Britse overheid roept op tot gebruik van phishingbestendige MFA
De Britse overheid roept organisaties op tot het gebruik van phishingbestendige multifactorauthenticatie (MFA), aangezien aanvallers beter worden in het compromitteren van met MFA beveiligde accounts. "Niet alle MFA is gelijk", aldus het Britse National Cyber Security Centre (NCSC). De overheidsinstantie pleit al jaren voor het gebruik van multifactorauthenticatie, aangezien dit een extra beveiligingslaag vormt die het lastiger voor aanvallers maakt om accounts en systemen te compromitteren.
"Aanvallers beseffen dat veel van de social engineering-technieken die ervoor zorgen dat wachtwoorden worden afgestaan ook werken om sommige MFA-methodes te overwinnen. We zien de afgelopen jaren een toename van succesvolle aanvallen tegen met MFA beveiligde accounts." Het Britse NCSC heeft een nieuwe versie van het eigen MFA-advies gepubliceerd, om zo organisaties te helpen bij het kiezen van de sterkste MFA-methode.
"We verwachten dat authenticatie voor de nabije toekomst het belangrijkste doelwit van aanvallers zal zijn. Voor security professionals is er een balans tussen een systeem dat legitieme gebruikers binnenlaat en niet legitieme gebruikers buiten", stelt de Britse overheidsdienst. Die adviseert om bij gebruik van clouddiensten te kiezen voor diensten die standaard phishingbestendige MFA aan gebruikers aanbieden. "De online diensten die het gebruikers makkelijk maken om phishingbestendige MFA te gebruiken, zijn waarschijnlijk dezelfde die het in de toekomst eenvoudiger maken om over te stappen op nog robuustere authenticatie- en autorisatiemechanismen."
De term "MFA token" is verwarrend, zo niet onzin (zie ook https://security.nl/posting/860935).
Ook de term "phishing-bestendig" is discutabel, want dat zou "in alle gevallen" kunnen suggereren. Als je, in "phishing-resistent", het woord "resistent" beschouwt als "weerstand biedend tegen", in de zin van "in de meeste gevallen", is dat wellicht een betere uitdrukking.
"Lekker" verwarrend uit https://www.ncsc.gov.uk/collection/mfa-for-your-corporate-online-services/recommended-types-of-mfa:
1. FIDO2 credentials (on trusted 'platform' devices or 'roaming' keys)
2. Challenge-based authenticator apps
3. App-based code generators
4. Hardware-based code generators
5. Message-based methods (email, SMS and call-based)
1. FIDO2 credentials (on trusted 'platform' devices or ‘roaming’ keys)
FIDO2 authentication is one of the most secure, yet usable methods of MFA. It uses standardised public-key cryptography to verify that the user possesses a trusted key-based credential. This key is protected by software on a user’s trusted ‘platform’ device, such as their laptop or smartphone, or on a ‘roaming’ FIDO2 security key, such as some YubiKeys. To achieve MFA, this software should additionally require established local user verification, such as a PIN or biometric (i.e. options enforced by Microsoft’s Windows Hello for Business or Apple’s Touch ID/Face ID systems), before the key-based credential can be used.
Mijn comments:
a) Opties 2. t/m 5. zijn niet phishing-resistant.
b) M.b.t. "FIDO2 credentials":
• RTFM. Bedoeld worden WebAuthn credentials, uit https://fidoalliance.org/fido2/:
• De public key cryptography van WebAuthn is snake oil voor marketeers.
• Missing the point (and don't RTFM). De phishing-resistance van WebAuthn wordt gerealiseerd doordat software vaststelt dat er van https gebruik gemaakt wordt én dat (een deel van de) domeinnaam klopt. Indien er niet onterecht een https servercertificaat is uitgegeven voor de domeinnaam van de website waar je op inlogt, én de server de juiste checks op de volledige domeinnaam uitvoert, is phishing (inloggen op en nepwebsite) nagenoeg onmogelijk (mits het toestel waarmee je inlogt niet gecompromitteerd is).
Via Google (site:nscs.gov.uk "passkeys") en https://www.ncsc.gov.uk/search?q=passkeys kan ik slechts één pagina vinden waar het woord "passkeys" überhaupt in vóórkomt (de conservatieven hebben kennelijk nog steeds veel invloed). Voor info over passkeys zie https://security.nl/posting/798699/Passkeys_voor_leken.
Twee andere alternatieven zijn client certificates en wat ik eerder vandaag (in het Engels) nogmaals beschreef in https://infosec.exchange/@ErikvanStraten/113277630925350550.
Dat gezegd hebbende: de manier waarop veel mensen omgaan met hun online veiligheid laat vaak zwaar te wensen over. Er zijn phishingmails die bijna niet van echt te onderscheiden zijn. Maar er zijn ook verhalen waarop ik me werkelijk niet kan voorstellen hoe je zo stom kan zijn. Zeker niet met alle aandacht die daar de laatste jaren voor is.
SP800-63B 4.2p over phishing resistance (AAL3 verplicht):
The ability of the authentication protocol to prevent the disclosure of authentication secrets and valid authenticator outputs to an impostor verifier without reliance on the vigilance of the claimant.
Gezien de verbeteringen (concreter maken) van rev 4 had ik hier een minder conceptuele duiding verwacht, heb hierop gewezen in de draft comment, misschien komt er nog een verduidelijking/concretisering in de definitieve versie.
De amerikanen pakken het top down aan, de ' office of the president' zeg in kader ZT implementatie iets over phishing resistance in OMB Memorandum 22-09, Zero Trust Implementation Strategy :
In this document, “phishing-resistant" authentication refers to authentication processes designed to detect and
prevent disclosure of authentication secrets and outputs to a website or application masquerading as a legitimate
system.
In het CISA ZT maturatity model wordt Phishing resistant MFA geplaatst in het level advanced. NIST 800-27 gaat over die ZT architectuur, maar geeft alleen aan dat attackers niet stil zitten en ZTA MFA middel bv phishing aan zullen vallen. Zwak, maar het dateert ook al uit 2020.
Het meest praktische is wat microsoft hierover schijft: https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-plan-prerequisites-phishing-resistant-passwordless-authentication
Mijn insteek na alles doorgenomen te hebben is dat Phishing resistant MFA crypto-gebaseerd (FIDO/passkey, certificaat) EN gebonden moet zijn aan de device/gebruiker sessie, dus geen 'externe' sessie mag authenticeren. Dat gaat verder dan definities die 'verlies van credentials of secrets' toepassen. Wat de useability in sommige usecases overigens niet ten goede zal komen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?