12. juuli 2026

MFA-väsimus: kuidas ründajad kõnnivad mööda juba ostetud teisest tegurist

Push-pommitamine, SIM-kaardi vahetus ja vaheründed murravad SMS-i ja ühe puutega MFA-d igal nädalal. Miks nii juhtub ja mida tähendab andmepüügikindlus.

Enamikul mullu lahti murtud organisatsioonidest oli mitmeastmeline autentimine sisse lülitatud. See ongi ebamugav osa. Ründajad ei murdnud teist tegurit lahti. Nad kõndisid sellest mööda, kasutades võtteid, mis toimivad just seetõttu, et kasutuses olev MFA palub väsinud inimesel teha turvaotsuse kõige halvemal võimalikul hetkel.

Kui teie MFA on SMS-kood või ühe puutega “Kas kinnitate?” teavitus, siis tasub sellele kümme minutit tähelepanu pühendada. Just neid kahte meetodit ründajad täna oma plaanides arvestavad, mitte ei põrku need neilt tagasi.

Kolm rünnet, mis murravad “mingi MFA”

  • Push-pommitamine (MFA-väsimus). Ründajal on parool juba olemas (lekkinud andmekogumist, andmepüügist või taaskasutusest). Ta käivitab sisselogimise sisselogimise järel, saates kasutaja telefoni pihta kinnitusteavituste voo, kuni keegi segaduses või lihtsalt selleks, et see lõppeks, vajutab Kinnita. Üks puude ja nad on sees. Just nii on alguse saanud mitu tuntud nimega andmeleket.
  • SIM-kaardi vahetus. SMS-i ei loodud kunagi turvakanaliks. Ründaja, kes veenab (või ära ostab) mobiilioperaatori numbrit uuele SIM-kaardile tõstma, saab kätte kõik sellele saadetud ühekordsed koodid. Ei mingit pahavara, ei mingit andmepüügilehte – vaid üks telefonikõne klienditoele.
  • Vaherünne (adversary-in-the-middle, AiTM). Veenev võltsitud sisselogimisleht vahendab päris lehte reaalajas. Ohver sisestab oma parooli ja oma koodi; ründaja edastab mõlemad silmapilkselt edasi ja varastab tekkiva seansimärgi. Kood oli kehtiv. MFA “toimis”. Konto on ikkagi läinud.

Ühine niit: iga selline meetod tugineb saladusele või kinnitusele, mida saab edastada: kopeerida seaduslikult kasutajalt ja ründaja poolt uuesti esitada. Peatage edastamine ja kõik kolm rünnet peatuvad koos sellega.

Mis need tegelikult peatab: andmepüügikindel, riistvarasse seotud autentimine

“Andmepüügikindel” ei ole turundussõna. See nimetab konkreetset omadust. Korraga peavad tõesed olema kaks asja: võti ei tohi kunagi kasutaja seadmest lahkuda, nii et pole midagi, mida haarata ja uuesti kasutada; ja kasutaja saab täpselt lugeda, mida ta kinnitab, nii et midagi ei kinnitata pimesi.

  • Võti elab telefoni turvalises riistvaras. See luuakse seal ega saa seda eksportida, kopeerida ega SIM-kaardi vahetusega üle võtta. Puudub jagatud saladus, mis istuks andmebaasis või saabuks SMS-iga, ja just see sulgeb pealtkuulamise, SIM-kaardi vahetuse ja AiTM-edastuse.
  • Te saate täpselt lugeda, mida te kinnitate. Just see osa peatab push-pommitamise ja siin tasub olla täpne: ükski võti ega biomeetria ei aita, kui päring jõuab telefoni, sest rünne palub kasutajal lihtsalt jaatavalt vastata. Biomeetria kinnitab üksnes seda, et vajutab telefoni omanik, mitte seda, et sisselogimine on seaduslik. Push-pommitamise nurjab see, et iga päring kannab konkreetset, loetavat kirjeldust täpselt sellest, mida kinnitatakse: see sisselogimine, see server, siit, nüüd. Päring, mida kasutaja ise ei algatanud, on nähtavalt võõras, nii et ta lükkab selle tagasi. Kaitse on kirjeldus, mis on piisavalt täpne, et seda ühe pilguga lugeda, mitte väsinud inimene, kes seisab vastu tühjale “Kas kinnitate?”.
  • Seanssi ei saa uuesti esitada. Kuna allkiri on krüptograafiline ja seotud päringuga, pole AiTM-vahendajal midagi väärt varastada.

Selles seisnebki vahe MFA vahel, mis tõstab latti, ja MFA vahel, millest ründaja on juba ette skriptiga mööda pääsenud.

Kus Notakey sobitub

Notakey ehitati üles just selle omaduse ümber. Kasutaja võti luuakse tema telefoni turvalises riistvaras ega lahku sealt kunagi ning iga kinnitus on konkreetse toimingu allkirjastatud ja ajatempliga varustatud kirje, mitte anonüümne puude.

  • Pole jagatud saladust, mida püüda, pole SMS-i, mida pealt kuulata, pole koodi, mida edastada.
  • Push-pommitamise vastu on kaitse see, mida kasutaja loeb: iga päring näitab täpset kirjeldust sellest, mida kinnitatakse (milline süsteem, milline toiming, kust), nii et päring, mida keegi ei algatanud, on esimesest pilgust ilmselge ja lükatakse tagasi. Pole midagi, mida pimesi kinnitada.
  • See katab rajad, mida ründajad tegelikult kasutavad. Vaadake praktilisi juhendeid: 2FA VPN-il üle RADIUS-e, Windowsi kaugtöölaud ja Linuxi SSH.

Nähke seda ise

Kiireim viis vahet tunnetada on kinnitada tehing andmepüügikindlal viisil: lugedes ja allkirjastades konkreetse toimingu oma telefonist, selle asemel et vajutada kontekstita teavitust.

Proovige elavat demo, et allkirjastada üks umbes kahe minutiga, või küsige demo ja me kaardistame teie VPN-i, SSO või Windowsi sisselogimised pilootprojektiks teie enda taristul.

← Kõik postitused

Esimene paroolivaba sisselogimine juba sel nädalal

30-minutiline vestlus inseneriga, mitte müügiesitlus. Paneme koos paika, kuidas teie VPN-i, SSO või Windowsi keskkonnas töötav pilootprojekt käima saab.