Consumer Authentication Strength Maturity Model (CASMM) V6

07/04/2022 mindsecblog Artigos, Notícias 1

Consumer Authentication Strength Maturity Model (CASMM) V6. Visualize o nível atual de higiene na Internet de um usuário e veja como melhorá-lo.

Se você sabe alguma coisa sobre segurança na Internet, ou tem responsabilidade em aumentar o nível de segurança da sua empresa, provavelmente gasta muito tempo ajudando as pessoas a melhorar a higiene de senhas.

As pessoas gostam de subir no ranking, então vamos usar isso!

Como usar este modelo

Todos os modelos estão quebrados, mas alguns são úteis!

Mostre a eles onde eles estão – A primeira maneira de usar esse modelo é simplesmente perguntar ao usuário sobre seu comportamento atual e mostrar a eles onde isso se classifica nesses 8 níveis. Se você mostrar a eles que eles estão no nível 1 ou 2, a combinação de ver o quão baixo eles estão no gráfico e a cor pode transmitir alguma medida de preocupação.
Mostre a eles como se mover — Em seguida, mostre a eles como se mover para cima no modelo!

A maioria dos usuários de Internet não experientes vive nos Níveis 1, 2 e 3. Esse grupo obtém o maior benefício ao passar para o Nível 4, que é obter todas as suas principais contas registradas em um Gerenciador de Senhas como 1Password, LastPass, dashlane ou outro. Isso significa usar o gerenciador de senhas para criar senhas novas e seguras e, em seguida, alterar as senhas desses serviços.

Resista ao desejo de deixar o melhor ser o inimigo do melhor.

O próximo maior salto é passar do Nível 4 para o nível 5 ou superior, que é a transição de somente senha com Multifactor Authentication (MFA), também conhecido como segundo fator de autenticação. Essa transição é a coisa mais importante nesse estágio, então até mesmo passar do nível 4 para o nível 5 é uma grande melhoria!

Uma vez no Nível 5, o objetivo deve ser sair do Nível 5 e entrar no 6, 7 ou 8. Isso ocorre porque o Nível 5 (MFA baseada em texto/SMS) é de longe a forma mais fraca de MFA no modelo.

Onde um “deveria” estar nessa hierarquia depende do seu modelo de ameaça.

Você não pode fazer phishing de códigos MFA que não existem!

Na verdade, muitos pacotes de malware e phishing agora incluem não apenas campos para capturar o nome de usuário e a senha de alguém, mas também seu código MFA. E se você for um usuário não sofisticado, é tão provável que você forneça seu código MFA quanto sua senha.

É por isso que o estágio final de melhoria está nos níveis 7 e 8. Nesse estágio, não há códigos MFA para roubar! Nesses dois níveis, a autenticação MFA ocorre de forma transparente em segundo plano, de forma criptograficamente segura que nunca envolve o usuário. E como o usuário nunca vê um código, esse código não pode ser roubado.

Nos níveis finais, e especificamente no Nível 8, há uma proteção adicional em que as solicitações de autenticação só podem ser enviadas para uma URL específica que foi registrada quando o método de autenticação foi estabelecido. Em outras palavras, se eu configurar a autenticação de nível 8 (como WebAuthn) com o Gmail, quando eu autenticar com meu token FIDO2 ou meu sistema operacional, a autenticação em segundo plano só poderá ser enviada para o Gmail.

Resumo

CASMM é uma referência visual projetada para ajudar pessoas preocupadas com segurança a ajudar seus amigos, familiares e colegas menos experientes a se protegerem.
A maior melhoria de segurança que se pode obter é passar de qualquer Nível 3 e inferior para usar senhas fortes e exclusivas gerenciadas por um Gerenciador de Senhas (Nível 4).
Você obtém uma autenticação cada vez mais forte à medida que passa de 4 –> 5 e acima, de 5 –> 6 ou 7 e, finalmente, de 7 –> 8.
Não pule a Etapa 4. É melhor mudar para senhas exclusivas e de qualidade armazenadas em um gerenciador antes de adicionar 2FA e, em seguida, tentar ir o mais alto possível nos Níveis 5-8.

Fonte: Daniel Miessler