In risposta ai miglioramenti nelle tecnologie senza password, gli ecosistemi criminali si stanno rapidamente adattando:
- Spostando la loro attenzione dalle credenziali dell’account ai metodi di recupero dell’account
- Sviluppando modi per rubare passkey
- Lavorando su passkey e altri metodi di autenticazione senza password con attacchi di session hijacking
In SpyCloud, ci concentriamo sul recupero su larga scala dei dati esfiltrati da violazioni e malware, mentre cerchiamo e recuperiamo nuove forme di dati che gli attori malintenzionati trovano preziosi per le loro intenzioni criminali per aiutare le aziende a reagire rapidamente, invalidando i dati di autenticazione rubati per mantenere i loro utenti e la loro attività protetta. Le chiavi di accesso, insieme ad altre tecnologie che verranno sviluppate in futuro, fanno parte di questa missione.
Man mano che la tecnologia passa, sarebbe ignorante presumere che qualsiasi nuova soluzione sia immune da compromissioni informatiche. Questo è vero nel caso del passaggio da password a passwordless.
Poiché le password sono una misura di sicurezza semplice, conveniente e onnipresente, facile da implementare e praticamente senza curva di apprendimento per l’utente medio, è probabile che siano disponibili per un po’ di tempo.
Ma nel frattempo, esaminiamo le opzioni per l’autenticazione senza password che esistono ora.
L’autenticazione senza password è un concetto di controllo della sicurezza progettato per sostituire le password tradizionali. E per decenni, nuovi metodi di autenticazione aumentata si sono avvicinati a categorie di hard token e soft token. I più comunemente usati sono:
HARD TOKENS
YubiKey
Dispositivo di autenticazione proprietario basato su hardware che consente l’accesso sicuro a computer, reti e servizi online attraverso l’uso di password monouso, sviluppato da FIDO Alliance.
Biometria
Utilizza identificatori personali univoci, come una scansione della retina, il riconoscimento facciale o l’impronta digitale che fornisce l’accesso tramite l’integrazione direttamente con l’hardware o l’applicazione.
SOFT TOKENS
Time-based One Time Password (TOTP)
Un tipo di autenticazione a due fattori (2FA) in cui vengono create password numeriche univoche basate sul tempo. Offre un ulteriore livello di sicurezza dell’account attraverso un processo continuo e facile da usare, disponibile anche offline.
Passkey
Progettata in conformità con FIDO, una passkey è una credenziale digitale legata in modo univoco a un sito Web oa un’applicazione che consente l’autenticazione senza la necessità di un nome utente, una password o persino un fattore di autenticazione aggiuntivo.
Sebbene rappresentino la prossima iterazione della tecnologia senza password, generando molta eccitazione e novità, le passkey non sono immuni ai compromessi. Sono più sicuri di alcuni metodi di autenticazione e decisamente meno soggetti a cattive pratiche igieniche e, in termini di usabilità, è molto più facile tenere traccia dell’accesso a tutto ciò che riguarda la nostra impronta digitale. Detto questo, qualsiasi livello di autenticazione non bloccherà mai completamente l’accesso a un malintenzionato.
Le soluzioni SpyCloud si evolvono con l’evolversi dei criminali, poiché miriamo a mantenere i clienti agili nel rispondere a tattiche criminali in continua evoluzione. Negli ultimi 12-18 mesi, abbiamo iniziato a vedere i criminali andare oltre le password rubate per perpetrare il furto di account . Sono passati a ciò che chiamiamo ATO di nuova generazione: dirottamento di sessione .
Con l’elevato volume di cookie di sessione esfiltrati da malware disponibili sulla darknet, questo attacco sta diventando sempre più popolare. Gli infostealer sottraggono tutto ciò che è contenuto nel browser di un utente infetto, inclusi i cookie di sessione. Questi cookie vengono venduti (e talvolta regalati) sui mercati del darknet e consentono un attacco che richiede solo pochi secondi, consentendo a un criminale di impersonare l’utente legittimo senza sollevare segnali d’allarme.
Tutto ciò che serve è un cookie rubato per una sessione attiva e un browser anti-rilevamento per consentire a un criminale di perpetrare il dirottamento della sessione. Questi attacchi aggirano qualsiasi meccanismo di autenticazione forte esistente. Non importa se l’utente ha effettuato l’accesso con un nome utente e una password, ha completato una verifica MFA o ha utilizzato una passkey. E se il cookie rubato è legato a una sessione SSO attiva, ciò potrebbe aprire la porta a un criminale informatico a oltre 200 applicazioni per la media impresa di grandi dimensioni.
Indipendentemente dal fatto che una sessione sia stata originariamente autenticata con una password o una passkey, ogni sito e applicazione assegna un cookie/token, una stringa di caratteri che il sito o il server utilizza per ricordare i visitatori e rendere più facile visitare nuovamente il sito senza eseguire l’autenticazione. Questi cookie variano in termini di “tempo di vita”, ma rimarrai sorpreso dal fatto che molti di essi rimangano validi per settimane, mesi o anche di più.
Se ti stai chiedendo, ‘quanti di questi cookie sono davvero disponibili per essere utilizzati dai criminali?’ Solo lo scorso anno, SpyCloud ha recuperato oltre 22 miliardi di cookie di sessione rubati da infostealer. Solo per i dipendenti di Fortune 1000, 1,87 miliardi .
Se ti stai chiedendo, ‘possiamo eliminare i cookie se presentano un rischio così grande?’ Francamente no. I cookie sono fondamentali per il funzionamento di Internet.
Inutile dire che ci sono enormi opportunità per i criminali quando si tratta di dirottamento della sessione, che rimarrà una minaccia critica anche se le passkey cresceranno in popolarità.
