Keamanan cyber (terbuka di tab baru) peneliti telah membantu memperbaiki masalah dengan Kotak (terbuka di tab baru) yang dapat dieksploitasi untuk mem-bypass autentikasi multi-faktor (MFA (terbuka di tab baru)) untuk akun yang mengandalkan aplikasi pengautentikasi seperti Google Authenticator.
Yang populer penyimpanan awan (terbuka di tab baru) perusahaan diperingatkan oleh para peneliti di Varonis setelah mereka menemukan solusi yang relatif sederhana untuk menggunakan kredensial curian untuk masuk ke akun Box tanpa memberikan kata sandi satu kali (TOTP) berbasis waktu.
Menurut para peneliti, Box mengizinkan pengguna mengakses beberapa area akun setelah memverifikasi kredensial login mereka, tetapi sebelum memasuki TOTP. Mereka mendemonstrasikan mekanisme yang memungkinkan mereka membatalkan pendaftaran pengguna dari MFA setelah memberikan nama pengguna dan sandi, tetapi sebelum memberikan faktor kedua.
“MFA adalah langkah menuju internet yang lebih aman dan autentikasi yang lebih tangguh untuk SaaS [Software-as-a-Service] aplikasi yang kami andalkan, tetapi MFA tidak sempurna. Ada dorongan besar-besaran menuju MFA berbasis TOTP, tetapi jika ada kekurangan dalam implementasinya, itu bisa dilewati, ” menunjukkan (terbuka di tab baru) para peneliti.
Implementasi yang tidak tepat
Selain mendemonstrasikan alur kerja melewati TOTP untuk masuk ke akun yang disusupi, para peneliti juga mengambil kesempatan untuk memberikan beberapa saran bagi bisnis yang ingin memperkenalkan MFA.
Pertama, Varonis menyarankan bahwa, selain mewajibkan MFA, bisnis juga harus menggunakan sistem masuk tunggal (SSO (terbuka di tab baru)) sedapat mungkin. Mereka juga meminta bisnis untuk menerapkan kebijakan kata sandi yang kuat, menghindari penggunaan pertanyaan dengan jawaban yang mudah ditemukan sebagai bagian dari alur autentikasi mereka, dan menjaga mata mereka untuk kata sandi yang dilanggar dari domain mereka di situs seperti HaveIBeenPwnd (terbuka di tab baru).
“Contoh di atas hanyalah salah satu teknik bypass untuk satu platform SaaS. Masih banyak lagi—beberapa di antaranya akan segera kami terbitkan,” para peneliti menyimpulkan.