38.66M
Category: internetinternet
Similar presentations:
Уязвимости традиционных средств защиты
Уязвимости традиционных средств защиты
Аутентификация субъектов и объектов взаимодействия. Сетевая аутентификация. Подсистема аутентификации. Протоколы аутентификации
Аутентификация субъектов и объектов взаимодействия. Сетевая аутентификация. Подсистема аутентификации. Протоколы аутентификации
Информационная безопасность. Аутентификация и атаки
Информационная безопасность. Аутентификация и атаки
Уязвимости веб-приложений
Уязвимости веб-приложений
Уязвимости популярных операционных систем
Уязвимости популярных операционных систем
Идентификация, аутентификация и авторизация
Идентификация, аутентификация и авторизация
Риски при использовании различных платежных инструментов
Риски при использовании различных платежных инструментов
Безопасность серверной части веб-приложений. Часть 2. Урок 1. Методологии поиска уязвимостей
Безопасность серверной части веб-приложений. Часть 2. Урок 1. Методологии поиска уязвимостей
Аудит процессов управления информационной безопасностью. Анализируем процессы ИБ
Аудит процессов управления информационной безопасностью. Анализируем процессы ИБ
Исследование механизмов защиты от RCE уязвимостей
Исследование механизмов защиты от RCE уязвимостей

Уязвимости многофакторной аутентификации

1.

PENTEST
УЯЗВИМОСТИ
МНОГОФАКТОРНОЙ
АУТЕНТИФИКАЦИИ
ПОДГОТОВИЛА:
РОМАНОВА МИЛАНА

2.

ПОЧЕМУ ДАННАЯ ТЕМА
АКТУАЛЬНА?
УВЕЛИЧЕНИЕ ЧИСЛА КИБЕРАТАК
НЕЗАЩИЩЕННЫЕ МЕТОДЫ
АУТЕНТИФИКАЦИИ
ЧЕЛОВЕЧЕСКИЙ ФАКТОР
ИНФОРМИРОВАННОСТЬ
ПОЛЬЗОВАТЕЛЕЙ
БЫСТРОЕ РАЗВИТИЕ ТЕХНОЛОГИЙ
СООТВЕТСТВИЕ ТРЕБОВАНИЯМ И
СТАНДАРТАМ
ИССЛЕДОВАНИЯ И ПУБЛИКАЦИИ

3.

МНОГОФАКТОРНАЯ
АУТЕНТИФИКАЦИЯ
— РАСШИРЕННАЯ
АУТЕНТИФИКАЦИЯ, МЕТОД
КОНТРОЛЯ ДОСТУПА, В КОТОРОМ
ПОЛЬЗОВАТЕЛЮ ДЛЯ ПОЛУЧЕНИЯ
ДОСТУПА К ИНФОРМАЦИИ
НЕОБХОДИМО ПРЕДЪЯВИТЬ БОЛЕЕ
ОДНОГО «ДОКАЗАТЕЛЬСТВА
МЕХАНИЗМА АУТЕНТИФИКАЦИИ».

4.

СТАТИСТИКА ЗА 2023 ГОД
согласно исследованию Verizon Data Breach Investigations Report за 2023 год,
82% утечек данных были связаны с человеческим фактором, включая использование
слабых или украденных паролей

5.

УЯЗВИМОСТИ
АУТЕНТИФИКАЦИИ
• МЕХАНИЗМЫ АУТЕНТИФИКАЦИИ
СЛАБЫ, ПОТОМУ ЧТО ОНИ НЕ МОГУТ
АДЕКВАТНО ЗАЩИТИТЬ ОТ АТАК
МЕТОДОМ ПЕРЕБОРА
• ЛОГИЧЕСКИЕ НЕДОСТАТКИ/
ОШИБКИ РЕАЛИЗАЦИИ, КОТОРЫЕ
ПОЗВОЛЯЮТ ЗЛОУМЫШЛЕННИКУ
ПОЛНОСТЬЮ ОБОЙТИ МЕХАНИЗМЫ
АУТЕНТИФИКАЦИИ

6.

PENTEST
ПРИМЕРЫ
ПРОНИКНОВЕНИЯ В
УЧЕТНУЮ ЗАПИСЬ

7.

УЯЗВИМОСТИ
МНОГОФАКТОРНОЙ
АУТЕНТИФИКАЦИИ,
СВЯЗАННЫЕ С ОШИБОЧНОЙ
ЛОГИКОЙ ПРОЦЕССА
ПРИМЕР:
ЕСЛИ ПОСЛЕ ТОГО, КАК
ПОЛЬЗОВАТЕЛЬ ЗАВЕРШИЛ ПЕРВЫЙ
ЭТАП ВХОДА В СИСТЕМУ, ВЕБ-САЙТ
НЕ ПРОВЕРЯЕТ ДОЛЖНЫМ ОБРАЗОМ,
ЧТО ТОТ ЖЕ ПОЛЬЗОВАТЕЛЬ
ЗАВЕРШАЕТ ВТОРОЙ ЭТАП
АУТЕНТИФИКАЦИИ.

8.

9.

УЯЗВИМОСТИ
МНОГОФАКТОРНОЙ
АУТЕНТИФИКАЦИИ,
СВЯЗАННЫЕ СО СЛАБЫМИ
МЕХАНИЗМАМИ
Некоторые веб-сайты пытаются предотвратить это,
автоматически выходя из системы, если пользователь
вводит определённое количество неправильных кодов
подтверждения. На практике это неэффективно, потому что
продвинутый
злоумышленник
может
даже
автоматизировать этот многоступенчатый процесс, создав
макросы для Burp Intruder. Для этой цели также можно
использовать удлинитель Turbo Intruder.

10.

11.

РЕКОМЕНДАЦИИ ПО ВНЕДРЕНИЮ МНОГОФАКТОРНОЙ
АУТЕНТИФИКАЦИИ:
• ВЫБОР НАДЕЖНЫХ МЕТОДОВ MFA (FIDO2, ПРИЛОЖЕНИЯ-АУТЕНТИФИКАТОРЫ И
PUSH-УВЕДОМЛЕНИЯ С ПОДТВЕРЖДЕНИЕМ НОМЕРА)
• ИЗБЕГАНИЕ МЕНЕЕ ПРЕДПОЧТИТЕЛЬНЫХ ВАРИАНТОВ ВРОДЕ SMS-КОДОВ И
EMAIL-КОДОВ
• БЕЗОПАСНОЕ ХРАНЕНИЕ СЕКРЕТНЫХ КЛЮЧЕЙ И ЗАЩИТУ ОТ ОБХОДА MFA
• ОБЕСПЕЧЕНИЕ УДОБСТВА ИСПОЛЬЗОВАНИЯ ЧЕРЕЗ ВОЗМОЖНОСТЬ
ЗАПОМИНАНИЯ УСТРОЙСТВ И АДАПТИВНУЮ MFA
• ОБУЧЕНИЕ И ПОДДЕРЖКУ ПОЛЬЗОВАТЕЛЕЙ С ИНФОРМИРОВАНИЕМ О
ВАЖНОСТИ MFA И ПРЕДОСТАВЛЕНИЕМ ИНСТРУКЦИЙ
• МОНИТОРИНГ, РЕГУЛЯРНОЕ ОБНОВЛЕНИЕ И АУДИТ БЕЗОПАСНОСТИ
English     Русский Rules