Powiadomienia push a bezpieczeństwo

Logowanie za pomocą powiadomienia PUSH nie chroni przed każdym phishingiem.

Opublikowano 22.12.2022 12:29

By się zalogować trzeba kliknąć odpowiedni przycisk na telefonie.

Możesz tak zaakceptować cudzą prośbę o zalogowanie na swoje konto.

Prośba o wybór cyfry zmniejsza ryzyko ale go nie eliminuje 100%. Tak działa na przykład logowanie passwordless do konta Microsoft. I możesz pomyśleć:

Ja nie dam się nabrać na taką próbę! Każdą nie swoją prośbę o logowanie odrzucę.

OK, ale problem w tym, że potencjalny atakujący może takich próśb wysłać wiele. A to może być męczące.

Takie ataki są rzadkie - ale się zdarzają. Wykorzystuje je na przykład grupa DEV-0537.

Angielski termin na ten rodzaj ataku to MFA fatigue.

Co robić?

  • Włącz dopasowanie liczb. Wtedy nie wystarczy samo kliknięcie w przycisk. Trzeba jeszcze wybrać/wpisać prawidłową liczbę.
  • Jeśli to możliwe dodaj dodatkowy kontekst do powiadomienia. Na przykład wyświetl przybliżoną lokalizację, z której nastąpiła próba logowania.
  • Jeśli Cię stać - przejdź na klucze FIDO2/U2F. Wtedy potencjalny atakujący musi mieć fizyczny dostęp do naszego klucza (pomijam tu oczywiście atak na "zdalną pomoc techniczną").
  • Niektóre aplikacje pozwalają ustawić limit wysłanych powiadomień w czasie.