Co je to MFA, jak hacknout OAuth a další

Víte, co je to MFA (multifactor authentication) nebo 2FA? Přečtěte si nejčastější dotazy ohledně 2FA. Pojďte zjistit, jak hacknout OAuth 2.0.

🏆 Téma: Multifactor authentication (MFA / 2FA)

• Přihlašování pomocí hesla je známé jako jeden faktor - jediné, co potřebuje k přihlášení znát / mít, je heslo.

• Tento způsob přihlašování je však považován za nedostatečný.

• Nejčastějším ohrožením uživatelských účtů jsou právě slabá, opakovaně používaná nebo ukradená hesla.

• Pokud vyvíjíme nějakou aplikaci, měla by podporovat multifaktorové přihlašování, abychom zajistili dostatečnou bezpečnost.

  • V opačném případě můžeme předpokládat, že hesla uživatelů budou někdy prozrazena / ukradena.

• Při MFA přihlašování je uživatel povinen zadat víc než jeden faktor, aby se mohl přihlásit.

• Existují 4 typy faktorů:

  • Co známe = heslo, PIN, bezpečnostní otázka.

  • Co vlastníme = HW / SW token, certifikát, e-mail, SMS, volání.

  • Kdo jsme = otisk prstů, sken rohovky, rozpoznávání obličeje.

  • Kde jsme = poloha, rozsah zdrojových IP adres, geolokace.

• Přidáním dalšího faktoru do procesu přihlášení přidáváme další komplexitu a ztěžujeme hackerovi získat identitu uživatele.

• MFA je nejlepší obranou proti útokům souvisejícím s hesly, jako je brute force, credential stuffing, password spraying atd.

Kdy MFA vyžadovat?

• Vyžadujte MFA nejen na webu, ale i při přihlašování přes API.

• Kromě přihlašování vyžadujte MFA i při provádění citlivých operací a akcí:

  • změna hesla nebo bezpečnostních otázek,

  • změna e-mailové adresy,

  • zakázání MFA,

  • přepnutí účtu z uživatelského do administrátorského,

  • atd.

Jak na reset MFA?

• Pozor na to, aby reset mechanismus neumožňoval útočníkovi zmocnit se uživatelského účtu.

• Implementaci mechanismu vždy posuzujte podle kontextu aplikace.

1. Poskytněte uživateli několik jednorázových kódů pro obnovení MFA při prvním nastavení.

2. Požadujte, aby si uživatel nastavil více MFA (digitální certifikát + telefonní číslo).

3. Umožněte zaslání jednorázového kódu pro obnovení.

4. Požadujte, aby uživatel kontaktoval podporu a ověřil svou totožnost.

5. Požadujte, aby se za uživatele zaručil jiný důvěryhodný uživatel.

FAQ

• Stačí k heslu přidat bezpečnostní otázky?

  • Obecně ne. Heslo a bezpečnostní otázka je stejný faktor (něco, co známe) a bezpečnostní otázky jsou považovány za slabší než hesla. Odpovědi jsou často předvídatelné a snadno zjistitelné.

• Mám použít SMS kódy nebo implementovat aplikace jako je Google authenticator?

  • Pokud to jde, SMS nepoužívejte, protože jde o nešifrovaný kanál. Podporujte v aplikaci TOTP (Time-based One Time Password), které vyžadují aplikace jako je Google authenticator. Z uživatelského hlediska je dobrá aplikace Authy, která má lepší zabezpečení a TOTP je šifrovaný.

• Co passwordless login?

  • Obecně aplikace bez hesel je dobrá aplikace. Osobně se rád přihlašuju pomocí Facebooku, Googlu nebo jiných providerů. Přihlášení pomocí kliknutí na odkaz v e-mailu taky nemusí být špatná volba, vyžaduje to ale bezchybnou implementaci. Zvažte tedy nějakou formu FIDO přihlášení.

  • Passwordless login ale nevylučuje přidání dalšího faktoru do přihlašovacího procesu. Záleží na tom, jak riziková vaše aplikace je. Jak jsem psal na začátku, MFA je v dnešní době standard, nebo by aplikace měla alespoň nabízet možnost si MFA zapnout.

• Co když moji uživatelé neumí TOTP aplikace používat?

  • Při zavádění bezpečnostních opatření děláme kompromis mezi bezpečnostní a použitelností aplikace. Zajistěte tedy tak bezpečné přihlášení, aby to zvládli vaši uživatelé. Nicméně berte v potaz rizikový profil vaší aplikace.

🎓 Učíme se společně

Co jsem se dozvěděl z přednášek, školení, čtení knih a dalších aktivit?

Hacking OAuth 2.0

• Speaker: Philippe De Ryck

• XSS je stále velký problém i v dnešní době React aplikací.

• OAuth je způsob přihlášení uživatele, o kterém jsem psal v jednom z předešlých newsletterů.

• Řešíme situaci, kdy a za jakých podmínek může dojít k odcizení OAuth tokenu, pomocí kterého se uživatel autorizuje - to se může stát vlivem XSS.

• Tokeny jsou uložené někde v prohlížeči - local storage nebo session storage - toto úložiště si útočník pomocí XSS přečte a obsah si pošle na svůj server.

• Řešení není použití short-lived access tokenu, protože stále existuje long-lived refresh token.

• Live hacking refresh token rotation mechanismu - ani refresh token rotation mechanismus nás nezachrání.

• Nepomůže nám ani schování tokenu do workeru atp., protože OAuth knihovny podporují tiché přihlášení v případě, že má uživatel vytvořenou session s autorizačním serverem (tím dostane nové tokeny) - live demo.

• Neexistuje způsob, jak tento typ útoku zastavit z frontend pohledu.

• Řešením je přidání backend komponenty, která zmírní zodpovědnost frontendu za OAuth (komponenta se stane “klientskou” OAuth aplikací).

  • Frontend aplikace už nemá přístup k tokenům, žádné tu nejsou, o všechno se stará backend komponenta.

  • Backend komponenta je jen taková proxy, neobsahuje žádnou byznys logiku, jde o jednoduchou službu.

• Implementace:

  • Odstranit OAuth z frontend aplikace.

  • Přidat backend komponentu, která bude zajišťovat OAuth, proxovat požadavky frontendu a cookies bude nahrazovat tokenem.

  • API a autorizační server se nemění.

📰 Co je nového

1. Před pár týdny proběhlo brněnské setkání CyberSecurityPlatform. Součástí byla i přednáška o SSDLC, kterou si můžete poslechnout na YouTube.

2. Na webu Bezpečný kód najdete nově vyhledávač, který by vám měl zpříjemnit vyhledávání informací na webu a tím zefektivnit a zrychlit vaši práci.

---

😂 Závěrečný ftípek: What's a secret agent's go-to fashion? Spyware.