Hoy, nos estamos enfocando en los ataques de relleno de credenciales; qué son, cómo se logran y, lo que es más importante, cómo mitigar y proteger sus datos. Aunque este artículo describe la seguridad del servicio Azure AD B2C, las acciones de mitigación deberían funcionar para la mayoría de los sistemas basados en la nube.
¿Qué es el relleno de credenciales? El relleno de credenciales es un ataque en el que el pirata informático obtiene con éxito una lista de credenciales de cuentas de usuario, que consta de nombres de usuario y/o alias de correo electrónico y sus contraseñas correspondientes, y luego prueba estas credenciales de cuenta con otros sitios hasta que potencialmente coincidan. Estas listas generalmente se compran a través de la web oscura, son bastante fáciles de obtener y pueden contener una gran cantidad de datos de la cuenta de los usuarios. Credential Stuffing a menudo se dirige a las industrias minorista y de juegos y se encuentra en la lista de las 10 principales amenazas automatizadas de OWASP. Lo que hace que este ataque sea tan popular es que las listas de credenciales de cuentas están fácilmente disponibles y son poderosas debido a las tendencias de los usuarios a reutilizar las credenciales en múltiples sitios.
Actualmente, la mayoría de las organizaciones requieren una contraseña segura y ya no permiten cadenas simples como ‘12345’ o la palabra ‘contraseña’. Si bien es bueno saber que los niveles de acceso de seguridad han mejorado, da como resultado que millones de personas usen la misma contraseña para acceder a cada cuenta, sin cambiarla, a menos que sea necesario. Una vez que ocurre una sola violación de datos, las credenciales de ese usuario se ven comprometidas en varias otras cuentas que tienen con otras organizaciones.
Los atacantes pueden usar bots y herramientas de relleno de credenciales que asimilan las listas de proxy y hacen que los intentos de acceso parezcan provenir de muchas direcciones IP en diferentes ubicaciones. Los ataques ocurren por violaciones de datos, volcados de papelera o se compran en la web oscura. Estos ataques pueden ser difíciles de identificar ya que las cuentas individuales no están siendo atacadas con múltiples intentos de inicio de sesión.
Estos piratas informáticos solo tienen una tasa de éxito del 0,1 al 2 % cuando realizan estos ataques de datos. Ese porcentaje parece bajo, ya que necesitan millones de pares de relleno de credenciales para que valga la pena su esfuerzo, e incluso cuando obtienen estos datos, deben asumir riesgos adicionales para ganar dinero. Sin embargo, una vez logrado, los atacantes pueden robar datos adicionales, realizar fraudes de identidad, extorsionar sus datos a cambio de un rescate o vender sus datos a la dark web. Cualquiera de estos resultados podría tener efectos devastadores a largo plazo para el usuario cuya cuenta se vio comprometida.
¿Cuáles son los mejores métodos de mitigación?¿Cómo podemos prevenir el relleno de credenciales y otros ataques directos? Las personas pueden usar buenas prácticas de seguridad, como contraseñas seguras e inscribirse para la autenticación multifactor (MFA). Una excelente práctica para las personas es usar un administrador de contraseñas como Last Pass o Dashlane que genera contraseñas aleatorias para los sitios que usan.
Como empresa que implementa una solución de IAM, es fundamental contar con un plan para mitigar los ataques difíciles de detectar, como el relleno de credenciales. Tenga en cuenta que si bien debe hacer cumplir las medidas de seguridad, se debe considerar cuidadosamente proporcionar un mecanismo de autenticación altamente seguro, al tiempo que garantiza que la fricción de iniciar sesión en su aplicación no resulte en que los clientes simplemente abandonen y no completen un registro o registrarse.
Al implementar Azure AD B2C, estas son algunas de las mitigaciones de relleno de credenciales más efectivas que hemos usado:
- MFA: La autenticación multifactor es una excelente defensa contra estos ataques. Además de su contraseña, se le solicita que realice un segundo método de validación, que podría ser a través de un mensaje de texto, correo electrónico, escaneo de huella digital, voz o reconocimiento facial. Los expertos en seguridad dicen que MFA ha detenido el 99% de los compromisos de datos y debe implementarse siempre que sea posible. B2C ha agregado recientemente soporte para una amplia variedad de verificadores de identidad (incluida la plataforma BRIMS de WhoIAM!). En todas nuestras implementaciones, nos hemos dado cuenta de que no existe una recomendación única para la elección correcta de MFA. Es una mejor idea encontrar un factor de autenticación que sea más adecuado para el escenario en el que su usuario está iniciando sesión. Por ejemplo, si su usuario está accediendo a su aplicación o sitio web usando un teléfono inteligente, una opción biométrica en el dispositivo o una aplicación de autenticación trabajar bien. Si su teléfono principal es un teléfono de “barra de caramelo” menos sofisticado o un dispositivo compartido, puede optar por enviar un SMS o usar el altavoz/reconocimiento de voz
- Listas de permisos y prohibiciones: como propietario de la aplicación, es probable que tenga suficiente conocimiento del dominio para poder definir reglas específicas que se adapten a sus usuarios. Por ejemplo, puede saber que su servicio solo está disponible para un conjunto de usuarios que se registran con un dominio de correo electrónico específico. Alternativamente, ha podido correlacionar un gran volumen de cuentas falsas generadas por usuarios que usan blasfemias en su identificador de inicio de sesión o campos de nombre. Puede implementar motores de reglas listos para usar, como la plataforma de protección contra fraudes de Dynamics 365, para crear y aplicar listas personalizadas de permitidos y prohibidos. .
- CAPTCHA – las tecnologías CAPTCHA han recorrido un largo camino en los últimos años. Estas herramientas hacen un buen trabajo al distinguir las interacciones humanas de las acciones automatizadas utilizando muchas señales, incluida la velocidad de escritura del usuario, los patrones de movimiento del mouse y los gestos de deslizamiento. Descubrimos que RECAPTCHA v3 de Google es particularmente efectivo, ya que proporciona evaluaciones silenciosas o no interactivas de bots/humanos a Azure AD B2C. Sin embargo, usar at como su única estrategia de protección de identidad no es ideal ya que el servicio se factura por evaluación y no protege contra ataques DDOS.
- WAF – Un firewall de aplicaciones web (WAF) protege sus aplicaciones de vulnerabilidades y vulnerabilidades web comunes que podrían afectar la disponibilidad de las aplicaciones, comprometer la seguridad o consumir recursos excesivos. Una implementación típica de WAF junto con Azure AD B2C implica enviar todo el tráfico de autenticación que llega a su sitio web a través de WAF y hacer que los puntos de conexión de B2C solo respondan a las direcciones IP que se originan en el WAF que se usa. Los WAF suelen ser capaces de reconocimiento BOT y son una estrategia de mitigación eficaz contra el relleno de credenciales, así como los ataques DDOS, ya que solo permiten que el tráfico legítimo llegue a sus puntos finales posteriores. La desventaja de implementar un WAF es que tienden a ser costosos. Actualmente, también deberá trabajar con Microsoft para asegurarse de que el tráfico a su inquilino B2C desde todas las fuentes, excepto WAF, esté bloqueado.
- Ir sin contraseña: hemos dejado posiblemente la mitigación más efectiva para el final, en parte porque una gran cantidad de nuestros clientes se dan cuenta de los beneficios de no usar contraseña, pero dudan en hacer una transición limpia a tal construcción, especialmente cuando Estamos incorporando una gran base de usuarios que debe migrarse a B2C sin volver a inscribirse. Sin embargo, si su aplicación o empresa puede proporcionar un enfoque sin contraseña para iniciar sesión, eso mitiga inmediatamente una gran cantidad de vectores de ataque. Considere reemplazar las contraseñas con una función biométrica en el dispositivo, como una huella digital o reconocimiento facial, o mediante el uso de una aplicación de autenticación o incluso un token de hardware. Esto es popular ya que reduce los riesgos de phishing y brinda una mejor experiencia de usuario al proporcionar una forma conveniente de acceder a los datos.
En resumen, es importante considerar los tipos de ataques a los que puede ser propensa su solución particular y planificar soluciones de mitigación adecuadas. Si desea enviar comentarios o tiene ideas sobre un tema futuro de IAM que le gustaría que discutamos, comuníquese con nosotros a través de nuestro portal WhoIAM .