MFA остава ефективна – но заплахите се развиват
Многофакторната автентикация (MFA) е доказано едно от най-сигурните средства за защита на корпоративни системи и данни. Това, което се променя, са техниките, които атакувачите използват, за да я заобиколят.
През последните две години методът adversary-in-the-middle (AiTM) се превърна в една от основните заплахи за системите за автентикация. Сценарият е ясен: служител получава имейл, който изглежда като легитимна нотификация от Microsoft 365. Кликва върху линка, въвежда потребителско име и парола и одобрява MFA известие на телефона си. Всичко изглежда нормално, но между браузъра и Microsoft има прокси, контролирано от атакувача, което прихваща сесийната бисквитка в реално време. Така нападателят получава достъп до акаунта без да преминава през автентикация.
Документирани кампании на канадския Център за киберсигурност показват над 100 AiTM атаки срещу Microsoft Entra ID между 2023 и началото на 2025 г. Данни на Cisco Talos показват, че през 2024 г. половината от инцидентите са включвали заобикаляне на MFA.
Какво отличава фишинг-устойчивата MFA
Стандартните MFA методи (push известия, OTP, SMS) добавят слой защита, но зависят от потребителя да въведе или одобри код на сайт, който може да е фалшив. Ако атакувачът репликира този процес чрез AiTM прокси, защитата може да бъде заобиколена.
Фишинг-устойчивата MFA използва публична криптография, свързана с реалния домейн на услугата. Автентикацията се извършва директно между устройството на потребителя и легитимната услуга. Ако има прокси между тях, криптографската проверка се проваля и достъпът се отказва.
Най-достъпната реализация са passkey решенията, базирани на FIDO2/WebAuthn, използващи биометрия (Face ID, Touch ID, Windows Hello) или PIN. Частният ключ никога не напуска устройството, няма парола за открадване и код за прихващане, а автентикацията е криптографски свързана с реалния домейн.
Синергия между passkey и традиционната MFA
Passkey не заменя традиционната MFA, а допълва защитата при високорискови сценарии:
- администраторски акаунти
- отдалечен достъп до критични системи
- облачни приложения с чувствителни данни
MSP доставчиците могат да комбинират:
- Push или OTP MFA за стандартни потребители
- Passkey за администратори и критични приложения
Предимството е и по-добър потребителски опит: няма код за копиране, push известие или отваряне на приложение – просто биометрично разпознаване.
Регулаторен и застрахователен натиск
Множество стандарти (NIST, CISA, NIS2, DORA) препоръчват или изискват фишинг-устойчива MFA в рамките на Zero Trust архитектури.
Киберзастраховките също започват да правят разлика между стандартна и фишинг-устойчива MFA. Организации без силна MFA защита могат да получат по-високи премии, ограничения в покритието или дори отказ за изплащане на обезщетение – пример е град Хамилтън, Канада, където иск за 18 милиона долара беше отказан заради непълна MFA имплементация.
Как AuthPoint интегрира passkey в решенията на MSP
WatchGuard AuthPoint поддържа FIDO2 passkeys за OIDC ресурси, позволявайки автентикация към приложения като FireCloud, Microsoft Entra ID и всяко OIDC-интегрирано приложение чрез биометрия без пароли или кодове.
- Криптографска автентикация, свързана с реалния домейн
- Частният ключ остава на устройството
- Контрол на passkey per OIDC ресурс чрез Zero Trust политики
- Постепенно внедряване за специфични приложения или високо-сигурни ресурси
- Включени в AuthPoint MFA и AuthPoint Total Identity Security без допълнителни разходи
Това дава на MSP партньорите възможност да предлагат фишинг-устойчива MFA като част от стандартното портфолио за сигурност без допълнителни лицензни промени.
Заключение
- MFA остава критична за сигурността
- AiTM атаки изискват преминаване към фишинг-устойчиви методи
- Passkeys и традиционната MFA могат да работят заедно, осигурявайки защита за високорискови ресурси
- Регулации и застрахователи налагат все по-високи изисквания за силна автентикация
- AuthPoint предоставя MSP партньорите лесен начин да внедрят passkeys и Zero Trust политики
