Vícefaktorové ověřování (MFA) je dnes považováno za jeden ze základních pilířů kybernetické bezpečnosti. Přesto útočníci stále častěji nacházejí způsoby, jak tuto ochranu obejít – a hranice mezi legitimním ověřením identity a jejím zneužitím se postupně stírá.
Kdy MFA nestačí
Nasazení MFA výrazně snižuje riziko neoprávněného přístupu, avšak nepředstavuje absolutní ochranu. Moderní útočníci využívají techniky jako phishing v reálném čase, únavu z MFA výzev nebo kompromitaci relačních tokenů, aby překonali i vícestupňové ověřování. Jakmile útočník získá platný token nebo přihlašovací údaje, systém ho zpravidla považuje za důvěryhodného uživatele.
Zneužití přihlašovacích údajů v prostředí Active Directory
Prostředí Windows a Active Directory jsou obzvláště náchylná na techniky jako pass-the-hash nebo pass-the-ticket, při nichž útočník nepotřebuje znát heslo v čitelné podobě. Stačí mu zachycený hash nebo lístek Kerberos, aby se pohyboval napříč sítí bez povšimnutí.
Organizace by se neměly spoléhat výhradně na MFA. Klíčová je kombinace přístupu s nulovou důvěrou (Zero Trust), průběžného monitorování chování uživatelů a pravidelného auditu oprávnění. Pouze vícevrstvá obrana dokáže účinně čelit sofistikovaným útokům na identitu.
Zdroj: thehackernews.com
