijk verschillende manieren om deze oplossingen te omzeilen, en cybercriminelen kennen die als hun broekzak. Het probleem met wachtwoorden is dat ze inherent onveilig zijn. En als ze de primaire authenticatiefactor vormen, maakt dat het complete authenticatieproces onveilig. MFA-oplossingen die onder meer gebruikmaken van eenmalige codes, bevestigingen via sms-berichten, mobiele pushmeldingen en beveiligingsvragen zou je kunnen zien als een schuifdeur die je voor een andere schuifdeur plaatst om mensen de toegang tot een kamer te ontzeggen. Ze maken het hackers een beetje lastig, maar bieden altijd onvoldoende bescherming.
MFA hacken met valse aanmeldpagina’s
Bij phishing-aanvallen maken cybercriminelen gebruik van misleiding om gebruikers over te halen tot het prijsgeven van hun gebruikersnaam en wachtwoord. Multi-factorauthenticatie lijkt een goed wapen tegen phishing-aanvallen, maar is dat niet. Het enige wat hackers hoeven te doen, is het tweede wachtwoord of de aanvullende pincode van de gebruiker te bemachtigen. Dat kunnen ze onder meer doen door een nagebootste aanmeldingspagina in het leven te roepen. Als een argeloze gebruiker daar de code invoert, kunnen hackers die gebruiken om in te loggen via de echte aanmeldingspagina. Deze truc werkt ook als er voor de authenticatie gebruik wordt gemaakt van verschillende kanalen. En ja, dat gebeurt echt! Kijk hier voor een voorbeeld van een grootschalige phishing-campagne waarbij deze techniek werd toegepast op accounts van gebruikers van Google, Yahoo en ProtonMail.
MFA hacken met SIM swapping
Soms is het voor een hacker niet eens nodig is om je tweede authenticatiefactor buit te maken. Hij kan de beveiligingscode direct naar zichzelf laten doorsturen zodra je je ergens probeert aan te melden. Dat is mogelijk als je een inlogcode naar je mobiele telefoon laat sturen. Een hacker gebruikt dan een techniek dat we SIM-swapping noemen. Het enige dat die hoeft te doen, is bellen met je mobiele provider en met een paar social engineering-trucs te overhalen om jouw mobiele nummer op zijn of haar naam te zetten. Lees hier de waarschuwingen van de FBI over deze techniek voor het omzeilen van multi-factorauthenticatie.
MFA hacken met een man in the middle-aanval Een man in the middle-aanval is precies wat de naam zegt. Hierbij plaatst hacker een systeem tussen de client en de server in om al het dataverkeer van de gebruiker te onderscheppen, met inbegrip van de tweede authenticatiefactor die deze invoert. Hackers kunnen op die manier ongezien systemen binnendringen. Deze techniek wordt ook wel sessiekaping genoemd. Een ontluisterende video van de chief hacking officer van KnowBe4 laat zien hoe dit in zijn werk gaat.
MFA hacken via een man in the endpoint-aanval
Dit type aanval gaat gepaard met de installatie van malware op een endpoint. Zodra je identiteit is geverifieerd voert deze malware kwaadaardige sessies op de achtergrond uit. Stel bijvoorbeeld dat een werknemer zich aanmeldt op een HR-systeem om verlof aan te vragen. Hierop wordt een verborgen sessie gestart waarvan alleen de hacker weet heeft. Deze kan vervolgens de bankrekening wijzigen waarop het elke maand het salaris van de werknemer wordt gestort.
MFA hacken door het kraken van de passcode generator
Veel MFA-oplossingen maken gebruik van een algoritme dat eenmalige wachtwoordcodes genereert. Dit gebeurt op basis van een ‘seed number’: een begingetal dat als uitgangspunt dient voor het generen van willekeurige codes. Hoewel dit tot de complexere authenticatiemethoden behoort, is het hackers gelukt om algoritmes en seed nummers te ontleden en om vervolgens zelf correcte wachtwoordcodes te genereren. Je zou het kunnen vergelijken met het meten van een sleutelgat en het op basis daarvan vervaardigen van een sleutel die op het slot past. Klinkt dat vergezocht? Vertel dat maar aan de hackers die erin slaagden om de seed-waarden van het encryptiesysteem RSA te bemachtigen en het algoritme te ontleden om vervolgens het netwerk van Lockheed Martin binnen te dringen.
Cybersecurity is werk in uitvoering De lijst met voorbeelden gaat maar door. Cybercriminelen vinden voortdurend nieuwe manieren om MFA-oplossingen in alle soorten en maten te omzeilen. Dat komt omdat deze oplossingen niet meer dan een pleister op een wond vormen. En die wond heeft de vorm van een zwakke authenticatiefactor die aan de basis van deze oplossingen staat, namelijk het wachtwoord. De les die we hieruit kunnen trekken is dat het toevoegen van nieuwe authenticatiefactoren de beveiliging nooit zal kunnen verbeteren als MFA-oplossingen gebruik blijven maken van wachtwoorden als primaire authenticatiefactor.
Wat werkt wel?
Wil je hackers buiten de deur houden met een platform dat wel werkt, kies dan voor een geavanceerde MFA-oplossing die de identiteit van een gebruiker op basis van cryptografie aan zijn apparaten koppelt. Een goed MFA-systeem combineert encryptietechnologie op basis van publieke en private sleutels met X.509-certificaten. Dit maakt het mogelijk om wachtwoorden volledig te elimineren uit processen voor authenticatie en accountherstel. De kernarchitectuur zorgt er samen met de moderne authenticator en geavanceerde policy engine voor dat alleen bevoegde gebruikers en apparaten toegang krijgen en controleert of elk apparaat voor en na het authenticatieproces aan de beveiligingseisen voldoet. Zo krijgen hackers geen enkele kans om argeloze werknemers hun codes te ontfutselen, en blijft gevoelige data waar het hoort: achter slot en grendel
Patrick McBride Chief Marketing Officer bij Beyond Identity