- Los navegadores son enlaces débiles que los atacantes ahora absorben para el control
- Squarex muestra cómo los guiones triviales pueden interrumpir y secuestrar el flujo de passie
- Desde el punto de vista del usuario, el Passi falso parece una apariencia completamente verdadera
Con los años, alejarse de la contraseña hacia el Passky se crea como el futuro de la autenticación segura.
Dependiendo del par de claves criptográficos en lugar de una cadena débil o reiniciada, las passcas prometieron eliminar los riesgos que tienen sistemas de contraseña de larga data.
Sin embargo, los investigadores de Squarex han presentado nuevas exploraciones en el reciente evento DF C Con 33 que desafía las perspectivas, alegando que los navegadores pueden utilizarse sin pasar por su protección dependiendo de realizar moscas de trabajo Passie.
Passki
Los pases son administrados por un sistema donde una clave privada está en un dispositivo de usuario, mientras que el proveedor de servicios almacena un servicio de clave pública.
Para iniciar sesión, el usuario verifica la identidad con biometría, un pin o un token de hardware localmente, y el servidor autentica la respuesta contra sus claves públicas almacenadas.
Esta estructura debe eliminarse muchos riesgos clásicos como los ataques de phishing o Brut Force, sin embargo, todo el proceso asumió que el navegador actúa como un intermediario creíble, un papel que los investigadores de Squarax ahora son racionales que es peligrosamente frágil.
Mostraron cómo los atacantes podían conducir el entorno del navegador con extensiones o scripts maliciosos, lo que les permitió evitar su flujo de registro, volviendo a registrar las claves alternativas e incluso a los usuarios en condiciones de ataque.
Desde el punto de vista de la víctima, el proceso de inicio de sesión se ve diferente de la operación Passie válida, no hay señales de advertencia de que los certificados se están comprometiendo.
El equipo de seguridad empresarial establecido, la protección del último punto o la defensa de la red, no proporciona visibilidad a este nivel de actividades del navegador.
“Los pases son una forma de autenticación muy confiable, por lo que cuando los usuarios ven las indicaciones biométricas, lo aceptan como una señal para protegerla”, dice la investigadora de Squarex Shuria Pratap Singh.
“Lo que no saben es que los atacantes pueden fingir fácilmente el registro y la autenticidad de Passie falsos al obstruir el navegador en el navegador.
Ahora, con la mayoría de los datos empresariales almacenados en la plataforma Sauses, los Passcans se están adoptando como un método de autenticación predeterminado rápido.
Las sugerencias de búsqueda de Squarex sugieren que esta conversión introduce una nueva dependencia de la protección del navegador, una región donde la tradición de monitoreo era vulnerable.
Los pases aún pueden representar el progreso más allá de las credenciales de marea tradicionales, sin embargo, las investigaciones de Squarex muestran que ningún sistema está completamente libre de errores, y las empresas pueden moverse muy rápidamente para adoptar el passkish como una solución universal.
Cómo permanecer seguro
- Use un antivirus confiable para identificar y bloquear códigos contaminados ocultos.
- Simplemente instale la extensión desde la fuente verificada y revise sus permisos regularmente.
- Mantenga las actualizaciones de los navegadores para garantizar que se hayan aplicado las últimas correcciones de seguridad.
- Designe un administrador de contraseñas para manejar cuentas heredadas que aún dependan de la contraseña.
- Para fortalecer los pasos de verificación, combine los procesos de inicio de sesión con una aplicación de autenticador.
- Configuración regular del navegador de auditoría para reducir la exposición a script o complemento poco confiables.
- Limite el número de dispositivos utilizados para inicios de sesión sensibles para reducir las oportunidades de ataque.
