L'autenticazione a due fattori previene gli attacchi di social engineering

L'ingegneria sociale è difficile da mitigare il problema. Perché? Perché si rivolge al punto di sicurezza più debole di tutti i sistemi: gli utenti.

Quindi, più il sistema è complicato, più è complicato per l'aggressore. Ma di solito ottengono informazioni perché qualcuno non rispetta il protocollo, ad es. invio di dati riservati via fax, fornendo informazioni a persone che non hanno autenticato per telefono. Quindi, anche se applichi la soluzione per le impronte digitali, con 3 schede di accesso e un supervisore della guardia, se gli utenti autenticati danno l'ultima bozza a qualcuno che pensano sia un collega per posta ... tutto questo è vanitoso.

La migliore prevenzione contro l'ingegneria sociale è: consapevolezza. Avrai la possibilità di formare l'utente per non fare cose cattive rispetto al processo di hardening. Più le procedure diventano complesse, più gli utenti più difficili cercheranno di evitarlo perché hanno perso tempo. E la gente non piace è. Ma se riesci a mostrare loro un esempio di comportamento scorretto, o un'azienda che viene "hackerata" da ingegneri sociali, ecc., Potrebbero capire che le misure sono qui per il bene della sicurezza. Ma se qualcuno è pronto a dare la propria password al proprio "admin" al telefono ... questo è senza speranza.

In conclusione, l'autenticazione a due fattori potrebbe migliorare la sicurezza contro il social eng. in questo modo potrebbe rendere le persone consapevoli del fatto che le credenziali sono davvero le loro e fanno parte della loro identità (ad esempio, l'impronta digitale fa parte del tuo corpo). Ma tutte le misure di sicurezza sarebbero inutili senza una buona conoscenza degli utenti.

La mia metafora per l'ingegneria sociale è che è come l'acqua: troverà il punto di minor resistenza e lavorerà in modo efficace.

Quando l'utente ha l'autenticazione a due fattori, allora hai ragione che puoi sigillare un punto della perdita di accesso al sistema - spero che la maggior parte degli utenti non passino ciecamente il loro token, e con il formazione sulla consapevolezza della sicurezza che di solito viene fornita con un token, c'è una possibilità che gli possano essere più cauti con molti tipi di attacco.

Ma ciò non significa che sei al sicuro dagli altri tipi di attacchi di social engineering e solleva rapidamente la domanda su cosa sia il processo di segnalazione dei token perduti. C'è una linea sottile tra avvistare persone per avere un sacco di viaggi come parte del loro lavoro, e rendere troppo facile per un utente malintenzionato chiamare come utente legittimo con un token perso che vuole che il suo token venga inoltrato al suo hotel in un'altra città. ..

O il mio attacco preferito che sta ottenendo l'accesso fisico all'edificio con un badge che sembra giusto, ma non ha praticamente alcun potere elettronicamente ... gli uffici sono pieni di persone utili che ti terranno la porta per te se ti conoscono o no ! Non funziona quando hai sistemi che richiedono che ogni persona si autentica dentro e fuori dalla stanza, ma la maggior parte degli ingressi principali non funzionerà in questo modo - non è solo pratica.

Hai ragione quando dici che l'aggiunta di un requisito di autenticazione aggiuntivo rende più difficile l'ingegneria sociale - rende la maggior parte dei tipi di attacco più difficile - ma in realtà non impedisce l'ingegneria sociale.

Nella mia esperienza, mentre riduce drasticamente il numero totale di attacchi, aumenta effettivamente la percentuale di attacchi di social engineering - molti attacchi puramente tecnici falliscono sotto l'autenticazione a 2 fattori, quindi gli hacker possono provare a ingegnerizzare gli utenti a fornire quel 2 ° fattore o un'alternativa.

È un netto miglioramento netto in tutti i modi, con la possibile eccezione della soddisfazione degli utenti (l'autenticazione extra ha gravemente infastidito gli utenti), ma anche qui, se è ben fatto e gli utenti vedono i benefici della sicurezza senza problemi di usabilità, può dimostrare miglioramenti su tutta la linea.

I fattori dell'autenticazione a due fattori sono spesso "qualcosa che conosci" e "qualcosa che hai" o "qualcosa che sei".

Un attacco di ingegneria sociale contro il secondo fattore dipende da se sia un possesso fisico, sia il tuo stesso corpo.

Consente di suddividere questo in due possibili scenari di social engineering:

Qualcosa che hai:

Può essere una sorta di one-time-pad o un oggetto fisico come una smartcard. È possibile ottenere entrambi questi, ma per il tipo di autenticazione one-time-pad, è anche possibile chiedere all'utente di leggerlo a voi. Come faresti questo, dipende completamente dallo scenario in cui ti trovi.

Qualcosa che sei:

Questo entra nel regno della biometria. Varie implementazioni hanno vari punti deboli. Un meccanismo che si basa solo sulle impronte digitali fallirebbe, dal momento che l'utente in realtà lascia la propria password su ogni superficie toccata. Ecco il caso mitico sul caso: link Puoi tenere questo bicchiere di latte pulito per un secondo?

Per gli altri dati biometrici, dove non ci sono punti deboli, potresti comunque applicare alcuni strumenti di social engineering per fare in modo che le persone eseguano l'autenticazione per te.

Come nota a margine, ci sarà un'enorme differenza nei metodi a seconda che si tratti di sicurezza fisica o di sicurezza digitale. Posare come fed-ex sarebbe più efficace nel tail-gating che per l'autenticazione remota verso una strongzza digitale.

Basta ranting, spero che questo abbia qualche informazione preziosa in risposta alla tua domanda.

La risposta è "sì", l'autenticazione a due fattori proteggerà dalla maggior parte degli attacchi di social engineering (ma non tutti).

I più comuni attacchi di social engineering sono contro siti di social media come Twitter e Facebook. I tuoi utenti scelgono le stesse password per quei siti come per i tuoi sistemi. Quando vengono rimossi dalla loro password per quei siti, compromette anche i sistemi. Molte delle storie di hacking che sono apparse nelle notizie sono avvenute in questo modo: quando gli amministratori di sistema sono stati portati via dalla loro password sui siti di social networking.

Allo stesso modo, è piuttosto buono contro gli attacchi di social engineering rivolti alla tua organizzazione. Anche se richiama un utente che finge di provenire dall'IT e ottengo la password, non posso usare quella password per accedere a VPN.

Non è una protezione completa, ovviamente, niente è. Posso anche chiamare l'utente e fingere di provenire dall'IT e fargli scaricare un "virus" sul loro computer. Posso anche fare un attacco "man-in-the-middle", in cui indico l'utente ad accedere al mio computer, che poi gira e prende quelle credenziali per accedere ai tuoi sistemi - con il secondo fattore e tutto il resto.

Ma nonostante non sia una protezione completa, la risposta è "sì", l'autenticazione a due fattori si è dimostrata uno dei modi più efficaci per ridurre le minacce nelle organizzazioni. Ad esempio, è più efficace dell'antivirus.