TLDR
Incluso si no aprende nada más de esta parte, si su organización está evaluando la implementación de claves de acceso, no es seguro implementar claves de acceso sincronizadas.
Las claves de acceso sincronizadas heredan el riesgo de las cuentas en la nube y los procesos de recuperación que las protegen, lo que representa un riesgo significativo para las empresas. Los kits de adversario en el medio (AiTM) pueden forzar respaldos de autenticación que eluden por completo la autenticación segura. Las extensiones de navegador maliciosas o comprometidas pueden secuestrar solicitudes de WebAuthn, manipular el registro o el inicio de sesión con clave de acceso e impulsar el autocompletado para filtrar credenciales o códigos de un solo uso. Las claves de acceso vinculadas al dispositivo en las claves de seguridad de hardware brindan mayor seguridad y mayor control administrativo que las claves de acceso sincronizadas, lo que las convierte en imprescindibles para los casos de uso de acceso empresarial.
Riesgos de las claves de acceso sincronizadas
Vulnerabilidad de clave de acceso sincronizada
Una clave de acceso es una credencial almacenada en un sistema de autenticación. Algunos dependen del dispositivo, mientras que otros se sincronizan entre dispositivos a través de servicios en la nube para consumidores como iCloud o Google Cloud. La sincronización mejora la facilidad de uso y la recuperación en escenarios de consumo de baja seguridad, pero traslada el límite de confianza a las cuentas en la nube y los flujos de trabajo de recuperación. Tanto FIDO Alliance como Yubico han emitido importantes recomendaciones para que las empresas evalúen esta división y prioricen las opciones dependientes del dispositivo para obtener mayores garantías.
Operacionalmente, las claves de acceso sincronizadas amplían la superficie de ataque de tres maneras:
Los exploits de recuperación y apropiación de cuentas en la nube pueden permitir que nuevos dispositivos se autentiquen, comprometiendo la integridad de las credenciales. Si un usuario utiliza una cuenta personal de Apple iCloud para iniciar sesión en su dispositivo corporativo, la clave de acceso creada puede sincronizarse con su cuenta personal. Esto amplía drásticamente la superficie de ataque más allá del perímetro de seguridad corporativa. La mesa de ayuda y la recuperación de cuentas son puntos de control reales para los atacantes, ya que pueden copiar el mismo llavero protegido a un dispositivo nuevo, desconocido y que no es de confianza.
Ataque de degradación de autenticación
Ver sesión «capturada». (Fuente de la imagen: Proofpoint)
Los investigadores de Proofpoint han documentado degradaciones prácticas de los ID de Microsoft Entra donde los servidores proxy de phishing se hacen pasar por navegadores no compatibles como Safari en Windows, Entra desactiva las claves de acceso y solicita a los usuarios que elijan métodos más débiles como SMS u OTP. Luego, el proxy captura las credenciales y la cookie de sesión resultante y las importa para obtener acceso.
Este vector de amenazas se basa en la compatibilidad desigual del sistema operativo y del navegador de webAuthnpasskey y en la aceptación del proveedor de identidad (IdP) de métodos de autenticación más débiles por consideraciones prácticas de UX. Se trata de un clásico ataque de intermediario (AitM) con dirección de políticas. Cuando una rama de compatibilidad desactiva WebAuthn, la plataforma nunca llega a la ceremonia de WebAuthn, por lo que los enlaces de origen de WebAuthn no se rompen. El método de autenticación más débil determina la seguridad real.
La mediación instantánea de WebAuthn es una función que permite a los sitios proporcionar un método de autenticación alternativo cuando WebAuthn no está disponible. Si bien esto es útil para UX, los atacantes también pueden aprovecharlo para dirigir a los usuarios a rutas que no son WebAuthn, si la política lo permite.
La seguridad basada en el navegador es vulnerable a los vectores de amenazas de extensión y autocompletar
Los investigadores de SquareX han demostrado que un entorno de navegador comprometido puede secuestrar las llamadas de WebAuthn y manipular el registro y el inicio de sesión con clave de acceso. Esta tecnología no rompe el cifrado de clave de acceso. Inyecta o intercepta procesos del lado del navegador, como a través de extensiones maliciosas o errores XSS, para reiniciar el registro, aplicar la reserva de contraseña o completar afirmaciones de forma silenciosa.
Chrome tiene una API de extensión documentada llamada «webAuthenticationProxy» que puede interceptar los métodos navigator.credentials.create() y navigator.credentials.get() conectados y proporcionar su propia respuesta. Aunque esta funcionalidad existe para casos de uso de escritorio remoto, demuestra que las extensiones con los permisos adecuados pueden residir en la ruta WebAuthn.
La extensión también ejecuta scripts de contenido dentro del contexto de la página. Esto le permite leer y modificar el DOM y realizar flujos de interfaz de usuario, como llamar a la API de Credenciales desde su página.
Un estudio independiente presentado en DEF CON describe el clickjacking de extensiones basado en DOM que apunta a elementos de la interfaz de usuario inyectados por extensiones del administrador de contraseñas. Un solo clic de un usuario en una página diseñada podría activar el autocompletado o la divulgación de datos almacenados, como inicio de sesión, tarjeta de crédito y códigos de un solo uso. Los investigadores informan que la autenticación mediante clave de acceso se puede explotar en algunos escenarios y enumeran versiones vulnerables de varios proveedores.
Las credenciales vinculadas al dispositivo son la única solución empresarial eficaz
Las claves de acceso vinculadas a dispositivos están vinculadas a un dispositivo específico, y la generación y el uso de claves privadas generalmente ocurren en un componente de hardware seguro. Para las empresas, las claves de seguridad de hardware proporcionan señalización consistente del dispositivo, autenticación y un ciclo de vida revocable e inventariado.
Guía para programas de claves de acceso de nivel empresarial
política
Exija autenticación resistente al phishing para todos los usuarios, especialmente aquellos con roles privilegiados. Genere credenciales no exportables durante la inscripción y solo acepte autenticadores vinculados al dispositivo que nunca abandonen el dispositivo. Las credenciales deben enrutarse a un hardware seguro y estar asociadas de manera verificable con el dispositivo físico en el que intenta iniciar sesión. Elimine todos los métodos alternativos, como SMS, llamadas de voz, aplicaciones TOTP, enlaces de correo electrónico y aprobaciones push. Existen para ser explotados durante ataques de ingeniería social y degradación. Si existe una alternativa, el atacante la fuerza. La única manera es ser fuerte. Garantice la compatibilidad universal del sistema operativo y del navegador con credenciales vinculadas a dispositivos resistentes al phishing. No ofrezcas una alternativa; sí, esto es posible. Estaremos encantados de mostrarle una demostración del uso de la plataforma de defensa de identidad de Beyond Identity. Una protección completa requiere cobertura universal porque sólo se protege el eslabón más débil.
Estado del navegador y de la extensión
Aplicar la lista de extensiones permitidas en los navegadores administrados. Evite extensiones que soliciten permisos webAuthenticationProxy, activeTab o secuencias de comandos de contenido extensos. Supervise continuamente la instalación de extensiones y las tendencias de uso para detectar eliminaciones masivas sospechosas o escaladas de privilegios inexplicables. Los compromisos a nivel de extensión se están volviendo indistinguibles de los usuarios legítimos. Bloquee estrictamente el comportamiento del navegador y los puntos finales.
Registro y recuperación
Utilice un autenticador de alta seguridad como raíz de la recuperación. Los servicios de asistencia técnica, las bandejas de entrada de correo electrónico y los centros de llamadas no deben poder eludir los controles resistentes al phishing. La recuperación suele ser un punto de entrada para los atacantes. Elimine los vectores de ingeniería social y aplique revisiones que cumplan con las políticas. Solo permite la inscripción de credenciales vinculadas al dispositivo. Durante el registro, capture metadatos de autenticación, como el modelo del dispositivo y el nivel de seguridad. Rechace autenticadores no reconocidos o no verificables. La confianza comienza con el registro. Si no sabe quién creó las credenciales, no podrá controlar el acceso.
Salud del dispositivo y protección del tiempo de ejecución
Vincule la sesión a un contexto de dispositivo confiable. Las cookies de sesión no deben ser artefactos portátiles. La aplicación de sesiones en tiempo de ejecución requiere vincular la identidad al estado actual del dispositivo, no solo a la autenticación inicial. Forzar la autenticación continua. Requerir reautenticación o denegar el acceso si el estado, la ubicación o el estado de seguridad del dispositivo cambian. El inicio de sesión no es un pase de pasillo. Como el riesgo es dinámico, la autenticación también debe ser dinámica. Supongamos que los intentos de autenticación de factor débil deberían bloquearse de forma predeterminada. Descubra cómo los clientes de Beyond Identity pueden bloquear instantáneamente ataques de identidad basándose en el simple hecho de que no son credenciales sólidas que intentan obtener acceso.
lo que realmente sucede
Tres características definen la arquitectura de un sistema de seguridad de identidad que proporciona protección inflexible contra ataques basados en identidad, navegador y dispositivo:
Credenciales vinculadas al dispositivo: las credenciales nunca salen del dispositivo. No se pueden exportar, son compatibles con hardware y no se pueden sincronizar ni reproducir en ningún otro lugar. Confianza continua: la autenticación nunca se detiene al iniciar sesión. Esto continúa durante toda la sesión junto con las señales de postura del dispositivo. Aplicación universal de la higiene de los terminales: todos los terminales están dentro del alcance. Incluso los dispositivos no administrados deben evaluarse en tiempo real para determinar su postura de riesgo y la integridad de la sesión.
conclusión
Una clave sincronizada no es un campo de fuerza adecuado para la defensa. Estos mejoran la usabilidad para los casos de uso del consumidor a expensas de la seguridad del acceso empresarial.
Vea más en acción en nuestro próximo seminario web, «Cómo los atacantes pueden eludir FIDO: por qué fallan las claves de acceso sincronizadas y qué hacer en su lugar». Beyond Identity analiza cómo ocurren las fallas de claves de acceso sincronizadas y cómo los principales equipos de seguridad, incluidos Snowflake y la Universidad de Cornell, cierran estos pases.
¡Incluso si no puedes asistir, aún puedes recibir la grabación registrándote!
Source link
