Un simple bypass hizo que la autenticacion multifactor de

Los estudiosos de ciberseguridad asistieron a solucionar un inconveniente con Box que podría haber sido aprovechado para evitar la autentificación multifactor (MFA) para cuentas que dependían de aplicaciones de autentificación como Google Authenticator.

Los estudiosos de Varonis alertaron a la popular compañía de almacenaje en la nube tras hallar una solución parcialmente simple para emplear credenciales robadas para empezar sesión en una cuenta de Box sin administrar una clave de acceso de un solo uso basada en el tiempo (TOTP).

Según los estudiosos, Box dejaba a los usuarios acceder a determinadas áreas de la cuenta tras contrastar sus credenciales de comienzo de sesión, mas ya antes de ingresar a TOTP. Probaron un mecanismo que les dejaba dar de baja a un usuario de MFA tras administrar un nombre de usuario y clave de acceso, mas ya antes de administrar el segundo factor.

“MFA es un paso cara una Internet más segura y una autentificación más resistente para Software as a Service [Software-as-a-Service] aplicaciones en las que confiamos, mas MFA no es perfecto. Ha habido un impulso masivo cara la MFA basada en TOTP, mas si hay fallas en su implementación, se puede eludir ”, apuntan los estudiosos.

Mala implementación

Además de probar el flujo de trabajo para suprimir el TOTP para empezar sesión en una cuenta comprometida, los estudiosos asimismo aprovecharon la ocasión para hacer ciertas sugerencias para las compañías que deseen introducir AMF.

Por un lado, Varonis sugiere que, aparte de requerir MFA, las compañías asimismo deberían usar el comienzo de sesión único (SSO) toda vez que resulte posible. Asimismo solicitan a las compañías que hagan cumplir políticas de claves de acceso seguras, eviten el empleo de preguntas con contestaciones simples de hallar como una parte de sus flujos de autentificación y estén atentos a las claves de acceso descifradas de su dominio en sitios como HaveIBeenPwnd.

“El ejemplo precedente es solo una solución para una plataforma Software as a Service. Hay otros muchos, ciertos cuales se publicarán próximamente ”, concluyen los estudiosos.

Share This