La Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato due schede informative per evidenziare le minacce contro account e sistemi che utilizzano determinate forme di autenticazione a più fattori (AMF).
“CISA esorta vivamente tutte le organizzazioni a implementare un’autenticazione MFA resistente al phishing per proteggersi dal phishing e da altre minacce informatiche note”, ha comunicato l’Agenzia.
Il primo dei due documenti descrive diversi metodi che gli attori delle minacce hanno utilizzato per ottenere l’accesso alle credenziali MFA, inclusi phishing, push bombing (AKA, push fatigue), sfruttamento delle vulnerabilità del protocollo Signaling System No. 7 (SS7) e SIM swap.
Per difendersi da queste minacce, CISA ha raccomandato di implementare soluzioni MFA resistenti al phishing basate su FIDO/WebAuthn e Public Key Infrastructure (PKI).
Per l’autenticazione basata su app, CISA ha menzionato one-time passwords (OTP), notifiche push mobili con (o senza) corrispondenza dei numeri e OTP basata su token. L’AMF per SMS e voce dovrebbe anche basarsi sui codici OTP inviati ai telefoni o alle e-mail degli utenti.
La seconda scheda informativa fornisce ulteriori informazioni sulle minacce e sulla difesa contro account e sistemi che utilizzano l’AMF basata su notifiche push mobili, compreso il funzionamento dei prompt MFA, come mitigare le minacce che prendono di mira questi sistemi e le best practices per l’utilizzo dell’AMF con corrispondenza dei numeri.
“Se un’organizzazione che utilizza l’autenticazione MFA basata su notifiche push mobili non è in grado di implementare l’autenticazione MFA resistente al phishing, CISA consiglia di utilizzare la corrispondenza dei numeri per ridurre l’affaticamento dell’MFA. Sebbene la corrispondenza dei numeri non sia così forte come l’MFA resistente al phishing, è una delle migliori mitigazioni provvisorie per le organizzazioni che potrebbero non essere immediatamente in grado di implementare l’MFA resistente al phishing”, conclude CISA.
CISA consiglia agli utenti e alle organizzazioni di consultare le schede informative CISA s Implementing Phishing-Resistant MFA e Implementing Number Matching in MFA Applications.
https://www.infosecurity-magazine.com/news/cisa-mfa-guidelines-to-tackle/