Mjesečna serija o cyber otpornosti: Kako pravilno implementirati MFA i izbjeći najčešće greške

Ako su lozinke slaba tačka, višefaktorska autentifikacija (MFA) je najefikasnije pojačanje zaštite.

MFA podrazumijeva potvrdu identiteta kroz najmanje dva faktora:

• Nešto što znate (lozinka)

• Nešto što imate (telefon, sigurnosni ključ)

• Nešto što jeste (biometrija)

Čak i ako lozinka bude kompromitovana putem phishinga ili curenja podataka, MFA može spriječiti napadača da pristupi nalogu.

Ali nije svaki MFA jednako siguran.

Mnoge organizacije uključe MFA i pretpostave da je problem riješen. U praksi, loše postavljen MFA može se zaobići, naročito kada:

• SMS poruke budu presretnute

• Korisnici mehanički odobravaju push zahtjeve

• Napadači koriste “MFA fatigue” napade

• Rezervni kodovi nisu adekvatno zaštićeni

MFA je snažan alat - ali samo ako se pravilno koristi.

Praktična implementacija

1. Izbor metode

Sigurnije opcije:

• Hardverski sigurnosni ključevi (FIDO2/WebAuthn)

• Passkey rješenja

• Aplikacije za autentifikaciju sa potvrdom broja

Slabije (ali bolje nego ništa):

• SMS kodovi

• Kodovi putem emaila

SMS se ne preporučuje kao primarni faktor zbog rizika od SIM-swap napada.

2. Zaštita od “MFA fatigue” napada

Napadač šalje više zahtjeva za potvrdu prijave dok korisnik ne klikne “odobri”.

Mjere:

• Aktivirati potvrdu broja

• Ograničiti broj pokušaja

• Pratiti neuobičajene prijave

Korisnici moraju znati: nikada ne odobravati prijavu koju sami nisu pokrenuli.

3. Sigurnost procesa oporavka naloga

Često je reset lozinke slabija tačka od same prijave.

Potrebno je:

• Sigurno čuvati rezervne kodove

• Zaštititi recovery email MFA-om

• Postaviti stroge procedure za helpdesk verifikaciju

Napadači često ciljaju upravo ove procese.

4. Prioritetne oblasti

MFA treba obavezno primijeniti na:

• Email naloge

• Administratorske naloge

• Remote pristup

• Cloud servise

• Finansijske sisteme

Kompromitacija emaila često omogućava preuzimanje drugih naloga.

5. Kontinuirano praćenje

Važno je pratiti:

• Neuspjele pokušaje prijave

• Pokušaje zaobilaženja MFA

• Prijave sa neuobičajenih lokacija

• Rizične autentifikacijske događaje

Sigurnost nije jednokratna instalacija - već kontinuirani proces.

Efikasan MFA pomjera organizaciju sa pristupa:

na

U narednom mjesecu fokusiramo se na sigurnost uređaja - jer ni najjača autentifikacija ne može zaštititi kompromitovan uređaj.