Passkey: il loro impatto e le loro vulnerabilità

Il passaggio a un futuro senza password è uno sviluppo positivo. Ci sarà un giorno in cui gli account di tutti saranno meno vulnerabili alle attività criminali? Questo è un enorme passo avanti nella visione di SpyCloud per rendere Internet un posto più sicuro. Purtroppo quel giorno è ancora molto lontano. Le passkey, pur essendo un coraggioso passo nella giusta direzione, sono semplicemente un miglioramento rispetto a una metodologia di password per applicazione e presentano molte delle stesse sfide quando si tratta di mantenere la sicurezza degli account utente.

In risposta ai miglioramenti nelle tecnologie senza password, gli ecosistemi criminali si stanno rapidamente adattando:

  • Spostando la loro attenzione dalle credenziali dell’account ai metodi di recupero dell’account
  • Sviluppando modi per rubare passkey
  • Lavorando su passkey e altri metodi di autenticazione senza password con attacchi di session hijacking

In SpyCloud, ci concentriamo sul recupero su larga scala dei dati esfiltrati da violazioni e malware, mentre cerchiamo e recuperiamo nuove forme di dati che gli attori malintenzionati trovano preziosi per le loro intenzioni criminali per aiutare le aziende a reagire rapidamente, invalidando i dati di autenticazione rubati per mantenere i loro utenti e la loro attività protetta. Le chiavi di accesso, insieme ad altre tecnologie che verranno sviluppate in futuro, fanno parte di questa missione.

Man mano che la tecnologia passa, sarebbe ignorante presumere che qualsiasi nuova soluzione sia immune da compromissioni informatiche. Questo è vero nel caso del passaggio da password a passwordless.
Poiché le password sono una misura di sicurezza semplice, conveniente e onnipresente, facile da implementare e praticamente senza curva di apprendimento per l’utente medio, è probabile che siano disponibili per un po’ di tempo.
Ma nel frattempo, esaminiamo le opzioni per l’autenticazione senza password che esistono ora.

L’autenticazione senza password è un concetto di controllo della sicurezza progettato per sostituire le password tradizionali. E per decenni, nuovi metodi di autenticazione aumentata si sono avvicinati a categorie di hard token e soft token. I più comunemente usati sono:

HARD TOKENS

YubiKey
Dispositivo di autenticazione proprietario basato su hardware che consente l’accesso sicuro a computer, reti e servizi online attraverso l’uso di password monouso, sviluppato da FIDO Alliance.

Biometria
Utilizza identificatori personali univoci, come una scansione della retina, il riconoscimento facciale o l’impronta digitale che fornisce l’accesso tramite l’integrazione direttamente con l’hardware o l’applicazione.

SOFT TOKENS

Time-based One Time Password (TOTP)
Un tipo di autenticazione a due fattori (2FA) in cui vengono create password numeriche univoche basate sul tempo. Offre un ulteriore livello di sicurezza dell’account attraverso un processo continuo e facile da usare, disponibile anche offline.

Passkey
Progettata in conformità con FIDO, una passkey è una credenziale digitale legata in modo univoco a un sito Web oa un’applicazione che consente l’autenticazione senza la necessità di un nome utente, una password o persino un fattore di autenticazione aggiuntivo.

Sebbene rappresentino la prossima iterazione della tecnologia senza password, generando molta eccitazione e novità, le passkey non sono immuni ai compromessi. Sono più sicuri di alcuni metodi di autenticazione e decisamente meno soggetti a cattive pratiche igieniche e, in termini di usabilità, è molto più facile tenere traccia dell’accesso a tutto ciò che riguarda la nostra impronta digitale. Detto questo, qualsiasi livello di autenticazione non bloccherà mai completamente l’accesso a un malintenzionato.
Le soluzioni SpyCloud si evolvono con l’evolversi dei criminali, poiché miriamo a mantenere i clienti agili nel rispondere a tattiche criminali in continua evoluzione. Negli ultimi 12-18 mesi, abbiamo iniziato a vedere i criminali andare oltre le password rubate per perpetrare il furto di account . Sono passati a ciò che chiamiamo ATO di nuova generazione: dirottamento di sessione .
Con l’elevato volume di cookie di sessione esfiltrati da malware disponibili sulla darknet, questo attacco sta diventando sempre più popolare. Gli infostealer sottraggono tutto ciò che è contenuto nel browser di un utente infetto, inclusi i cookie di sessione. Questi cookie vengono venduti (e talvolta regalati) sui mercati del darknet e consentono un attacco che richiede solo pochi secondi, consentendo a un criminale di impersonare l’utente legittimo senza sollevare segnali d’allarme.

Tutto ciò che serve è un cookie rubato per una sessione attiva e un browser anti-rilevamento per consentire a un criminale di perpetrare il dirottamento della sessione. Questi attacchi aggirano qualsiasi meccanismo di autenticazione forte esistente. Non importa se l’utente ha effettuato l’accesso con un nome utente e una password, ha completato una verifica MFA o ha utilizzato una passkey. E se il cookie rubato è legato a una sessione SSO attiva, ciò potrebbe aprire la porta a un criminale informatico a oltre 200 applicazioni per la media impresa di grandi dimensioni.

Indipendentemente dal fatto che una sessione sia stata originariamente autenticata con una password o una passkey, ogni sito e applicazione assegna un cookie/token, una stringa di caratteri che il sito o il server utilizza per ricordare i visitatori e rendere più facile visitare nuovamente il sito senza eseguire l’autenticazione. Questi cookie variano in termini di “tempo di vita”, ma rimarrai sorpreso dal fatto che molti di essi rimangano validi per settimane, mesi o anche di più.

Se ti stai chiedendo, ‘quanti di questi cookie sono davvero disponibili per essere utilizzati dai criminali?’ Solo lo scorso anno, SpyCloud ha recuperato oltre 22 miliardi di cookie di sessione rubati da infostealer. Solo per i dipendenti di Fortune 1000, 1,87 miliardi .

Se ti stai chiedendo, ‘possiamo eliminare i cookie se presentano un rischio così grande?’ Francamente no. I cookie sono fondamentali per il funzionamento di Internet.

Inutile dire che ci sono enormi opportunità per i criminali quando si tratta di dirottamento della sessione, che rimarrà una minaccia critica anche se le passkey cresceranno in popolarità.

Articolo originale di Grant Cole

PUBBLICATO DA:<br>Fabrizio Bressani
PUBBLICATO DA:
Fabrizio Bressani
Managing Director, DotForce

ARTICOLI CORRELATI

Come scegliere il giusto fornitore di HSM

Come scegliere il giusto fornitore di HSM

La scelta degli Hardware Security Module (HSM) dipende dall'applicazione specifica per cui viene utilizzato. Qui elenchiamo alcune raccomandazioni generali, delineando un elenco di criteri potenziali da considerare, indipendentemente da quale sia l'utilizzo dell'HSM....

Sfruttare la Domain Intelligence per la Threat Hunting

Sfruttare la Domain Intelligence per la Threat Hunting

Il Threat Hunting rappresenta l'azione proattiva di individuare e riconoscere potenziali minacce alla sicurezza all'interno delle reti e dei sistemi organizzativi. È una componente vitale in ogni solida strategia di sicurezza informatica, poiché abilita le...