Bederf uit die titel van die verslag: "Gebruik van sterk verifikasie neem toe as gevolg van bedreiging van nuwe risiko's en regulatoriese vereistes."
Die navorsingsmaatskappy "Javelin Strategy & Research" het die verslag "The State of Strong Authentication 2019" gepubliseer (). Hierdie verslag sê: watter persentasie Amerikaanse en Europese maatskappye gebruik wagwoorde (en hoekom min mense nou wagwoorde gebruik); waarom die gebruik van twee-faktor-verifikasie gebaseer op kriptografiese tekens so vinnig groei; Waarom eenmalige kodes wat per SMS gestuur word nie veilig is nie.
Enigiemand wat belangstel in die hede, verlede en toekoms van verifikasie in ondernemings en verbruikerstoepassings is welkom.
Van die vertaler
Helaas, die taal waarin hierdie verslag geskryf is, is nogal “droog” en formeel. En die vyf keer gebruik van die woord “verifikasie” in een kort sin is nie die krom hande (of breine) van die vertaler nie, maar die grille van die skrywers. Toe ek uit twee opsies vertaal – om lesers ’n teks nader aan die oorspronklike, of ’n interessanter een te gee, het ek soms die eerste, en soms die tweede, gekies. Maar wees geduldig, liewe lesers, die inhoud van die berig is die moeite werd.
Enkele onbelangrike en onnodige stukke vir die verhaal is verwyder, anders sou die meerderheid nie deur die hele teks kon kom nie. Diegene wat die berig “ongesny” wil lees, kan dit in die oorspronklike taal doen deur die skakel te volg.
Ongelukkig is skrywers nie altyd versigtig met terminologie nie. Dus, eenmalige wagwoorde (One Time Password - OTP) word soms "wagwoorde" en soms "kodes" genoem. Dit is selfs erger met verifikasiemetodes. Dit is nie altyd maklik vir die onopgeleide leser om te raai dat "verifikasie met behulp van kriptografiese sleutels" en "sterk verifikasie" dieselfde ding is nie. Ek het probeer om die terme so veel as moontlik te verenig, en in die berig self is daar 'n fragment met hul beskrywing.
Die verslag word nietemin sterk aanbeveel om te lees omdat dit unieke navorsingsresultate en korrekte gevolgtrekkings bevat.
Alle syfers en feite word aangebied sonder die geringste veranderinge, en as jy nie daarmee saamstem nie, is dit beter om nie met die vertaler te argumenteer nie, maar met die skrywers van die verslag. En hier is my kommentaar (uitgelê as aanhalings, en gemerk in die teks kursief) is my waarde-oordeel en ek sal met graagte oor elkeen van hulle (asook oor die kwaliteit van die vertaling) argumenteer.
Hersien
Deesdae is digitale kommunikasiekanale met kliënte belangriker as ooit vir besighede. En binne die maatskappy is kommunikasie tussen werknemers meer digitaal georiënteerd as ooit tevore. En hoe veilig hierdie interaksies sal wees, hang af van die gekose metode van gebruikersverifikasie. Aanvallers gebruik swak verifikasie om gebruikersrekeninge op groot skaal te kap. In reaksie hierop is reguleerders besig om standaarde te verskerp om besighede te dwing om gebruikersrekeninge en data beter te beskerm.
Stawingverwante bedreigings strek verder as verbruikerstoepassings; aanvallers kan ook toegang kry tot toepassings wat binne die onderneming loop. Hierdie operasie stel hulle in staat om korporatiewe gebruikers na te doen. Aanvallers wat toegangspunte met swak stawing gebruik, kan data steel en ander bedrieglike aktiwiteite uitvoer. Gelukkig is daar maatreëls om dit te bekamp. Sterk verifikasie sal help om die risiko van aanval deur 'n aanvaller aansienlik te verminder, beide op verbruikerstoepassings en op ondernemingsakestelsels.
Hierdie studie ondersoek: hoe ondernemings verifikasie implementeer om eindgebruikertoepassings en ondernemingsakestelsels te beskerm; faktore wat hulle oorweeg wanneer hulle 'n verifikasie-oplossing kies; die rol wat sterk verifikasie in hul organisasies speel; die voordele wat hierdie organisasies ontvang.
Opsomming
Sleutelbevindinge
Sedert 2017 het die gebruik van sterk verifikasie skerp toegeneem. Met die toenemende aantal kwesbaarhede wat tradisionele verifikasieoplossings beïnvloed, versterk organisasies hul verifikasievermoëns met sterk verifikasie. Die aantal organisasies wat kriptografiese multi-faktor-verifikasie (MFA) gebruik, het sedert 2017 vir verbruikerstoepassings verdriedubbel en met byna 50% vir ondernemingstoepassings toegeneem. Die vinnigste groei word gesien in mobiele verifikasie as gevolg van die toenemende beskikbaarheid van biometriese verifikasie.
Hier sien ons 'n illustrasie van die gesegde "voordat die donderweer slaan, sal 'n man homself nie kruis nie." Toe kenners gewaarsku het oor die onsekerheid van wagwoorde, was niemand haastig om tweefaktor-verifikasie te implementeer nie. Sodra kuberkrakers wagwoorde begin steel het, het mense twee-faktor-verifikasie begin implementeer.
Dit is waar, individue implementeer 2FA baie meer aktief. Eerstens, dit is makliker vir hulle om hul vrese te kalmeer deur staat te maak op die biometriese verifikasie wat in slimfone ingebou is, wat in werklikheid baie onbetroubaar is. Organisasies moet geld spandeer op die aankoop van tokens en werk doen (in werklikheid baie eenvoudig) om dit te implementeer. En tweedens, net lui mense het nog nie geskryf oor wagwoordlekkasies van dienste soos Facebook en Dropbox nie, maar onder geen omstandighede sal die CIO's van hierdie organisasies stories deel oor hoe wagwoorde gesteel is (en wat daarna gebeur het) in organisasies nie.
Diegene wat nie sterk stawing gebruik nie, onderskat hul risiko vir hul besigheid en kliënte. Sommige organisasies wat tans nie sterk stawing gebruik nie, is geneig om aanmeldings en wagwoorde te beskou as een van die mees doeltreffende en maklik-om-te-gebruik metodes van gebruiker-stawing. Ander sien nie die waarde van die digitale bates wat hulle besit nie. Dit is tog die moeite werd om te oorweeg dat kubermisdadigers in enige verbruikers- en besigheidsinligting belangstel. Twee derdes van maatskappye wat slegs wagwoorde gebruik om hul werknemers te staaf, doen dit omdat hulle glo die wagwoorde is goed genoeg vir die tipe inligting wat hulle beskerm.
Wagwoorde is egter op pad graf toe. Wagwoordafhanklikheid het die afgelope jaar aansienlik gedaal vir beide verbruikers- en ondernemingstoepassings (onderskeidelik van 44% tot 31% en van 56% tot 47%) namate organisasies hul gebruik van tradisionele MFA en sterk verifikasie verhoog.
Maar as ons na die situasie as 'n geheel kyk, seëvier kwesbare verifikasiemetodes steeds. Vir gebruikersverifikasie gebruik ongeveer 'n kwart van organisasies SMS OTP (eenmalige wagwoord) saam met sekuriteitsvrae. Gevolglik moet bykomende sekuriteitsmaatreëls geïmplementeer word om teen die kwesbaarheid te beskerm, wat koste verhoog. Die gebruik van baie veiliger verifikasiemetodes, soos hardeware kriptografiese sleutels, word baie minder gereeld gebruik, in ongeveer 5% van organisasies.
Die ontwikkelende regulatoriese omgewing beloof om die aanvaarding van sterk verifikasie vir verbruikerstoepassings te versnel. Met die bekendstelling van PSD2, sowel as nuwe databeskermingsreëls in die EU en verskeie Amerikaanse state soos Kalifornië, voel maatskappye die hitte. Byna 70% van maatskappye stem saam dat hulle sterk regulatoriese druk ondervind om sterk verifikasie aan hul kliënte te verskaf. Meer as die helfte van ondernemings glo dat hul verifikasiemetodes binne 'n paar jaar nie voldoende sal wees om aan regulatoriese standaarde te voldoen nie.
Die verskil in die benaderings van Russiese en Amerikaans-Europese wetgewers tot die beskerming van persoonlike data van gebruikers van programme en dienste is duidelik sigbaar. Die Russe sê: liewe dienseienaars, doen wat jy wil en hoe jy wil, maar as jou admin die databasis saamsmelt, sal ons jou straf. Hulle sê in die buiteland: jy moet 'n stel maatreëls implementeer wat sal nie toelaat nie dreineer die basis. Daarom word vereistes vir streng twee-faktor-verifikasie daar geïmplementeer.
Dit is weliswaar ver van 'n feit dat ons wetgewende masjien eendag nie tot sy sinne sal kom en Westerse ervaring in ag sal neem nie. Dan blyk dit dat almal dringend 2FA moet implementeer, wat aan Russiese kriptografiese standaarde voldoen.
Die vestiging van 'n sterk stawingsraamwerk stel maatskappye in staat om hul fokus te verskuif van voldoening aan regulatoriese vereistes na voldoening aan klantbehoeftes. Vir daardie organisasies wat steeds eenvoudige wagwoorde gebruik of kodes per SMS ontvang, sal die belangrikste faktor by die keuse van 'n verifikasiemetode voldoening aan regulatoriese vereistes wees. Maar daardie maatskappye wat reeds sterk verifikasie gebruik, kan daarop fokus om daardie verifikasiemetodes te kies wat kliëntelojaliteit verhoog.
Wanneer 'n korporatiewe verifikasiemetode binne 'n onderneming gekies word, is regulatoriese vereistes nie meer 'n beduidende faktor nie. In hierdie geval is gemak van integrasie (32%) en koste (26%) baie belangriker.
In die era van uitvissing kan aanvallers korporatiewe e-pos gebruik om te bedrogspul om op bedrieglike wyse toegang tot data, rekeninge (met toepaslike toegangsregte) te verkry, en selfs werknemers te oortuig om 'n geldoorplasing na sy rekening te maak. Daarom moet korporatiewe e-pos- en portaalrekeninge veral goed beskerm word.
Google het sy sekuriteit versterk deur sterk verifikasie te implementeer. Meer as twee jaar gelede het Google 'n verslag gepubliseer oor die implementering van twee-faktor-verifikasie gebaseer op kriptografiese sekuriteitsleutels wat die FIDO U2F-standaard gebruik, wat indrukwekkende resultate rapporteer. Volgens die maatskappy is nie 'n enkele uitvissing-aanval teen meer as 85 000 werknemers uitgevoer nie.
Aanbevelings
Implementeer sterk verifikasie vir mobiele en aanlyn toepassings. Multi-faktor-verifikasie gebaseer op kriptografiese sleutels bied baie beter beskerming teen inbraak as tradisionele MFA-metodes. Daarbenewens is die gebruik van kriptografiese sleutels baie geriefliker omdat dit nie nodig is om bykomende inligting te gebruik en oor te dra nie - wagwoorde, eenmalige wagwoorde of biometriese data vanaf die gebruiker se toestel na die verifikasiebediener. Daarbenewens maak standaardisering van stawingsprotokolle dit baie makliker om nuwe verifikasiemetodes te implementeer soos dit beskikbaar word, wat implementeringskoste verminder en teen meer gesofistikeerde bedrogskemas beskerm.
Berei voor vir die afsterwe van eenmalige wagwoorde (OTP). Die kwesbaarhede wat inherent is aan OTP's word al hoe duideliker namate kubermisdadigers sosiale ingenieurswese, slimfoonkloning en wanware gebruik om hierdie wyse van verifikasie te kompromitteer. En as OTP's in sommige gevalle sekere voordele het, dan slegs vanuit die oogpunt van universele beskikbaarheid vir alle gebruikers, maar nie vanuit die oogpunt van sekuriteit nie.
Dit is onmoontlik om nie op te let dat die ontvangs van kodes per SMS of Push-kennisgewings, sowel as die generering van kodes deur programme vir slimfone te gebruik, die gebruik is van dieselfde eenmalige wagwoorde (OTP) waarvoor ons gevra word om voor te berei vir die afname. Uit 'n tegniese oogpunt is die oplossing baie korrek, want dit is 'n seldsame bedrieër wat nie die eenmalige wagwoord by 'n liggelowige gebruiker probeer uitvind nie. Maar ek dink dat vervaardigers van sulke stelsels tot op die laaste aan sterwende tegnologie sal vasklou.
Gebruik sterk verifikasie as 'n bemarkingsinstrument om kliëntevertroue te verhoog. Sterk verifikasie kan meer doen as om net die werklike sekuriteit van jou besigheid te verbeter. Om kliënte in te lig dat jou besigheid sterk stawing gebruik, kan die publieke persepsie van die sekuriteit van daardie besigheid versterk—'n belangrike faktor wanneer daar 'n beduidende klantvraag na sterk verifikasiemetodes is.
Doen 'n deeglike inventaris en kritieke assessering van korporatiewe data en beskerm dit volgens belangrikheid. Selfs laerisiko-data soos kliëntekontakinligting (nee, regtig, die verslag sê "lae risiko", dit is baie vreemd dat hulle die belangrikheid van hierdie inligting onderskat), kan aansienlike waarde vir bedrieërs bring en probleme vir die maatskappy veroorsaak.
Gebruik sterk ondernemingstawing. 'n Aantal stelsels is die aantreklikste teikens vir misdadigers. Dit sluit in interne en internetgekoppelde stelsels soos 'n rekeningkundige program of 'n korporatiewe datapakhuis. Sterk stawing verhoed dat aanvallers ongemagtigde toegang verkry, en maak dit ook moontlik om akkuraat te bepaal watter werknemer die kwaadwillige aktiwiteit gepleeg het.
Wat is sterk verifikasie?
Wanneer sterk stawing gebruik word, word verskeie metodes of faktore gebruik om die gebruiker se egtheid te verifieer:
- Kennisfaktor: gedeelde geheim tussen die gebruiker en die gebruiker se geverifieerde onderwerp (soos wagwoorde, antwoorde op sekuriteitsvrae, ens.)
- Eienaarskap faktor: 'n toestel wat slegs die gebruiker het (byvoorbeeld 'n mobiele toestel, 'n kriptografiese sleutel, ens.)
- Integriteit faktor: fisiese (dikwels biometriese) kenmerke van die gebruiker (byvoorbeeld vingerafdruk, irispatroon, stem, gedrag, ens.)
Die behoefte om veelvuldige faktore te hack verhoog die waarskynlikheid van mislukking vir aanvallers aansienlik, aangesien om verskeie faktore te omseil of te bedrieg vereis dat verskeie tipes inbraaktaktieke gebruik word, vir elke faktor afsonderlik.
Byvoorbeeld, met 2FA "wagwoord + slimfoon," kan 'n aanvaller stawing uitvoer deur na die gebruiker se wagwoord te kyk en 'n presiese sagteware-kopie van sy slimfoon te maak. En dit is baie moeiliker as om bloot 'n wagwoord te steel.
Maar as 'n wagwoord en 'n kriptografiese teken vir 2FA gebruik word, werk die kopieer-opsie nie hier nie - dit is onmoontlik om die teken te dupliseer. Die bedrieër sal die token in die geheim van die gebruiker moet steel. As die gebruiker die verlies betyds opmerk en die admin in kennis stel, sal die teken geblokkeer word en die bedrieër se pogings sal tevergeefs wees. Dit is hoekom die eienaarskapfaktor die gebruik van gespesialiseerde veilige toestelle (tokens) vereis eerder as toestelle vir algemene doeleindes (slimfone).
Die gebruik van al drie faktore sal hierdie verifikasiemetode redelik duur maak om te implementeer en redelik ongerieflik om te gebruik. Daarom word gewoonlik twee uit drie faktore gebruik.
Die beginsels van twee-faktor-verifikasie word in meer besonderhede beskryf , in die blok "Hoe tweefaktor-verifikasie werk".
Dit is belangrik om daarop te let dat ten minste een van die verifikasie faktore wat in sterk verifikasie gebruik word publieke sleutel kriptografie moet gebruik.
Sterk verifikasie bied baie sterker beskerming as enkelfaktor-verifikasie gebaseer op klassieke wagwoorde en tradisionele MFA. Wagwoorde kan gespioeneer word of onderskep word deur gebruik te maak van keyloggers, uitvissingwebwerwe of sosiale ingenieursaanvalle (waar die slagoffer mislei word om hul wagwoord te openbaar). Boonop sal die eienaar van die wagwoord niks van die diefstal weet nie. Tradisionele MFA (insluitend OTP-kodes, binding aan 'n slimfoon of SIM-kaart) kan ook redelik maklik gekap word, aangesien dit nie gebaseer is op publieke sleutel kriptografie nie (Terloops, daar is baie voorbeelde wanneer swendelaars, met dieselfde sosiale ingenieurstegnieke, gebruikers oorreed het om vir hulle 'n eenmalige wagwoord te gee).
Gelukkig het die gebruik van sterk verifikasie en tradisionele MFA sedert verlede jaar aanslag gekry in beide verbruikers- en ondernemingstoepassings. Die gebruik van sterk verifikasie in verbruikerstoepassings het besonder vinnig gegroei. As in 2017 net 5% van maatskappye dit gebruik het, dan was dit in 2018 reeds drie keer meer – 16%. Dit kan verklaar word deur die verhoogde beskikbaarheid van tokens wat Public Key Cryptography (PKC) algoritmes ondersteun. Daarbenewens het verhoogde druk van Europese reguleerders na die aanvaarding van nuwe databeskermingsreëls soos PSD2 en GDPR 'n sterk effek gehad selfs buite Europa (insluitend in Rusland).
Kom ons kyk van nader na hierdie getalle. Soos ons kan sien, het die persentasie privaat individue wat multifaktor-verifikasie gebruik, met 'n indrukwekkende 11% oor die jaar gegroei. En dit het duidelik gebeur ten koste van wagwoordliefhebbers, aangesien die getalle van diegene wat glo in die sekuriteit van Push-kennisgewings, SMS en biometrie nie verander het nie.
Maar met twee-faktor-verifikasie vir korporatiewe gebruik, is dinge nie so goed nie. Eerstens, volgens die verslag, is slegs 5% van werknemers van wagwoordverifikasie na tokens oorgeplaas. En tweedens, die getal van diegene wat alternatiewe MFA-opsies in 'n korporatiewe omgewing gebruik, het met 4% toegeneem.
Ek sal probeer om ontleder te speel en my interpretasie te gee. In die middel van die digitale wêreld van individuele gebruikers is die slimfoon. Daarom is dit geen wonder dat die meerderheid die vermoëns gebruik waarmee die toestel hulle voorsien nie – biometriese verifikasie, SMS- en Push-kennisgewings, sowel as eenmalige wagwoorde wat deur toepassings op die slimfoon self gegenereer word. Mense dink gewoonlik nie aan veiligheid en betroubaarheid wanneer hulle die gereedskap gebruik waaraan hulle gewoond is nie.
Dit is hoekom die persentasie gebruikers van primitiewe "tradisionele" stawingsfaktore onveranderd bly. Maar diegene wat voorheen wagwoorde gebruik het, verstaan hoeveel hulle waag, en wanneer hulle 'n nuwe verifikasiefaktor kies, kies hulle vir die nuutste en veiligste opsie - 'n kriptografiese teken.
Wat die korporatiewe mark betref, is dit belangrik om te verstaan in watter stelselverifikasie uitgevoer word. As aanmelding by 'n Windows-domein geïmplementeer word, word kriptografiese tokens gebruik. Die moontlikhede om dit vir 2FA te gebruik is reeds in beide Windows en Linux ingebou, maar alternatiewe opsies is lank en moeilik om te implementeer. Soveel vir die migrasie van 5% van wagwoorde na tokens.
En die implementering van 2FA in 'n korporatiewe inligtingstelsel hang baie af van die kwalifikasies van die ontwikkelaars. En dit is baie makliker vir ontwikkelaars om klaargemaakte modules te neem om eenmalige wagwoorde te genereer as om die werking van kriptografiese algoritmes te verstaan. En gevolglik gebruik selfs ongelooflike sekuriteitskritiese toepassings soos Single Sign-On of Privileged Access Management stelsels OTP as 'n tweede faktor.
Baie kwesbaarhede in tradisionele verifikasiemetodes
Terwyl baie organisasies afhanklik bly van erfenis-enkelfaktorstelsels, word kwesbaarhede in tradisionele multifaktor-verifikasie al hoe duideliker. Eenmalige wagwoorde, gewoonlik ses tot agt karakters lank, wat per SMS afgelewer word, bly die mees algemene vorm van verifikasie (naas die wagwoordfaktor natuurlik). En wanneer die woorde "twee-faktor-verifikasie" of "twee-stap-verifikasie" in die gewilde pers genoem word, verwys hulle byna altyd na SMS-eenmalige wagwoordverifikasie.
Hier is die skrywer 'n bietjie verkeerd. Die lewering van eenmalige wagwoorde per SMS was nog nooit twee-faktor-verifikasie nie. Dit is in sy suiwerste vorm die tweede fase van tweestap-verifikasie, waar die eerste fase jou login en wagwoord invoer.
In 2016 het die Nasionale Instituut vir Standaarde en Tegnologie (NIST) sy verifikasiereëls opgedateer om die gebruik van eenmalige wagwoorde wat per SMS gestuur word, uit te skakel. Hierdie reëls is egter aansienlik verslap ná bedryfsbetogings.
So, kom ons volg die plot. Die Amerikaanse reguleerder erken tereg dat verouderde tegnologie nie in staat is om gebruikersveiligheid te verseker nie en stel nuwe standaarde bekend. Standaarde wat ontwerp is om gebruikers van aanlyn- en mobiele toepassings (insluitend bankdienste) te beskerm. Die bedryf is besig om te bereken hoeveel geld hy sal moet spandeer op die aankoop van werklik betroubare kriptografiese tokens, die herontwerp van toepassings, die ontplooiing van 'n publieke sleutel-infrastruktuur, en is "op sy agterpote." Aan die een kant was gebruikers oortuig van die betroubaarheid van eenmalige wagwoorde, en aan die ander kant was daar aanvalle op NIST. Gevolglik is die standaard versag, en die aantal hacks en diefstal van wagwoorde (en geld van banktoepassings) het skerp toegeneem. Maar die bedryf moes nie geld opdok nie.
Sedertdien het die inherente swakhede van SMS OTP meer duidelik geword. Bedrieërs gebruik verskeie metodes om SMS-boodskappe te kompromitteer:
- SIM-kaart duplisering. Aanvallers skep 'n kopie van die SIM (met die hulp van mobiele operateur werknemers, of onafhanklik, met behulp van spesiale sagteware en hardeware). Gevolglik ontvang die aanvaller 'n SMS met 'n eenmalige wagwoord. In een besonder bekende geval kon kuberkrakers selfs die AT&T-rekening van kripto-geldeenheidbelegger Michael Turpin kompromitteer, en byna $24 miljoen in kripto-geldeenhede steel. As gevolg hiervan het Turpin verklaar dat AT&T skuldig was weens swak verifikasiemaatreëls wat tot SIM-kaartduplisering gelei het.
Wonderlike logika. So dit is eintlik net AT&T se skuld? Nee, dit is ongetwyfeld die selfoonoperateur se skuld dat die verkoopslui in die kommunikasiewinkel 'n duplikaat SIM-kaart uitgereik het. Wat van die cryptocurrency-uitruilverifikasiestelsel? Hoekom het hulle nie sterk kriptografiese tekens gebruik nie? Was dit jammer om geld aan implementering te spandeer? Is Michael nie self te blameer nie? Waarom het hy nie daarop aangedring om die verifikasiemeganisme te verander of net daardie uitruilings te gebruik wat tweefaktor-verifikasie op grond van kriptografiese tokens implementeer nie?
Die bekendstelling van werklik betroubare verifikasiemetodes word vertraag juis omdat gebruikers ongelooflike sorgeloosheid toon voor inbraak, en daarna blameer hulle hul probleme op enigiemand en enigiets anders as ou en "lekkende" verifikasietegnologieë
- Wanware. Een van die vroegste funksies van mobiele wanware was om teksboodskappe aan aanvallers te onderskep en aan te stuur. Man-in-die-blaaier- en man-in-die-middel-aanvalle kan ook eenmalige wagwoorde onderskep wanneer dit op besmette skootrekenaars of rekenaartoestelle ingevoer word.
Wanneer die Sberbank-toepassing op jou slimfoon ’n groen ikoon in die statusbalk knip, soek dit ook vir “wanware” op jou foon. Die doel van hierdie geleentheid is om die onbetroubare uitvoeringsomgewing van 'n tipiese slimfoon in, ten minste op een of ander manier, 'n betroubare een te verander.
Terloops, 'n slimfoon, as 'n heeltemal onbetroubare toestel waarop enigiets gedoen kan word, is nog 'n rede om dit vir verifikasie te gebruik Slegs hardeware-tokens, wat beskerm en vry is van virusse en Trojane. - Sosiale ingenieurswese. Wanneer swendelaars weet dat 'n slagoffer OTP's per SMS geaktiveer het, kan hulle die slagoffer direk kontak, wat hulle voordoen as 'n vertroude organisasie soos hul bank of krediet-unie, om die slagoffer te mislei om die kode te verskaf wat hulle sopas ontvang het.
Ek het persoonlik hierdie tipe bedrog al baie keer teëgekom, byvoorbeeld wanneer ek probeer het om iets op 'n gewilde aanlyn vlooimark te verkoop. Ek het self gespot met die swendelaar wat my na hartelus probeer flous het. Maar helaas, ek lees gereeld in die nuus hoe nog 'n slagoffer van swendelaars "nie gedink het nie," die bevestigingskode gegee het en 'n groot bedrag verloor het. En dit alles is omdat die bank eenvoudig nie die implementering van kriptografiese tokens in sy toepassings wil hanteer nie. As iets gebeur, het die kliënte immers “hulleself te blameer”.
Alhoewel alternatiewe OTP-afleweringsmetodes sommige van die kwesbaarhede in hierdie verifikasiemetode kan versag, bly ander kwesbaarhede. Selfstandige kodegenerering-toepassings is die beste beskerming teen afluistering, aangesien selfs wanware skaars direk met die kodegenerator (ernstig? Het die skrywer van die verslag van afstandbeheer vergeet?), maar OTP's kan steeds onderskep word wanneer dit in die blaaier ingevoer word (byvoorbeeld die gebruik van 'n keylogger), deur 'n gehackte mobiele toepassing; en kan ook direk van die gebruiker verkry word deur sosiale ingenieurswese te gebruik.
Die gebruik van veelvuldige risikobepalingsinstrumente soos toestelherkenning (opsporing van pogings om transaksies uit te voer vanaf toestelle wat nie aan 'n wettige gebruiker behoort nie), geoligging ('n gebruiker wat pas in Moskou was, probeer om 'n operasie uit Novosibirsk uit te voer) en gedragsanalise is belangrik om kwesbaarhede aan te spreek, maar nie een van die oplossings is 'n wondermiddel nie. Vir elke situasie en tipe data is dit nodig om die risiko's noukeurig te assesseer en te kies watter verifikasietegnologie gebruik moet word.
Geen verifikasie-oplossing is 'n wondermiddel nie
Figuur 2. Verifikasie opsies tabel
| verifikasie | Faktor | Beskrywing | Sleutel kwesbaarhede |
| Wagwoord of PIN | Kennis | Vaste waarde, wat letters, syfers en 'n aantal ander karakters kan insluit | Kan onderskep, gespioeneer, gesteel, opgetel of gekap word |
| Kennis-gebaseerde verifikasie | Kennis | Bevraagteken die antwoorde waarop slegs 'n wettige gebruiker kan weet | Kan onderskep, opgetel, verkry word met behulp van sosiale ingenieursmetodes |
| Hardeware OTP () | Besit | 'n Spesiale toestel wat eenmalige wagwoorde genereer | Die kode kan onderskep en herhaal word, of die toestel kan gesteel word |
| Sagteware OTP's | Besit | 'n Toepassing (mobiel, toeganklik deur 'n blaaier, of stuur kodes per e-pos) wat eenmalige wagwoorde genereer | Die kode kan onderskep en herhaal word, of die toestel kan gesteel word |
| SMS-OTP | Besit | Eenmalige wagwoord per SMS-boodskap afgelewer | Die kode kan onderskep en herhaal word, of die slimfoon of SIM-kaart kan gesteel word, of die SIM-kaart kan gedupliseer word |
| Slimkaarte () | Besit | 'n Kaart wat 'n kriptografiese skyfie en 'n veilige sleutelgeheue bevat wat 'n publieke sleutelinfrastruktuur vir stawing gebruik | Kan fisies gesteel word (maar 'n aanvaller sal nie die toestel kan gebruik sonder om die PIN-kode te ken nie; in die geval van verskeie verkeerde invoerpogings, sal die toestel geblokkeer word) |
| Sekuriteitsleutels - tokens (, ) | Besit | 'n USB-toestel wat 'n kriptografiese skyfie en veilige sleutelgeheue bevat wat 'n publieke sleutelinfrastruktuur vir stawing gebruik | Kan fisies gesteel word (maar 'n aanvaller sal nie die toestel kan gebruik sonder om die PIN-kode te ken nie; in die geval van verskeie verkeerde toegangspogings, sal die toestel geblokkeer word) |
| Koppel aan 'n toestel | Besit | Die proses wat 'n profiel skep, wat dikwels JavaScript gebruik, of merkers soos koekies en Flash Shared Objects gebruik om te verseker dat 'n spesifieke toestel gebruik word | Tekens kan gesteel word (gekopieer), en die kenmerke van 'n wettige toestel kan deur 'n aanvaller op sy toestel nageboots word |
| gedrag | Inherensie | Ontleed hoe die gebruiker met 'n toestel of program omgaan | Gedrag kan nageboots word |
| Vingerafdrukke | Inherensie | Gestoorde vingerafdrukke word vergelyk met dié wat opties of elektronies vasgelê is | Die beeld kan gesteel word en vir stawing gebruik word |
| Oogskandering | Inherensie | Vergelyk oogkenmerke, soos irispatroon, met nuwe optiese skanderings | Die beeld kan gesteel word en vir stawing gebruik word |
| Gesigherkenning | Inherensie | Gesigseienskappe word vergelyk met nuwe optiese skanderings | Die beeld kan gesteel word en vir stawing gebruik word |
| Stemherkenning | Inherensie | Die kenmerke van die opgeneemde stemmonster word vergelyk met nuwe monsters | Die rekord kan gesteel word en vir stawing gebruik word, of nagevolg word |
In die tweede deel van die publikasie wag die heerlikste goed op ons – syfers en feite, waarop die gevolgtrekkings en aanbevelings wat in die eerste deel gegee word, gebaseer is. Stawing in gebruikerstoepassings en in korporatiewe stelsels sal afsonderlik bespreek word.
Sien julle daar!
Bron: will.com