𝗧𝘄𝗼-𝗙𝗮𝗰𝘁𝗼𝗿 𝗔𝘂𝘁𝗵 𝗜𝘀𝗻'𝘁 𝗧𝗵𝗲 𝗦𝗵𝗶𝗲𝗹𝗱 𝗬𝗼𝘂 𝗧𝗵𝗶𝗻𝗸 𝗜𝘁 𝗜𝘀
நீங்கள் இரு-காரணி அங்கீகாரத்தை (two-factor authentication) செயல்படுத்தியுள்ளீர்கள். அது ஒரு நல்ல தொடக்கம்.
பெரும்பாலான பாதுகாப்பு வழிகாட்டிகள் ஒரு விஷயத்தைக் கவனிக்கத் தவறிவிடுகின்றன. கடந்த மூன்று ஆண்டுகளில் நடந்த மிகப்பெரிய கணக்குத் திருட்டுகள் உங்கள் குறியீட்டை (code) உடைத்து நடக்கவில்லை. மாறாக, நீங்கள் அதை அவர்களிடமே ஒப்படைக்கும்படி செய்ய அல்லது அந்தப் பாதுகாப்புப் படிநிலையை பயனற்றதாக்கும் வழிகளைக் கண்டறிந்துள்ளனர்.
தாக்குதல் நடத்துபவர்கள் உங்கள் 2FA-வைத் தவிர்க்கும் மூன்று முக்கிய வழிகள் இதோ:
- MFA சோர்வு (MFA Fatigue) திருடப்பட்ட உங்கள் பயனர் பெயர் (username) மற்றும் கடவுச்சொல்லைப் (password) பயன்படுத்தித் தாக்குதல் நடத்துபவர்கள் 'push notifications'-களைத் தூண்டுகிறார்கள். அவர்கள் இரவு முழுவதும் டஜன் கணக்கான கோரிக்கைகளை அனுப்புவார்கள். அந்தத் தொந்தரவு நிற்க வேண்டும் என்பதற்காகவே பெரும்பாலான மக்கள் "Approve" என்பதைத் தட்டுகிறார்கள். இது தாக்குதல் நடத்துபவருக்கு ஒரு செல்லுபடியாகும் அமர்வை (session) வழங்குகிறது. 2022-ல் Uber இதற்குப் பலியானது.
- தீர்வு: எண் பொருத்தம் (number matching)-ஐச் செயல்படுத்தவும். உங்கள் திரையில் காட்டப்படும் குறியீட்டை நீங்கள் உங்கள் செயலியில் (app) தட்டச்சு செய்ய வேண்டும். இது கண்மூடித்தனமான அங்கீகாரங்களைத் தடுக்கிறது.
- இடையில் ஒரு எதிரி (Adversary-in-the-Middle - AiTM) ஒரு தாக்குதல் நடத்துபவர் ஒரு போலி லாகின் பக்கத்தை உருவாக்குகிறார். நீங்கள் லாகின் செய்யும்போது, அந்தப் பிராக்சி (proxy) உங்கள் விவரங்களை உண்மையான இணையதளத்திற்கு அனுப்புகிறது. உண்மையான இணையதளம் ஒரு 2FA சவாலை (challenge) அனுப்புகிறது. பிராக்சி அந்தச் சவாலை உங்களுக்குத் திருப்பி அனுப்புகிறது. நீங்கள் உங்கள் குறியீட்டை உள்ளிடுகிறீர்கள். பிராக்சி உங்கள் 'session cookie'-யைத் திருடுகிறது. இப்போது தாக்குதல் நடத்துபவர் உங்கள் கணக்கைக் கைப்பற்றிவிடுகிறார்.
- தீர்வு: passkeys அல்லது hardware security keys-களைப் பயன்படுத்தவும். இவை உண்மையான இணையதள டொமைனுடன் (domain) இணைக்கப்பட்ட குறியாக்கவியலைப் (cryptography) பயன்படுத்துகின்றன. ஒரு பிராக்சியால் இவற்றை ஏமாற்ற முடியாது.
- சிம் ஸ்வாப்பிங் (SIM Swapping) ஒரு தாக்குதல் நடத்துபவர் உங்கள் மொபைல் சேவை நிறுவனத்தைத் தொடர்பு கொள்கிறார். அவர் உங்களைப் போலவே நடித்து, உங்கள் எண்ணைத் தனது சிம் கார்டிற்கு மாற்றுகிறார். இப்போது, ஒவ்வொரு SMS குறியீடும் அவரிடமே செல்லும்.
- தீர்வு: முக்கியமான விஷயங்களுக்கு SMS பயன்படுத்துவதை நிறுத்துங்கள். Google Authenticator அல்லது Authy போன்ற authenticator செயலிகளைப் பயன்படுத்துங்கள். இவை உங்கள் சாதனத்திலேயே குறியீடுகளை உருவாக்குகின்றன, எனவே சிம் ஸ்வாப்பிங் மூலம் இவற்றைத் திருட முடியாது.
பாதுகாப்பு முறைகளின் ஒப்பீடு:
• SMS OTP: 'credential stuffing' தாக்குதலை மட்டுமே தடுக்கும். • Authenticator App: 'credential stuffing' மற்றும் 'SIM swaps'-ஐத் தடுக்கும். • Standard Push: 'credential stuffing' மற்றும் 'SIM swaps'-ஐத் தடுக்கும். • Push with Number Matching: 'credential stuffing', 'push bombing' மற்றும் 'SIM swaps'-ஐத் தடுக்கும். • Hardware Key / Passkey: அனைத்தையும் தடுக்கும்.
ஃபிஷிங்-தடுப்பு (Phishing-resistant) MFA என்பதே இலக்கு. Hardware keys மற்றும் passkeys நீங்கள் உண்மையான இணையதளத்தில்தான் இருக்கிறீர்கள் என்பதை உறுதிப்படுத்துகின்றன. திருட ஏதுவான குறியீடு அங்கு இருக்காது.
உங்கள் கணக்குகளைப் பாதுகாக்க இந்த நடவடிக்கைகளை எடுக்கவும்:
- இந்த வாரம்: நிதி சார்ந்த கணக்குகளில் இருந்து SMS 2FA-வை நீக்கவும். ஒரு authenticator செயலிக்கு மாறவும்.
- இந்த மாதம்: உங்கள் push செயலிகளில் 'number matching'-ஐச் செயல்படுத்தவும்.
- தயாரானதும்: உங்கள் மின்னஞ்சல் மற்றும் கடவுச்சொல் மேலாளருக்காக (password manager) ஒரு hardware key-யை வாங்கவும்.
2025-ன் அச்சுறுத்தல்களுக்கு 2019-ன் பாதுகாப்பு முறைகளைப் பயன்படுத்தாதீர்கள்.
உண்மையான ஊடுருவல் உதாரணங்களுடன் கூடிய முழுமையான விளக்கம்: https://lucas8.com/mfa-fatigue-attack-two-factor-bypass