Биометрия не спасет: найден способ обхода защиты FIDO2

В новом отчёте Verizon Data Breach Investigation Report указывается, что почти в 30% всех зафиксированных нарушений за последние 10 лет виной всему стали украденные учетные данные. Такая тенденция подчеркивает, насколько критичной стала роль паролей и других средств аутентификации в современных цифровых угрозах.

Поэтому на данный момент наблюдается повышенный интерес к современным методам аутентификации, таким как FIDO2. Этот стандарт использует уникальные криптографические удостоверения, связанные с аппаратными устройствами – смартфонами или ПК. Вместо традиционных паролей здесь применяются биометрические данные и многофакторная аутентификация через технологию единого входа (Single Sign-On, SSO).

Однако, компания Silverfort в своем исследовании заявила, что даже такие защитные меры можно обойти. Методика Silverfort, основанная на атаке типа “человек посередине” (Man-in-the-Middle, MitM), позволяет перехватывать и копировать сессии пользователя в различных приложениях, использующих SSO-решения.

Перехват сессии аутентификации

FIDO2 разработан для защиты от фишинга и MITM-атак, заменяя уязвимые пароли на более надёжные аппаратные ключи и биометрию. Однако такое решение зависит от внешних систем типа SSO, которые создают аутентификационные сессии, идущие в качестве моста между пользователем и приложением. Проблема в том, что защита, обеспечиваемая протоколами как Transport Layer Security (TLS), не распространяется на токены и сессии, которые могут сохраняться и быть доступными часами.

Согласно Silverfort, успешно аутентифицированная сессия может передавать чувствительные данные, при этом токен сессии можно скопировать и использовать многократно без ограничений. Отмечается, что после прохождения аутентификации пользователь получает почти неограниченный доступ к ресурсам, что увеличивает риски злоупотребления.

Исследователи подчеркивают, что хотя их методы выявляют некоторые слабости в процессах, стандарты, подобные FIDO2, по-прежнему существенно превосходят пароли и основанные на знаниях формы защиты личных данных.

В FIDO Alliance подчеркнули, что методы обхода, описанные в исследовании, технически верны, но не отражают уязвимостей в стандартах аутентификации FIDO. Проблема заключается в неспособности индустрии разработать единый подход к защите токенов аутентификации от кражи или злоупотребления.

Тем не менее, решение “привязка токенов” может решить эту проблему, но широкое внедрение такой технологии пока ограничено, и единственный крупный браузер, поддерживающий её, – Microsoft Edge.

Привязка токена работает путем добавления дополнительного уровня безопасности, привязывая токен аутентификации сеанса к базовому подтверждению связи TLS, которое используется для шифрования трафика на внешнем интерфейсе. На практике это означает, что только реальный пользователь сможет использовать токен для доступа к приложениям, а злоумышленник не сможет продублировать сеанс для сохранения своего доступа.

Еще в 2022 году Microsoft добавила в Azure AD поддержку беспарольного входа с использованием Windows Hello и ключей безопасности FIDO2. А с 2021 года пользователи GitHub могут защищать свои учетные записи с помощью аппаратных ключей безопасности FIDO2.

Public Release.