Почему 99% компаний с MFA все еще взламывают
Думаете, SMS-коды, Google Authenticator и push-уведомления делают аккаунт неуязвимым? Тогда для вас есть плохие новости.
Push Security исследовали 300000 корпоративных аккаунтов и обнаружили шокирующий факт: 99% организаций с многофакторной аутентификацией используют методы, которые злоумышленник может обойти за считанные минуты. ☠
Ваш "защищенный" аккаунт уязвим, если вы используете:
😶SMS-коды (возможен перехват или подмена SIM карты)
😶Push-уведомления ("Подтвердить вход? Да, конечно!")
😶Коды из приложений вроде Google Authenticator (вводите на поддельном сайте)
Результат: Злоумышленник получает ваши учетные данные, даже если у вас включен MFA. А в корпоративной среде с Single Sign-On это означает доступ ко ВСЕМ вашим рабочим системам одновременно.
🧵 Как именно вас взламывают:
😶Вы получаете письмо «Подозрительный вход».
😶Кликаете по ссылке — попадаете на фейковый сайт (например, gmai1.com).
😶Вводите логин, пароль — злоумышленник их сразу перехватывает.
😶MFA-код? Вы его тоже введёте на поддельном сайте — и он улетит в руки атакующего.
😶И вот злоумышленник уже внутри. Если у вас SSO — он внутри всей компании.
🤔 Суть проблемы:
Все эти SMS и коды — это просто цифры. Их легко перехватить или подсунуть вам фейковый запрос.
Вы сами отдаёте их злоумышленнику.
🛡 Эволюция многофакторной аутентификации: от SMS к FIDO2 и Passkeys
FIDO2 и аппаратные токены
FIDO2 (Fast Identity Online 2) — это глобальный стандарт аутентификации, который криптографически привязан к конкретному домену. Это означает, что:
😶 Криптографическая привязка к домену: Токен "знает", на каком именно сайте вы находитесь. Если вы попали на поддельный сайт gmai1.com вместо gmail.com, токен просто не сработает.
😶Используется асимметричная криптография (цифровые подписи):
😶Физическое присутствие: многие токены требуют нажатия кнопки или биометрической аутентификации, подтверждая что именно вы инициируете вход.
😶Существуют встроенные в смартфоны и ноутбуки платформенные аутентификаторы (например, Touch ID, Face ID) — не нужно ничего носить дополнительно.
✅ Больше нет пересылок кодов.
✅ Больше не боимся фишинга
✅ Получаем единый ключ для десятков сервисов.
Ключи доступа (Passkeys) и их связь с FIDO2
Passkeys — это следующий этап развития новых технологий аутентификации. Ключи доступа — это учетные данные для входа в систему FIDO2, созданные с использованием асимметричной криптографии. Они являются эффективной заменой паролей, делая вход в поддерживаемые веб-приложения и веб-сайты более безопасным и удобным. Passkeys призваны уже не дополнить MFA, а полностью заменить собой пароли.
💡 Итог:
Традиционный MFA уже не торт.
FIDO2 и passkeys — это будущее. И оно уже нужно сегодня. Изучайте и пользуйтесь!
Видео: Идеальнной защиты не существует даже для аппаратных токенов
#кибербезопасность #MFA #SSO #Passkeys #FIDO2 #пароли
👉 Канал Топ Кибербезопасности Батранкова
