Home
MFA na mira dos criminosos, novo método que burla a autenticação

MFA na mira dos criminosos, novo método que burla a autenticação

ADSelfService Plus ManageEngine 3 de outubro de 2022

O MFA se tornou protagonista em meio a necessidade de migração de ambiente durante o período pandemico no qual passamos, algo que outrora era por vezes ignorado por gestores de TI e também por usuário acabou por ser uma alternativa mais do que essencial, mas chegou ao nível de sobrevivência, pois em meio a tantos ataques com base na falha da integridade das credenciais o MFA se tornou um muralha gigantesca. Mas até as muralhas mal construídas ou projetadas podem ser escaladas ou até postas ao chão. E é exatamente o que vem acontecendo mesmo com o MFA empresas gigantes como Samsung, Microsoft e como todos sabem também a Uber sofreu com ataques que usa o métodos chamado de “chuva de notificação” para usuários.

Tal método usa o que conhecemos como engenharia social e um bombardeio de notificações de login, e com a ajuda de usuários pouco treinados para tal cenário se provou ser eficaz, ataque que já fez vitima diversas outras empresas como a Cisco. Lapsus$ o famoso grupo responsável pelo ataque efetuado ao Ministério da Saúde e outros pontos do governo do Brasil, retomou os ataques não somente a empresa de transporte mas também a gigante Rockstar e vazou imagens do tão esperado GTA 6.

O objetivo é contar mesmo com o despreparo de usuário e suas organizações, enviando de forma maciça
mensagens dos usuário, utilizando credenciais já comprometidas em vazamentos anteriores e assim disparam solicitações por mensagens, email e qualquer outra ferramenta de mensagem para entrar em contato com o usuário se passando pelo suporte da empresa, e aí começa toda a doutrinação para que usuário por fim realize o aceite do pedido criminoso, vencido pelo cansaço o usuário aceita e aí está feito, o criminoso passa a ter acesso fácil a rede corporativa.

Mas calma! Isso não quer dizer que o MFA não seja mais uma forma eficaz de proteção! Mas é necessário aprimoramento, treinamento e o uso correto das soluções que trazem essa alternativa. Ou seja é preciso deixar de lado a acomodação do mais simples e adotar de fato métodos robustos e encarar a realidade como ela é. Os fatos falam por sim os métodos devem ser aprimorados para combater os golpe de “fadiga de MFA”.

Nesse caso é recomendado que seja feita a remoção completa de qualquer sistema com aprovação simples. Sendo assim, a preferência é que as autorizações devam exibir código numéricos que precisam ser digitados pelo usuário na verificação, o que distancia o acesso do criminoso interessado. Mas nenhum tipo de MFA robusto supera a necessidade de conscientização dos usuários , e isso vem em forma de treinamento adequado com adoção de políticas internas de conscientização sobre esse novo modo de agir dos invasores. Com isso eles vão identificar que notificações sucessivas não passam de uma tentativa de invasão e acabam sendo também um aliados na defesa da integridade do ambiente da empresa. Com colaboradores treinados, aliados a soluções que possam prover o recurso de MFA com uma implantação simplificada e segura, o gestor terá em suas mãos os recursos necessário para auxiliar a manter o ambiente integro.

O ADSelf Service da ManageEngine é um recursos do gerenciamento de senhas de autoatendimento e possui 19 fatores de autenticação diferentes, desde biometria até TOTPs:

  1. Autenticação de impressão digital/identificação facial : usuários com dispositivos móveis que contenham um sensor de impressão digital ou identificação facial podem usar esse método para verificação de identidade. A inscrição é realizada usando o aplicativo móvel ADSelfService Plus. As etapas para se inscrever são exibidas na guia Inscrição assim que o administrador configurar esse método. Durante a autenticação multifator, os usuários precisam escanear suas impressões digitais ou seu rosto e clicar em Aceitar para uma autenticação bem-sucedida.
  2. YubiKey Authenticator : YubiKey é um dispositivo de hardware que usa códigos para autenticação multifator. A inscrição é feita conectando o dispositivo YubiKey à estação de trabalho e pressionando seu botão (no caso do portal do usuário final ADSelfService Plus) ou tocando-o no dispositivo móvel (no caso do aplicativo móvel ADSelfService Plus). Feito isso, o código é atualizado automaticamente no campo fornecido no ADSelfService Plus. Os usuários precisam seguir as mesmas etapas para verificar sua identidade durante a autenticação multifator.
  3. RSA SecurID : RSA SecurID é outro método que usa senhas para autenticação multifator. Para inscrição, os usuários inserem a senha fornecida pelo administrador. Em seguida, para provar sua identidade, os usuários inserem uma senha única gerada por meio de:
    • Um token de hardware.
    • O aplicativo móvel RSA SecurID.
    • Tokens recebidos por e-mail ou SMS.
  4. Duo Security : Duo Security é uma solução de autenticação que utiliza métodos como:
    • Códigos de verificação baseados em SMS.
    • Verificação baseada em chamadas telefônicas.
    • Códigos de verificação baseados em aplicativos.
    • Notificações via push.Uma vez configurado, os usuários precisam inserir um código que recebem ou aceitar uma notificação para se autenticarem. Para inscrição, os usuários devem mencionar qual método usarão para autenticação multifator.
  5. Autenticação multifator do Azure AD : as organizações com a autenticação multifator do Azure Active Directory já habilitada podem usar a configuração existente e permitir que os usuários autentiquem por meio dos métodos de autenticação pré-inscritos no Azure Active Directory. Os métodos suportados incluem:
    • Notificações push baseadas no aplicativo Microsoft Authenticator.
    • Códigos de verificação baseados em aplicativo Microsoft Authenticator.
    • Verificação baseada em chamadas telefônicas.
    • Verificação baseada em SMS.
    • Tokens de hardware OATH usando Yubico, DeepNet Security e muito mais.
  6. RADIUS : RADIUS usa códigos de acesso para autenticação multifator . Os usuários são registrados automaticamente quando o administrador configura a autenticação RADIUS. Para autenticação multifator, eles simplesmente precisam digitar a senha RADIUS fornecida pelo administrador.
  7. Google Authenticator : o Google Authenticator é um aplicativo que usa códigos cronometrados para autenticação. Para verificar a identidade do usuário, o aplicativo gera um código cronometrado que os usuários terão que inserir para se autenticarem. Os usuários precisam se inscrever usando o aplicativo para digitalizar o código QR exibido na guia Inscrição no portal do usuário final do ADSelfService.
  8. Microsoft Authenticator : O aplicativo Microsoft Authenticator gera um código cronometrado que os usuários terão que inserir para se autenticarem. Para inscrição, os usuários precisam instalar o aplicativo Microsoft Authenticator e configurá-lo com ADSelfService Plus usando o código de barras fornecido no portal de autoatendimento na guia Inscrição.
  9. Código de verificação baseado em SMS : para esse método, os usuários precisam inserir um código único enviado ao dispositivo móvel para verificar sua identidade. Os administradores podem escolher o número de celular nos perfis do Active Directory dos usuários ou permitir que os usuários especifiquem outro número durante a inscrição.
  10. Código de verificação baseado em e-mail : nesse método, um código de uso único é enviado para o endereço de e-mail do usuário. Os administradores podem escolher o endereço de email dos perfis do Active Directory dos usuários ou permitir que os usuários especifiquem outro endereço de email durante a inscrição.
  11. Senha descartável baseada em tempo (TOTP) : a autenticação baseada em TOTP também é realizada usando o aplicativo móvel ADSelfService Plus. Após a inscrição, a autenticação é realizada de forma semelhante aos métodos mencionados acima: Os usuários recebem um TOTP toda vez que precisam comprovar sua identidade. Eles precisam entrar no TOTP dentro de um período de tempo específico para se autenticarem.
  12. Autenticador TOTP personalizado: os aplicativos TOTP personalizados usados ​​por organizações também podem ser estendidos como um método de autenticação para o recurso de autenticação multifator do ADSelfService Plus. O processo de inscrição dependerá dos recursos do aplicativo. Para autenticar, os usuários terão que inserir o TOTP exibido no aplicativo no campo fornecido no portal do produto dentro do tempo especificado.
  13. Zoho OneAuth TOTP : Zoho OneAuth é um aplicativo que oferece autenticação multifator e logon único para contas corporativas. O recurso TOTP do aplicativo pode ser aproveitado pelo ADSelfService Plus e usado como método de autenticação. Para se inscrever, os usuários precisam digitalizar um código QR exibido no portal do produto usando o aplicativo Zoho OneAuth. Uma vez inscritos, eles podem autenticar inserindo o TOTP exibido no aplicativo no campo fornecido no portal dentro do tempo especificado.
  14. Notificações por push : as notificações por push são recebidas por meio do aplicativo móvel ADSelfService Plus instalado nos dispositivos móveis dos usuários. A inscrição só pode ser feita através do aplicativo móvel. As etapas são mencionadas na guia Inscrição depois que o administrador habilita as notificações por push. Depois de inscritos, os usuários recebem uma notificação de que precisam aceitar para provar sua identidade.
  15. Autenticação baseada em código QR : quando esse método está ativado, os usuários precisam digitalizar o código QR exibido no portal do usuário final do ADSelfService Plus usando o aplicativo móvel ADSelfService Plus e selecionar Aceitar para provar sua identidade. Os usuários podem se inscrever usando o aplicativo seguindo as etapas exibidas na guia Inscrição.
  16. Autenticação SAML : As organizações que já usam aplicativos de provedor de identidade (IdP) baseados em SAML, como Okta ou OneLogin, podem usar a autenticação SAML como um método para verificar as identidades dos usuários. Quando a autenticação SAML está habilitada, os usuários são redirecionados para a URL de login do IdP para autenticação somente quando executam a redefinição de senha de autoatendimento ou o desbloqueio de conta no ADSelfService Plus. A inscrição não é necessária para este método.
  17. Autenticação de cartão inteligente : Este método é aplicável apenas para autenticação multifator durante logins no portal do produto e logins de aplicativos corporativos. Um usuário é autenticado depois que o ADSelfService Plus compara o arquivo de certificado na máquina do usuário com o do AD. A inscrição ocorre automaticamente quando o usuário se autentica pela primeira vez.
  18. Perguntas e respostas de segurança : Este método consiste em um conjunto predefinido de perguntas pessoais, como “Qual é a sua cor favorita?” Essas perguntas podem ser configuradas por administradores ou usuários. Os usuários podem se inscrever definindo perguntas e respostas personalizadas ou fornecendo respostas a perguntas definidas pelo administrador. Eles precisam fornecer a resposta correta para essas perguntas durante a verificação de identidade.
  19. Perguntas de segurança baseadas em AD : neste método, o administrador configura perguntas baseadas em AD vinculadas a atributos AD existentes ou personalizados, como números de Previdência Social. Para provar sua identidade, os usuários precisam inserir uma resposta que é comparada com o valor do atributo no AD para sua conta de usuário. Se eles corresponderem, o usuário será autenticado. Este método não requer inscrição do usuário.

É possível habilitar o MFA para Endpoints ( Windows, Linux e macOS), para aplicativos em nuvem, VPNs, e OWA.

Conheça e faça sua avaliação gratuita de 30 dias do ADSelf Service da ManageEngine, contando sempre com o apoio da equipe ACSoftware

Teste grátis o ADSelfService

ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.

PodCafé da TI – Podcast, Tecnologia e Cafeína.

SpotifyApple PodcastsGoogle PodcastsDeezerYouTube
Join @acsoftware on Telegram

Relacionado

, , , , , ,

Deixe um comentário

Blog ACSoftware - ManageEngine