Je, umesikia kuhusu Uchovu wa MFA au mashambulizi ya mabomu ya arifa? Ikiwa sivyo, unapaswa kuendelea kusoma na Jifunze kuhusu mbinu hii mpya na jinsi wahalifu wa mtandao wanavyoitumiaKwa njia hii, utajua la kufanya ikiwa utapitia hali isiyofurahisha ya kuwa mwathirika wa shambulio la uchovu la MFA.
Uchovu wa MFA: Shambulio la uchovu la MFA linajumuisha nini?
Uthibitishaji wa vipengele vingi, au MFA, umetumiwa kwa mafanikio kuimarisha usalama wa kidijitali kwa muda sasa. Imedhihirika kuwa Manenosiri pekee hayatoi tena ulinzi wa kutoshaSasa ni muhimu kuongeza safu ya pili (na hata ya tatu) ya uthibitishaji: SMS, arifa ya kushinikiza au ufunguo halisi.
Kwa njia, tayari umewezesha uthibitishaji wa vipengele vingi kwenye akaunti zako za mtumiaji? Ikiwa hujui sana mada, unaweza kusoma makala Hivi ndivyo Uthibitishaji wa Hatua Mbili unavyofanya kazi, ambayo unapaswa kuiwasha sasa ili kuboresha usalama wako.Walakini, ingawa inawakilisha kipimo cha ziada cha ufanisi sana, MFA haina makosaHili limedhihirika wazi kutokana na mashambulizi ya hivi majuzi ya MFA Fatigue, pia yanajulikana kama mashambulizi ya mabomu ya arifa.
Uchovu wa MFA ni nini? Hebu wazia tukio hili: Ni usiku sana, na umepumzika kwenye sofa ukitazama kipindi unachokipenda. Ghafla, simu yako mahiri inaanza kutetemeka mara kwa mara. Unaangalia skrini na kuona arifa moja baada ya nyingine: «Je, unajaribu kuingia?"Unapuuza ya kwanza na ya pili; lakini Arifa sawa inaendelea kuingia: kadhaa kati yao! Katika wakati wa kufadhaika, ili tu kuacha kupiga nyundo, bonyeza "Idhinisha".
Jinsi shambulio la arifa la ulipuaji hufanya kazi
Umekumbana na shambulio la Uchovu wa MFA. Lakini hilo linawezekanaje?
- Kwa namna fulani, mhalifu wa mtandao alipata jina lako la mtumiaji na nenosiri.
- Basi mara kwa mara hujaribu kuingia kwenye huduma fulani unayotumia. Kwa kawaida, mfumo wa uthibitishaji hutuma arifa kwa programu yako ya MFA.
- Shida inatokea wakati mshambuliaji, kwa kutumia zana ya kiotomatiki, Inazalisha kadhaa au hata mamia ya majaribio ya kuingia katika dakika chache tu..
- Hii husababisha simu yako ya rununu kujazwa na arifa zinazoomba idhini.
- Katika jaribio la kusimamisha maporomoko ya arifa, bonyeza kwenye "Idhinisha" Na hivyo ndivyo tu: mvamizi huchukua udhibiti wa akaunti yako.
Kwa nini inafaa sana?
Kusudi la Uchovu wa MFA sio kushinda teknolojia. Badala yake, inatafuta tumia uvumilivu wako na busaraKwa mawazo ya pili, sababu ya kibinadamu ni kiungo dhaifu zaidi katika mnyororo ambacho kinalinda usalama wako. Ndiyo maana arifa nyingi zimeundwa ili kukulemea, kukuchanganya, kukufanya usisite... hadi ubonyeze kitufe kisicho sahihi. Kinachohitajika ni mbofyo mmoja tu.
Sababu moja kwa nini Uchovu wa MFA ni mzuri sana ni hiyo Kuidhinisha arifa kutoka kwa programu ni rahisi sana.Inahitaji bomba moja tu, na mara nyingi haihitaji hata kufungua simu. Wakati fulani, inaweza kuwa suluhisho rahisi zaidi kurudisha kifaa katika hali ya kawaida.
Na yote inakuwa mbaya zaidi ikiwa Mshambulizi huwasiliana nawe akijifanya kuwa mtu kutoka kwa usaidizi wa kiufundi.Kuna uwezekano watatoa "msaada" wao kujaribu kutatua "tatizo," wakikuhimiza kuidhinisha arifa. Hivi ndivyo ilivyokuwa katika shambulio la 2021 dhidi ya Microsoft, ambapo kundi la washambuliaji liliiga idara ya IT ili kuhadaa mwathiriwa.
Uchovu wa MFA: Mashambulizi ya Mabomu ya Arifa na Jinsi ya Kuizuia
Kwa hivyo, kuna njia ya kutetea dhidi ya uchovu wa MFA? Ndiyo, kwa bahati nzuri, kuna mbinu bora zinazofanya kazi dhidi ya milipuko ya arifa. Hazihitaji kuondoa uthibitishaji wa mambo mengi, lakini badala yake... kutekeleza kwa akili zaidiHatua za ufanisi zaidi zimeorodheshwa hapa chini.
Kamwe, usiwahi kuidhinisha arifa ambayo hukuomba.
Haijalishi umechoka au umechanganyikiwa kiasi gani, Hupaswi kamwe kuidhinisha arifa ambayo hukuomba.Hii ndiyo kanuni ya dhahabu ya kuzuia jaribio lolote la kukuhadaa kwenye uchovu wa MFA. Ikiwa hujaribu kuingia kwenye huduma, arifa yoyote ya MFA inatiliwa shaka.
Katika suala hili, inafaa kukumbuka pia Hakuna huduma itawasiliana nawe ili "kusaidia" kutatua "matatizo"Na hata kidogo ikiwa njia ya mawasiliano ni mtandao wa kijamii au programu ya kutuma ujumbe, kama vile WhatsApp. Arifa yoyote ya kutiliwa shaka inapaswa kuripotiwa mara moja kwa IT au idara ya usalama ya kampuni yako au huduma.
Epuka kutumia arifa zinazotumwa na programu hata wakati huitumii kama njia pekee ya MFA
Ndiyo, arifa za kushinikiza zinafaa, lakini pia ziko hatarini kwa aina hizi za mashambulizi. Ni vyema kutumia mbinu imara zaidi kama sehemu ya uthibitishaji wa mambo mawili. Kwa mfano:
- Nambari za TOTP (Nenosiri la Wakati Mmoja), ambalo hutengenezwa na programu kama vile Kithibitishaji cha Google au Authy.
- Funguo za usalama za kimwiliKama YubiKey au Ufunguo wa Usalama wa Titan.
- Uthibitishaji wa msingi wa nambariKwa njia hii, unapaswa kuingiza nambari inayoonekana kwenye skrini ya kuingia, ambayo inazuia vibali vya moja kwa moja.
Tekeleza vikomo na arifa kwenye majaribio ya uthibitishaji
Chunguza mfumo wa uthibitishaji unaotumia na Washa vikomo vya majaribio na arifaKwa sababu ya kuongezeka kwa idadi ya visa vilivyoripotiwa vya uchovu wa MFA, mifumo zaidi na zaidi ya MFA inajumuisha chaguzi za:
- Zuia majaribio kwa muda baada ya kukataliwa mara kadhaa mfululizo.
- Tuma arifa kwa timu ya usalama ikiwa arifa nyingi zitatambuliwa kwa muda mfupi.
- Usajili na ukaguzi majaribio yote ya uthibitishaji kwa uchanganuzi wa baadaye (historia ya ufikiaji).
- Inahitaji kipengele cha pili, chenye nguvu zaidi ikiwa jaribio la kuingia linatoka kwa eneo lisilo la kawaida.
- Zuia ufikiaji kiotomatiki ikiwa tabia ya mtumiaji si ya kawaida.
Kwa kifupi, kaa macho! Kuwezesha uthibitishaji wa vipengele vingi bado ni kipimo muhimu ili kulinda usalama wako mtandaoni. Lakini usifikirie kuwa ni kizuizi kisichoweza kushindwa. Ukiweza kuipata, mtu yeyote anaweza kukuhadaa. Ndiyo maana washambuliaji watakulenga: watajaribu kukuudhi hadi uwaruhusu kuingia.
Usiingie kwenye mtego wa Uchovu wa MFA! Usikubali kutumwa na arifa. Ripoti maombi yoyote ya kutiliwa shaka na uwashe vikomo na arifa zaidiKwa njia hii, haitawezekana kwa mshambulizi kuendelea kukufanya uwe wazimu na kukufanya ubonyeze kitufe kisicho sahihi.
Tangu nikiwa mdogo nimekuwa nikitamani sana kujua kila kitu kinachohusiana na maendeleo ya kisayansi na kiteknolojia, haswa yale yanayofanya maisha yetu kuwa rahisi na ya kufurahisha zaidi. Ninapenda kusasishwa na habari za hivi punde na mitindo, na kushiriki uzoefu wangu, maoni na ushauri kuhusu vifaa na vifaa ninavyotumia. Hii ilinipelekea kuwa mwandishi wa wavuti zaidi ya miaka mitano iliyopita, nikizingatia sana vifaa vya Android na mifumo ya uendeshaji ya Windows. Nimejifunza kueleza kwa maneno rahisi yaliyo magumu ili wasomaji wangu waelewe kwa urahisi.