МФА важен… Но одного этого недостаточно.

[Support81]

Незащищённые имена пользователей и пароли малоэффективны в защите от атак с целью захвата учётных записей. Многофакторная аутентификация (MFA) вполне обоснованно стала фактическим стандартом для усиления контроля доступа.


Недаром почти все руководства по кибербезопасности рекомендуют именно эту функцию: исследования Microsoft показывают, что включение MFA может заблокировать более 99% атак с автоматической подменой учетных данных и фишинговых атак.


Однако даже самые лучшие реализации MFA оставляют серьёзный пробел: слабые, повторно используемые или скомпрометированные пароли. Когда злоумышленник обходит MFA (будь то обманом вынуждая пользователя одобрить push-уведомление или используя резервный вариант), эти же слабые пароли становятся ключом злоумышленника к вашим системам.


Вот почему многоуровневый подход к безопасности персональных данных должен включать как надежную защиту паролей, так и многофакторную аутентификацию при каждом входе в систему.

Преимущества МФА неоспоримы​

Прежде чем мы рассмотрим, почему пароли по-прежнему важны, давайте кратко напомним, что дает нам MFA:

1. Дополнительный барьер для входа: даже если злоумышленник украдет или угадает ваш пароль, ему все равно понадобится второй фактор (например, одноразовый код или биометрическое сканирование) для завершения входа в систему.
2. Устойчивость к фишингу: токены MFA и push-подтверждения повышают планку для кампаний по сбору учётных данных. Одной кражи пароля недостаточно.
3. Соответствие нормативным требованиям: такие стандарты, как NIST, рекомендуют использовать многофакторную аутентификацию (MFA) для конфиденциальных или ценных счетов. Внедрение этой функции помогает соблюдать требования к соблюдению нормативных требований в сфере финансов, здравоохранения, государственного управления и других областях.
4. Доверие пользователей: когда сотрудники или клиенты знают, что их учетные записи защищены не только паролем, доверие и вовлеченность часто возрастают.
5. Избежание расходов: первоначальные инвестиции в MFA окупаются за счет предотвращения расходов на устранение нарушений — судебных издержек, реагирования на инциденты, ущерба репутации и т. д.

Почему только МФА может сделать вас уязвимым​

Несмотря на свои преимущества, многофакторная аутентификация (MFA) не является панацеей, и её можно обойти . Чрезмерное доверие к ней может привести к самоуспокоению организаций, полагаясь на самый базовый фактор аутентификации: пароль. Многоуровневая защита основана на способности каждого уровня выдерживать нагрузку, а пароль — это отправная точка для борьбы с MFA.


Если этот пароль слабый, используется повторно или уже известен злоумышленникам, они становятся на шаг ближе к нарушению вашего периметра.


Потерянные или сломанные устройства, забытые токены и сброс настроек службой поддержки часто приводят к тому, что доступ осуществляется только по паролю. Без надёжной политики паролей эти «стоп-сигналы» становятся лёгкими точками входа. Поведение пользователей также не меняется в одночасье: организации, внедряющие многофакторную аутентификацию (MFA) без дополнительного обучения пользователей использованию паролей, часто сталкиваются с тем, что пользователи продолжают выбирать слабые или предсказуемые пароли.


Это подрывает одну из ваших самых сильных защит.


Кроме того, сама система MFA может стать объектом атак. Такие методы, как подмена SIM-карт, бомбардировка запросов MFA и социальная инженерия, скрывающая процедуры службы поддержки, могут заставить пользователей или сотрудников одобрить мошеннические входы в систему.

Пять тактик, которые используют злоумышленники для обхода MFA​

1. Атаки, вызывающие усталость от MFA (также известные как MFA-бомбардировка ) . Быстро запуская десятки push-уведомлений подряд, злоумышленники изматывают жертву, пока она не даст на это согласие, «чтобы это прекратилось».
2. Подмена SIM-карты и перехват SMS. Использование одноразовых кодов на основе SMS по умолчанию подвергает пользователей атакам через мобильные сети, которые передают контроль над вторым фактором злоумышленнику.
3. Социальная инженерия в службе поддержки. Выдавая себя за заблокированного пользователя, злоумышленник убеждает сотрудников службы поддержки отключить многофакторную аутентификацию (MFA) или сбросить учётные данные, часто используя лишь правдоподобную историю. Например, недавний крупный взлом MGM Resorts .
4. Перехват сеанса и кража токенов. Файлы cookie и токены сеанса могут быть перехвачены или украдены с помощью вредоносных программ и атак типа «человек посередине», что позволяет злоумышленникам обходить как пароли, так и многофакторную аутентификацию (MFA).
5. Использование резервных методов. Вопросы о забытых паролях, коды восстановления и сброс адреса электронной почты часто не столь эффективны, как основные каналы MFA, создавая альтернативные пути доступа к аккаунтам.

Создание надежных паролей и MFA​

Ни один единый метод защиты не способен остановить любую атаку. Сочетая комплексную защиту паролей с надёжной многофакторной аутентификацией (MFA) на каждой критически важной системе (вход в Windows, VPN, удалённый рабочий стол, облачные порталы и многое другое), вы создаёте множество препятствий для злоумышленников. Даже если один уровень защиты обойти, другие всё равно смогут заблокировать или обнаружить вторжение.


Чтобы усилить свою защиту, используйте следующие передовые методы:

• Включите MFA: если вы ещё этого не сделали, это очевидное решение для начала. Рассмотрите простое и эффективное решение MFA, например Specops Secure Access , которое может защитить вход в Windows, VPN и RDP-подключения.
• Обеспечьте соблюдение минимальной длины и сложности пароля. Длина пароля должна быть не менее 15 символов, так как она обеспечивает наилучшую защиту от методов подбора. Парольные фразы — лучший способ побудить пользователей создавать надёжные и длинные пароли.
• Блокируйте известные скомпрометированные учётные данные. Интегрируйте проверки в режиме реального времени по спискам, составленным в результате утечки данных, чтобы пользователи не выбирали пароли, которые уже были обнаружены в утечках данных. Политика паролей Specops блокирует создание слабых паролей и непрерывно сканирует Active Directory на наличие более 4 миллиардов взломанных паролей. Забронируйте бесплатную пробную версию уже сегодня .
• Защитите свою службу поддержки . Такие решения, как Specops Secure Service Desk, используют вторичную проверку MFA для подтверждения личности любого пользователя, обращающегося в вашу службу поддержки.
• Отслеживайте необычные схемы входа в систему. Объединяйте журналы паролей и MFA для выявления аномалий, таких как входы из незнакомых мест или с незнакомых устройств, и при необходимости активируйте усиленную аутентификацию.

MFA значительно снижает риск несанкционированного доступа, но она ни в коем случае не должна заменять надежную гигиену паролей.


Относитесь к паролям как к важному уровню безопасности. Внедряйте политики, обеспечивающие их длину, уникальность и нераскрываемость, а затем добавьте многофакторную аутентификацию (MFA) в качестве критически важной второй линии защиты.


Вместе они формируют надежную стратегию аутентификации, которая значительно повысит безопасность вашей организации и ваших конечных пользователей.