NCSC wskazało najbezpieczniejszą metodę weryfikacji

Na naszych łamach wielokrotnie piszemy o wyciekach, wyłudzeniach danych logowania czy ich przechwytywaniu. W każdym przypadku przypominamy o konieczności używania odpowiednio złożonych i unikalnych haseł (wykorzystywanych maksymalnie raz). Wydatną pomoc w tym zakresie oferują menedżery haseł, dzięki którym nie trzeba zapamiętywać skomplikowanych kombinacji znaków i cyfr.

Klucze dostępu zamiast 2FA

Okazuje się jednak, że oficjalne podejście do metod logowania zaczyna się zmieniać. W czwartek 23 kwietnia brytyjskie Narodowe Centrum Cyberbezpieczeństwa przedstawiło nowe rekomendacje, w których zaleca korzystanie z kluczy dostępu (tzw. „passkeys”) tam, gdzie jest to możliwe. W pozostałych przypadkach polecaną metodą pozostaje weryfikacja dwuetapowa (2FA).

„Nie jest to decyzja podjęta pochopnie. Wynika ona z szeroko zakrojonych konsultacji z operatorami stron internetowych, twórcami aplikacji, dostawcami technologii oraz organizacją FIDO Alliance, a także z obszernych badań technicznych i socjotechnicznych przeprowadzonych przez NCSC” – czytamy w komunikacie.

Przeprowadzona przez NCSC analiza metod zabezpieczania kont w różnych etapach cyklu życia objęła najczęściej stosowane ataki – od phishingu, przez przejęcie sesji, po ponowne wykorzystanie danych uwierzytelniających. Podstawowy wniosek z niej płynący wskazuje, że uwierzytelnienia FIDO2 (w tym klucze dostępu) – łączące klucz kryptograficzny z czymś, co użytkownik wie – są co najmniej tak samo bezpieczne jak tradycyjne metody weryfikacji wieloetapowej (MFA).

Najbezpieczniejszy sposób z dwoma specyficznymi wyjątkami

„Ponieważ FIDO2 eliminuje możliwość ponownego wykorzystania lub przekazywania danych uwierzytelniających niskim kosztem, mało prawdopodobne są ataki na dużą skalę skierowane bezpośrednio przeciwko poprawnie wdrożonym kluczem dostępu. Klucze zapewniają lepszą ochronę dla użytkowników, niż tradycyjne metody weryfikacji dwuskładnikowej lub wieloetapowej” – zaznacza NCSC w swoim komunikacie.

Według Centrum, tradycyjna MFA w kombinacji „hasło + drugi czynnik” wypada najsłabiej w phishingu adversary-in-the-middle – oceniono ją jako „zawsze podatną” na atak. Z kolei jako „potencjalną podatność” wskazano ataki z wykorzystaniem malware, infostealera oraz fatigue attacks (uporczywe żądanie zatwierdzenia logowania przez użytkownika). Tymczasem FIDO2 ma taką ocenę tylko w przypadku kradzieży sprzętu ze słabym kodem PIN.

Trzeba jednak zauważyć, że operacje obejmujące infostealer, malware i phishing the sync fabric (atak związany z platformą do synchronizacji danych FIDO2) zostały ocenione jako „zależne od sytuacji”. W pierwszych dwóch przypadkach, atak aktora zagrożeń może zakończyć się sukcesem, jeżeli aplikacja do autoryzacji FIDO na komputerze nie posiada dodatkowych zabezpieczeń. Z kolei atak phishingowy nasync fabric pozwoli na przejęcie synchronizowanych na niej kluczy, jeżeli konto na platformie nie jest chronione w sposób uniemożliwiający atak phishingowy.

FIDO2 nie może wyłączać myślenia

Zauważono przy tym, że użytkownicy korzystający z FIDO2 muszą przestrzegać kilku zasad, aby nie naruszyć zabezpieczeń standardu. Oprócz dbania o bezpieczeństwo urządzenia wykorzystywanego do uwierzytelnienia, wskazano również na:

• odpowiedzialny wybór tokenu uwierzytelniającego,
• odpowiednie zabezpieczenie konta na platformie sync fabric wraz z opcją odzyskiwania konta,
• zarządzanie kopiami zapasowymi poświadczeń w przypadku wyboru FIDO2 dla jednego urządzenia.

„Podobnie jak w przypadku każdego środka bezpieczeństwa, klucze dostępu są najskuteczniejsze, gdy są wdrażane i stosowane w rozsądny sposób. Użytkownicy nadal polegają na zabezpieczeniach swoich urządzeń i menedżerów danych logowania, a serwisy powinny zapewniać im przejrzyste sposoby zarządzania danymi logowania, ich usuwania oraz konfigurowania opcji odzyskiwania” – zaznaczyło NCSC w swoim komunikacie.