Налаштування MFA та кращі практики

Що таке Налаштування MFA та кращі практики?

Багатофакторна автентифікація блокує понад 99% автоматизованих спроб компрометації акаунтів, за даними досліджень безпеки Microsoft. Але не вся MFA однаково надійна, і спосіб налаштування має таке ж значення, як і сам факт увімкнення. Ця вправа проведе Вас через налаштування MFA на корпоративному акаунті, порівнюючи компроміси безпеки між SMS-кодами, додатками-автентифікаторами та апаратними ключами безпеки. Ви побачите демонстрацію того, як зловмисники перехоплюють одноразові паролі на основі SMS через SIM-свопінг та фішингові проксі реального часу, що робить SMS найслабшим варіантом, незважаючи на його зручність. Потім симуляція поміщає Вас у сценарій, де Ви отримуєте push-повідомлення, яке не ініціювали, характерну ознаку атаки MFA fatigue, при якій зловмисник бомбардує Ваш акаунт запитами на підтвердження, сподіваючись, що Ви натиснете 'прийняти' просто щоб це припинити. Ви практикуєте правильну реакцію: відхиліть запит, негайно змініть пароль та повідомте про інцидент. Вправа завершується управлінням резервними кодами, показуючи, де безпечно зберігати коди відновлення, щоб Ви не були заблоковані назавжди при втраті основного пристрою.

Що ви дізнаєтесь у Налаштування MFA та кращі практики

• Налаштувати багатофакторну автентифікацію за допомогою додатка-автентифікатора та зрозуміти, чому це безпечніше за SMS-коди
• Розпізнавати атаки MFA fatigue (push bombing) та правильно реагувати, відхиляючи незапрошені запити на підтвердження та негайно повідомляючи
• Порівнювати властивості безпеки SMS, додатків-автентифікаторів та апаратних ключів для прийняття обґрунтованих рішень щодо MFA для різних типів акаунтів
• Зберігати резервні та відновлювальні коди MFA у безпечному місці, окремому від пристрою, на якому працює Ваш автентифікатор
• Визначати фішингостійкі методи MFA, такі як ключі безпеки FIDO2/WebAuthn, що усувають ризик атак ретрансляції облікових даних у реальному часі

Налаштування MFA та кращі практики — Кроки навчання

1. Ласкаво просимо до Valcrest Financial Services

   Сьогодні IT Security оголосила про ініціативу всієї компанії, яка вимагає від усіх співробітників увімкнути багатофакторну автентифікацію (MFA) у своїх облікових записах. Цей тренінг допоможе вам налаштувати MFA та зрозуміти передовий досвід.

2. Чому паролів недостатньо

   Щороку мільярди паролів викрадаються через витоки даних. Навіть надійні паролі можуть бути скомпрометовані через фішинг, клавіатурні шпигуни або атаки підмішування облікових даних. MFA додає другий рівень безпеки. Навіть якщо хтось вкраде ваш пароль, вони не зможуть отримати доступ до вашого облікового запису без вашого другого фактора - того, що є лише у вас.

3. Електронна пошта Ініціативи МЗС

   Аліса отримує електронний лист від IT Security про нову вимогу MFA.

4. Доступ до порталу безпеки

   Аліса натискає посилання, щоб отримати доступ до порталу безпеки. Цей портал дозволяє співробітникам керувати налаштуваннями безпеки, зокрема реєстрацією MFA.

5. Вхід на портал безпеки

   З’явиться сторінка входу на портал безпеки. Аліса може використовувати свій менеджер паролів, щоб безпечно заповнити свої облікові дані.

6. Розуміння факторів MFA

   Портал безпеки відображає огляд багатофакторної автентифікації. MFA вимагає двох або більше з цих трьох типів факторів: Щось, що ви знаєте - паролі, PIN-коди, секретні запитання Щось у вас є - телефон, ключ безпеки, смарт-карта Something You Are - відбиток пальця, розпізнавання обличчя, голос Поєднання факторів із різних категорій значно ускладнює компроміс із обліковими записами.

7. Перегляд параметрів MFA

   Тепер, коли ви розумієте три категорії факторів, давайте дослідимо конкретні варіанти MFA, доступні в Valcrest Financial Services.

8. Опції МЗС: SMS коди

   Портал показує три варіанти МЗС. По-перше, це SMS-підтвердження: Текстові SMS-повідомлення Код надсилається на ваш телефон у текстовому вигляді Легко налаштувати – потрібен лише ваш номер телефону Працює на будь-якому телефоні, який отримує текстові повідомлення Обмеження: Вразливість до атак із заміною SIM-карти Може бути перехоплено, якщо телефон зламано Потрібен стільниковий зв’язок служба SMS краще, ніж відсутність MFA, але не найбезпечніший варіант.

9. Параметри MFA: програми автентифікації

   Другий варіант – програми автентифікації: Програми для автентифікації (Google Authenticator, Microsoft Authenticator, Authy) Генерація одноразових паролів на основі часу (TOTP) Робота в автономному режимі – не потрібна мобільна служба Більш безпечна, ніж SMS – не можна замінити SIM-карту Коди генеруються кожні 30 секунд Примітки: Потрібно встановити програму Потрібно створити резервну копію кодів відновлення – втрата телефону означає втрату доступу Програми автентифікатора рекомендовані для більшості користувачів.

10. Параметри MFA: апаратні ключі безпеки

    Третій і найбезпечніший варіант – апаратні ключі безпеки: Апаратні ключі безпеки (YubiKey, Google Titan, Feitian) Фізичний пристрій, який ви підключаєте або торкаєтеся для автентифікації Стійкий до фішингу – працює лише на законних сайтах Неможливо віддалено перехопити Найбільш безпечний доступний варіант Ваги: Потрібно придбання фізичного ключа Потрібен резервний ключ на випадок втрати Підтримується не всіма службами Ключі безпеки ідеально підходять для важливих облікових записів, як-от фінансових систем.