ಟೂ-ಫ್ಯಾಕ್ಟರ್ ಅಥೆಂಟಿಕೇಶನ್ ನೀವು ಅಂದುಕೊಂಡಷ್ಟು ಭದ್ರವಾದ ಕವಚವಲ್ಲ
ನೀವು ಟೂ-ಫ್ಯಾಕ್ಟರ್ ಅಥೆಂಟಿಕೇಶನ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿದ್ದೀರಿ. ಅದು ಒಂದು ಒಳ್ಳೆಯ ಹೆಜ್ಜೆ.
ಹೆಚ್ಚಿನ ಭದ್ರತಾ ಮಾರ್ಗದರ್ಶಿಗಳು ಒಂದು ವಿಷಯವನ್ನು ಮರೆತಿವೆ. ಕಳೆದ ಮೂರು ವರ್ಷಗಳಲ್ಲಿ ನಡೆದ ದೊಡ್ಡ ಮಟ್ಟದ ಖಾತೆ ಕಳ್ಳತನಗಳು ನಿಮ್ಮ ಕೋಡ್ ಅನ್ನು ಬ್ರೇಕ್ ಮಾಡಲಿಲ್ಲ. ಬದಲಾಗಿ, ನೀವು ಸ್ವತಃ ಆ ಕೋಡ್ ಅನ್ನು ನೀಡುವಂತೆ ಮಾಡುವುದು ಅಥವಾ ಆ ಹಂತವನ್ನು ನಿಷ್ಪ್ರಯೋಜಕವಾಗಿಸುವ ಮಾರ್ಗಗಳನ್ನು ದಾಳಿಕೋರರು ಕಂಡುಕೊಂಡರು.
ದಾಳಿಕೋರರು ನಿಮ್ಮ 2FA ಅನ್ನು ಬೈಪಾಸ್ ಮಾಡುವ ಮೂರು ಮುಖ್ಯ ವಿಧಾನಗಳು ಇಲ್ಲಿವೆ:
- MFA Fatigue ದಾಳಿಕೋರರು ನಿಮ್ಮ ಕಳುವಾದ ಬಳಕೆದಾರರ ಹೆಸರು (username) ಮತ್ತು ಪಾಸ್ವರ್ಡ್ ಬಳಸಿ ಪುಶ್ ನೋಟಿಫಿಕೇಶನ್ಗಳನ್ನು (push notifications) ಕಳುಹಿಸುತ್ತಾರೆ. ಅವರು ರಾತ್ರಿಯಿಡೀ ಡಜನ್ಗಟ್ಟಲೆ ವಿನಂತಿಗಳನ್ನು ಕಳುಹಿಸುತ್ತಾರೆ. ಹೆಚ್ಚಿನ ಜನರು ಆ ಶಬ್ದ ನಿಲ್ಲಿಸಲಿ ಎಂಬ ಕಾರಣಕ್ಕೆ ಕೇವಲ "Approve" ಮೇಲೆ ಕ್ಲಿಕ್ ಮಾಡುತ್ತಾರೆ. ಇದು ದಾಳಿಕೋರರಿಗೆ ಮಾನ್ಯವಾದ ಸೆಷನ್ (session) ಅನ್ನು ನೀಡುತ್ತದೆ. 2022 ರಲ್ಲಿ Uber ಕಂಪನಿಯು ಇದಕ್ಕೆ ಬಲಿಯಾಯಿತು.
- ಪರಿಹಾರ: ನಂಬರ್ ಮ್ಯಾಚಿಂಗ್ (number matching) ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ. ನಿಮ್ಮ ಪರದೆಯ ಮೇಲೆ ತೋರಿಸಲಾಗುವ ಕೋಡ್ ಅನ್ನು ನೀವು ನಿಮ್ಮ ಆಪ್ನಲ್ಲಿ ಟೈಪ್ ಮಾಡಬೇಕು. ಇದು ಅರಿವಿಲ್ಲದೆ ಮಾಡುವ ಅನುಮೋದನೆಗಳನ್ನು ತಡೆಯುತ್ತದೆ.
- Adversary-in-the-Middle (AiTM) ದಾಳಿಕೋರರು ಒಂದು ನಕಲಿ ಲಾಗಿನ್ ಪುಟವನ್ನು ಸಿದ್ಧಪಡಿಸುತ್ತಾರೆ. ನೀವು ಲಾಗಿನ್ ಆದಾಗ, ಪ್ರೊಕ್ಸಿ (proxy) ನಿಮ್ಮ ವಿವರಗಳನ್ನು ನೈಜ ಸೈಟ್ಗೆ ಕಳುಹಿಸುತ್ತದೆ. ನೈಜ ಸೈಟ್ 2FA ಸವಾಲನ್ನು (challenge) ಕಳುಹಿಸುತ್ತದೆ. ಪ್ರೊಕ್ಸಿ ಆ ಸವಾಲನ್ನು ನಿಮಗೆ ತಲುಪಿಸುತ್ತದೆ. ನೀವು ನಿಮ್ಮ ಕೋಡ್ ಅನ್ನು ನಮೂದಿಸುತ್ತೀರಿ. ಪ್ರೊಕ್ಸಿ ನಿಮ್ಮ ಸೆಷನ್ ಕುಕಿಯನ್ನು (session cookie) ಕದಿಯುತ್ತದೆ. ಈಗ ದಾಳಿಕೋರರು ನಿಮ್ಮ ಖಾತೆಯನ್ನು ವಶಪಡಿಸಿಕೊಳ್ಳುತ್ತಾರೆ.
- ಪರಿಹಾರ: Passkeys ಅಥವಾ ಹಾರ್ಡ್ವೇರ್ ಸೆಕ್ಯೂರಿಟಿ ಕೀಗಳನ್ನು ಬಳಸಿ. ಇವು ನೈಜ ವೆಬ್ಸೈಟ್ ಡೊಮೇನ್ಗೆ ಸಂಬಂಧಿಸಿದ ಕ್ರಿಪ್ಟೋಗ್ರಫಿಯನ್ನು ಬಳಸುತ್ತವೆ. ಪ್ರೊಕ್ಸಿಯಿಂದ ಇವುಗಳನ್ನು ವಂಚಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ.
- SIM Swapping ದಾಳಿಕೋರರು ನಿಮ್ಮ ಮೊಬೈಲ್ ಕ್ಯಾರಿಯರ್ಗೆ ಕರೆ ಮಾಡುತ್ತಾರೆ. ಅವರು ನಿಮ್ಮಂತೆಯೇ ನಟಿಸಿ ನಿಮ್ಮ ನಂಬರ್ ಅನ್ನು ತಮ್ಮ ಸಿಮ್ ಕಾರ್ಡ್ಗೆ ವರ್ಗಾಯಿಸುತ್ತಾರೆ. ಈಗ, ಪ್ರತಿಯೊಂದು SMS ಕೋಡ್ ಕೂಡ ಅವರಿಗೆ ಹೋಗುತ್ತದೆ.
- ಪರಿಹಾರ: ಯಾವುದೇ ಪ್ರಮುಖ ವಿಷಯಗಳಿಗಾಗಿ SMS ಬಳಸುವುದು ನಿಲ್ಲಿಸಿ. Google Authenticator ಅಥವಾ Authy ನಂತಹ ಅಥೆಂಟಿಕೇಟರ್ ಆಪ್ಗಳನ್ನು ಬಳಸಿ. ಇವು ನಿಮ್ಮ ಸಾಧನದಲ್ಲೇ ಕೋಡ್ಗಳನ್ನು ಸೃಷ್ಟಿಸುತ್ತವೆ ಮತ್ತು ಸಿಮ್ ಸ್ವಾಪಿಂಗ್ ಮೂಲಕ ಇವುಗಳನ್ನು ಕದಿಯಲು ಸಾಧ್ಯವಿಲ್ಲ.
ಭದ್ರತಾ ವಿಧಾನಗಳ ಹೋಲಿಕೆ:
• SMS OTP: ಕೇವಲ credential stuffing ಅನ್ನು ತಡೆಯುತ್ತದೆ. • Authenticator App: credential stuffing ಮತ್ತು SIM swaps ಅನ್ನು ತಡೆಯುತ್ತದೆ. • Standard Push: credential stuffing ಮತ್ತು SIM swaps ಅನ್ನು ತಡೆಯುತ್ತದೆ. • Push with Number Matching: credential stuffing, push bombing, ಮತ್ತು SIM swaps ಅನ್ನು ತಡೆಯುತ್ತದೆ. • Hardware Key / Passkey: ಎಲ್ಲವನ್ನೂ ತಡೆಯುತ್ತದೆ.
ಫಿಶಿಂಗ್-ಪ್ರತಿರೋಧಕ (Phishing-resistant) MFA ಸಾಧಿಸುವುದು ಗುರಿಯಾಗಲಿ. ಹಾರ್ಡ್ವೇರ್ ಕೀಗಳು ಮತ್ತು passkeys ನೀವು ನೈಜ ವೆಬ್ಸೈಟ್ನಲ್ಲಿದ್ದೀರಿ ಎಂದು ಸಾಬೀತುಪಡಿಸುತ್ತವೆ. ಅಲ್ಲಿ ಕದಿಯಲು ಯಾವುದೇ ಕೋಡ್ ಇರುವುದಿಲ್ಲ.
ನಿಮ್ಮ ಖಾತೆಗಳನ್ನು ಸುರಕ್ಷಿತಗೊಳಿಸಲು ಈ ಕ್ರಮಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳಿ:
- ಈ ವಾರ: ಹಣಕಾಸಿನ ಖಾತೆಗಳಿಂದ SMS 2FA ಅನ್ನು ತೆಗೆದುಹಾಕಿ. ಅಥೆಂಟಿಕೇಟರ್ ಆಪ್ಗೆ ಬದಲಾಯಿಸಿ.
- ಈ ತಿಂಗಳು: ನಿಮ್ಮ ಪುಶ್ ಆಪ್ಗಳಲ್ಲಿ ನಂಬರ್ ಮ್ಯಾಚಿಂಗ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಿ.
- ಸಿದ್ಧವಾದಾಗ: ನಿಮ್ಮ ಇಮೇಲ್ ಮತ್ತು ಪಾಸ್ವರ್ಡ್ ಮ್ಯಾನೇಜರ್ಗಾಗಿ ಹಾರ್ಡ್ವೇರ್ ಕೀ ಖರೀದಿಸಿ.
2025ರ ಬೆದರಿಕೆಗಳಿಗಾಗಿ 2019ರ ಭದ್ರತಾ ಕ್ರಮಗಳನ್ನು ಬಳಸಬೇಡಿ.
ನೈಜ ಉಲ್ಲಂಘನೆಗಳ ಉದಾಹರಣೆಗಳೊಂದಿಗೆ ಸಂಪೂರ್ಣ ವಿವರಣೆ: https://lucas8.com/mfa-fatigue-attack-two-factor-bypass