¿La autenticación de dos factores previene los ataques de ingeniería social?

La ingeniería social es difícil de mitigar el problema. ¿Por qué? Porque se dirige al punto de seguridad más débil de todos los sistemas: los usuarios.

De hecho, cuanto más complicado es el sistema, más complicado es para el atacante. Pero por lo general, obtienen información porque alguien no respeta el protocolo, por ejemplo, Enviando datos confidenciales por fax, dando información a las personas que no se autenticaron por teléfono. Entonces, incluso si aplica una solución de huellas digitales, con 3 tarjetas de acceso y un supervisor de guardia, si los usuarios autenticados entregan el último borrador a alguien que creen que es un colega por correo ... todo esto es vano.

La mejor prevención contra la Ingeniería Social es: la concientización. Tendrá que formar mejor usuario para no hacer cosas malas que endurecer el proceso. Cuanto más complicados sean los procedimientos, los usuarios más difíciles intentarán evitarlo porque creen que perderán tiempo. Y a la gente no le gusta es. Pero si puede mostrarles un ejemplo de mal comportamiento, o compañía que es "pirateada" por ingenieros sociales, etc., pueden comprender que las medidas están aquí por el bien de la seguridad. Pero si alguien está listo para dar su contraseña a su "administrador" por teléfono ... esto no tiene remedio.

Como conclusión, la autenticación de dos factores puede mejorar la seguridad contra el eng. social. de esa manera podría hacer que las personas sepan que las credenciales son realmente suyas y son parte de su identidad (por ejemplo, la huella digital es parte de su cuerpo). Pero todas las medidas de seguridad serían inútiles sin un buen conocimiento de los usuarios.

Mi metáfora para la ingeniería social es que es como el agua: encontrará el punto de menor resistencia y el trabajo es en su interior.

Cuando el usuario tiene autenticación de dos factores, entonces tiene razón en que puede sellar un punto en la barrera de acceso al sistema. Espero que la mayoría de los usuarios no entreguen ciegamente su token, y con el entrenamiento de concienciación de seguridad que generalmente viene con la obtención de un token, existe la posibilidad de que los usuarios puedan ser más cautelosos con muchos tipos de ataques.

Pero eso no significa que esté a salvo de los otros tipos de ataques de ingeniería social, y plantea rápidamente la cuestión de qué es el proceso de informe de token perdido. Hay una línea muy fina entre arrestar a la gente para tener muchos viajes como parte de su trabajo y hacer que sea demasiado fácil para un atacante llamar como un usuario legítimo con un token perdido que quiere que su token sea enviado a su hotel en otra ciudad. ..

O mi ataque favorito, que es obtener acceso físico al edificio con una credencial que luce bien, pero virtualmente no tiene poder electrónico ... las oficinas están llenas de personas útiles que te sostendrán la puerta, ya sea que te conozcan o no ! No funciona cuando tiene sistemas que REQUIEREN que todas las personas se autentiquen dentro y fuera de la habitación, pero la mayoría de las entradas principales no funcionarán de esa manera, simplemente no es práctico.

Tiene razón cuando dice que agregar un requisito de autenticación adicional hace que la ingeniería social sea más difícil, hace que la mayoría de los tipos de ataques sean más difíciles, pero en realidad no detiene la ingeniería social.

En mi experiencia, aunque reduce drásticamente el número total de ataques, en realidad aumenta el porcentaje de los ataques de ingeniería social; muchos ataques puramente técnicos fallan en la autenticación de 2 factores, por lo que los atacantes pueden intentar diseñar el usuarios que proporcionen ese segundo factor o una alternativa.

Es una mejora neta definitiva en todos los sentidos, con la posible excepción de la satisfacción del usuario (la autenticación adicional se hace de forma muy molesta), pero incluso aquí, si se hace bien y los usuarios ven los beneficios de seguridad sin sufrir problemas de usabilidad, pueden demostrar mejoras en todos los ámbitos.

Los factores en la autenticación de dos factores a menudo son "algo que sabes" y "algo que tienes" o "algo que eres".

Un ataque de ingeniería social contra el segundo factor depende de si es una posesión física o tu propio cuerpo.

Permite dividir esto en dos posibles escenarios de ingeniería social:

Algo que tienes:

Esto puede ser una especie de pad de una sola vez o un elemento físico como una tarjeta inteligente. Puede obtener ambos, pero para el tipo de autenticación de una sola vez, también es posible pedirle al usuario que se lo lea. La forma en que haría esto depende totalmente del escenario en el que se encuentre.

Algo que eres:

Esto entra en el ámbito de la biometría. Varias implementaciones tienen varias debilidades. Un mecanismo que confíe solo en las huellas dactilares fallaría, ya que el usuario en realidad está dejando su contraseña en cada superficie que toca. Aquí está mythbuster sobre el caso: enlace ¿Puede sostener este vaso de leche limpia por un segundo?

Para los otros datos biométricos, donde no hay puntos débiles, aún podría aplicar algo de ingeniería social para que las personas realicen la autenticación por usted.

Como nota al margen, habrá una gran diferencia en los métodos dependiendo de si se trata de una seguridad física o digital. Posicionarse como fed-ex sería más exitoso en el seguimiento de la puerta que en la autenticación remota a una fortaleza digital.

Suficiente ranting, espero que esto haya tenido una idea valiosa en respuesta a su pregunta.

La respuesta es "sí", la autenticación de dos factores protegerá contra la mayoría de los ataques de ingeniería social (pero no todos).

Los ataques de ingeniería social más comunes son contra sitios de redes sociales como Twitter y Facebook. Sus usuarios eligen las mismas contraseñas para esos sitios que para sus sistemas. Cuando los engañan con su contraseña para esos sitios, también compromete sus sistemas. Varias de las historias de piratería que han aparecido en las noticias sucedieron de esta manera: cuando los administradores de sistemas fueron engañados con su contraseña en los sitios de redes sociales.

Del mismo modo, es bastante bueno contra los ataques de ingeniería social dirigidos a su organización. Incluso si llamo a un usuario que pretende ser de TI y obtengo la contraseña, no puedo usar esa contraseña para VPN.

No es una protección completa, por supuesto, nada lo es. También puedo llamar al usuario y pretender ser de TI, y hacer que descarguen un "virus" en su computadora. También puedo hacer un ataque de "hombre en el medio", donde engaño al usuario para que inicie sesión en mi computadora, que luego se da vuelta y toma esas credenciales para iniciar sesión en sus sistemas, con el segundo factor y todo. / p>

Pero a pesar de que no es una protección completa, la respuesta es "sí", la autenticación de dos factores ha demostrado ser una de las formas más efectivas de reducir las amenazas en las organizaciones. Se ha comprobado que es más eficaz que el antivirus, por ejemplo.