المفسد من عنوان التقرير: "يزداد استخدام المصادقة القوية بسبب التهديد بالمخاطر الجديدة والمتطلبات التنظيمية."
نشرت شركة الأبحاث "Javelin Strategy & Research" تقرير "حالة المصادقة القوية 2019" (). يقول هذا التقرير: ما هي النسبة المئوية للشركات الأمريكية والأوروبية التي تستخدم كلمات المرور (ولماذا يستخدم عدد قليل من الأشخاص كلمات المرور الآن)؛ لماذا ينمو استخدام المصادقة الثنائية المستندة إلى رموز التشفير بسرعة كبيرة؛ لماذا تعتبر الرموز التي يتم إرسالها لمرة واحدة عبر الرسائل القصيرة آمنة؟
نرحب بأي شخص مهتم بالحاضر والماضي والمستقبل للمصادقة في المؤسسات وتطبيقات المستهلك.
من المترجم
للأسف، اللغة التي كُتب بها هذا التقرير هي لغة "جافة" ورسمية تمامًا. واستخدام كلمة "توثيق" خمس مرات في جملة قصيرة واحدة ليس أيدي (أو أدمغة) المترجم الملتوية، بل هو نزوة المؤلفين. عند الترجمة من خيارين - لإعطاء القراء نصًا أقرب إلى النص الأصلي، أو نصًا أكثر إثارة للاهتمام، اخترت أحيانًا الخيار الأول، وأحيانًا الثاني. لكن تحلوا بالصبر أيها القراء الأعزاء، فمحتويات التقرير تستحق العناء.
تمت إزالة بعض الأجزاء غير المهمة وغير الضرورية من القصة، وإلا لما تمكنت الأغلبية من الاطلاع على النص بأكمله. ويمكن للراغبين في قراءة التقرير "بدون تقطيع" أن يفعلوا ذلك باللغة الأصلية باتباع الرابط.
لسوء الحظ، لا يهتم المؤلفون دائمًا بالمصطلحات. وبالتالي، فإن كلمات المرور لمرة واحدة (One Time Password - OTP) تسمى أحيانًا "كلمات المرور"، وأحيانًا "الرموز". بل إن الأمر أسوأ مع طرق المصادقة. ليس من السهل دائمًا على القارئ غير المدرب أن يخمن أن "المصادقة باستخدام مفاتيح التشفير" و"المصادقة القوية" هما نفس الشيء. حاولت توحيد المصطلحات قدر الإمكان، وفي التقرير نفسه يوجد جزء مع وصفها.
ومع ذلك، يوصى بشدة بقراءة التقرير لأنه يحتوي على نتائج بحث فريدة واستنتاجات صحيحة.
يتم عرض جميع الأرقام والحقائق دون أدنى تغييرات، وإذا كنت لا توافق عليها، فمن الأفضل أن تجادل ليس مع المترجم، ولكن مع مؤلفي التقرير. وإليك تعليقاتي (موضحة كاقتباسات، ومحددة في النص مائل) هي حكمي القيمي وسأكون سعيدًا بالمناقشة حول كل منها (وكذلك حول جودة الترجمة).
مراجعة
في الوقت الحاضر، أصبحت القنوات الرقمية للتواصل مع العملاء أكثر أهمية من أي وقت مضى بالنسبة للشركات. وداخل الشركة، أصبحت الاتصالات بين الموظفين موجهة رقميًا أكثر من أي وقت مضى. ويعتمد مدى أمان هذه التفاعلات على الطريقة المختارة لمصادقة المستخدم. يستخدم المهاجمون مصادقة ضعيفة لاختراق حسابات المستخدمين على نطاق واسع. واستجابة لذلك، تعمل الجهات التنظيمية على تشديد المعايير لإجبار الشركات على حماية حسابات المستخدمين وبياناتهم بشكل أفضل.
وتمتد التهديدات المتعلقة بالمصادقة إلى ما هو أبعد من تطبيقات المستهلك، حيث يمكن للمهاجمين أيضًا الوصول إلى التطبيقات التي تعمل داخل المؤسسة. تتيح لهم هذه العملية انتحال شخصية مستخدمي الشركة. يمكن للمهاجمين الذين يستخدمون نقاط وصول ذات مصادقة ضعيفة سرقة البيانات وتنفيذ أنشطة احتيالية أخرى. ولحسن الحظ، هناك تدابير لمكافحة هذا. ستساعد المصادقة القوية بشكل كبير في تقليل مخاطر الهجوم من قبل مهاجم، سواء على تطبيقات المستهلك أو أنظمة الأعمال الخاصة بالمؤسسات.
تبحث هذه الدراسة: كيفية قيام المؤسسات بتنفيذ المصادقة لحماية تطبيقات المستخدم النهائي وأنظمة أعمال المؤسسة؛ العوامل التي يأخذونها في الاعتبار عند اختيار حل المصادقة؛ والدور الذي تلعبه المصادقة القوية في مؤسساتهم؛ الفوائد التي تحصل عليها هذه المنظمات.
ملخص
النتائج الرئيسية
منذ عام 2017، زاد استخدام المصادقة القوية بشكل حاد. مع تزايد عدد نقاط الضعف التي تؤثر على حلول المصادقة التقليدية، تعمل المؤسسات على تعزيز قدرات المصادقة لديها من خلال مصادقة قوية. تضاعف عدد المؤسسات التي تستخدم مصادقة التشفير متعددة العوامل (MFA) ثلاث مرات منذ عام 2017 لتطبيقات المستهلكين وزاد بنسبة 50% تقريبًا لتطبيقات المؤسسات. ويُلاحظ النمو الأسرع في المصادقة عبر الهاتف المحمول نظرًا لتزايد توافر المصادقة البيومترية.
وهنا نرى مثالاً لمقولة “حتى يضرب الرعد لا يتقاطع رجل”. عندما حذر الخبراء من عدم أمان كلمات المرور، لم يكن أحد في عجلة من أمره لتنفيذ المصادقة الثنائية. بمجرد أن بدأ المتسللون في سرقة كلمات المرور، بدأ الأشخاص في تنفيذ المصادقة الثنائية.
صحيح أن الأفراد ينفذون المصادقة الثنائية بشكل أكثر نشاطًا. أولاً، من الأسهل عليهم تهدئة مخاوفهم من خلال الاعتماد على المصادقة البيومترية المدمجة في الهواتف الذكية، والتي في الواقع غير موثوقة على الإطلاق. تحتاج المنظمات إلى إنفاق الأموال على شراء الرموز وتنفيذ العمل (في الواقع، بسيط جدًا) لتنفيذها. وثانيًا، الأشخاص الكسالى فقط هم الذين لم يكتبوا عن تسرب كلمات المرور من خدمات مثل Facebook وDropbox، ولكن تحت أي ظرف من الظروف لن يقوم مديرو تكنولوجيا المعلومات في هذه المؤسسات بمشاركة القصص حول كيفية سرقة كلمات المرور (وما حدث بعد ذلك) في المؤسسات.
أولئك الذين لا يستخدمون مصادقة قوية يقللون من حجم المخاطر التي يتعرضون لها على أعمالهم وعملائهم. تميل بعض المؤسسات التي لا تستخدم حاليًا المصادقة القوية إلى عرض تسجيلات الدخول وكلمات المرور باعتبارها إحدى أكثر طرق مصادقة المستخدم فعالية وسهولة في الاستخدام. ولا يرى آخرون قيمة الأصول الرقمية التي يمتلكونها. بعد كل شيء، تجدر الإشارة إلى أن مجرمي الإنترنت مهتمون بأي معلومات خاصة بالمستهلكين أو الأعمال. ثلثا الشركات التي تستخدم كلمات المرور فقط لمصادقة موظفيها تفعل ذلك لأنها تعتقد أن كلمات المرور جيدة بما يكفي لنوع المعلومات التي تحميها.
ومع ذلك، فإن كلمات المرور في طريقها إلى القبر. انخفض الاعتماد على كلمة المرور بشكل ملحوظ خلال العام الماضي لكل من تطبيقات المستهلكين والمؤسسات (من 44% إلى 31%، ومن 56% إلى 47%، على التوالي) حيث زادت المؤسسات من استخدامها للمصادقة متعددة العوامل (MFA) التقليدية والمصادقة القوية.
ولكن إذا نظرنا إلى الوضع ككل، فإن أساليب المصادقة الضعيفة لا تزال هي السائدة. لمصادقة المستخدم، يستخدم حوالي ربع المؤسسات SMS OTP (كلمة المرور لمرة واحدة) بالإضافة إلى أسئلة الأمان. ونتيجة لذلك، يجب تنفيذ تدابير أمنية إضافية للحماية من الثغرة الأمنية، مما يزيد من التكاليف. يتم استخدام أساليب مصادقة أكثر أمانًا، مثل مفاتيح تشفير الأجهزة، بشكل أقل تكرارًا، في حوالي 5% من المؤسسات.
تعد البيئة التنظيمية المتطورة بتسريع اعتماد المصادقة القوية لتطبيقات المستهلك. ومع طرح PSD2، فضلاً عن قواعد حماية البيانات الجديدة في الاتحاد الأوروبي والعديد من الولايات الأمريكية مثل كاليفورنيا، تشعر الشركات بالضغوط. يتفق ما يقرب من 70% من الشركات على أنها تواجه ضغوطًا تنظيمية قوية لتوفير مصادقة قوية لعملائها. ويعتقد أكثر من نصف الشركات أنه في غضون سنوات قليلة لن تكون أساليب المصادقة الخاصة بها كافية للوفاء بالمعايير التنظيمية.
إن الاختلاف في نهج المشرعين الروس والأمريكيين الأوروبيين فيما يتعلق بحماية البيانات الشخصية لمستخدمي البرامج والخدمات واضح للعيان. يقول الروس: أعزائي أصحاب الخدمة، افعلوا ما تريدون وكيف تريدون، ولكن إذا قام مسؤولكم بدمج قاعدة البيانات، فسوف نعاقبكم. يقولون في الخارج: يجب تنفيذ مجموعة من الإجراءات التي لن تسمح استنزاف القاعدة. ولهذا السبب يتم تنفيذ متطلبات المصادقة الثنائية الصارمة هناك.
صحيح أنه ليس من الحقيقة أن آلتنا التشريعية لن تعود ذات يوم إلى رشدها وتأخذ في الاعتبار التجربة الغربية. ثم اتضح أن الجميع بحاجة إلى تنفيذ المصادقة الثنائية (2FA)، التي تتوافق مع معايير التشفير الروسية، وبشكل عاجل.
إن إنشاء إطار مصادقة قوي يسمح للشركات بتحويل تركيزها من تلبية المتطلبات التنظيمية إلى تلبية احتياجات العملاء. بالنسبة لتلك المؤسسات التي لا تزال تستخدم كلمات مرور بسيطة أو تتلقى الرموز عبر الرسائل القصيرة، فإن العامل الأكثر أهمية عند اختيار طريقة المصادقة هو الامتثال للمتطلبات التنظيمية. لكن تلك الشركات التي تستخدم بالفعل مصادقة قوية يمكنها التركيز على اختيار طرق المصادقة التي تزيد من ولاء العملاء.
عند اختيار طريقة مصادقة الشركة داخل المؤسسة، لم تعد المتطلبات التنظيمية عاملاً مهمًا. وفي هذه الحالة، تعتبر سهولة التكامل (32%) والتكلفة (26%) أكثر أهمية بكثير.
في عصر التصيد الاحتيالي، يمكن للمهاجمين استخدام البريد الإلكتروني الخاص بالشركة للاحتيال للوصول بشكل احتيالي إلى البيانات والحسابات (مع حقوق الوصول المناسبة)، وحتى إقناع الموظفين بإجراء تحويل أموال إلى حسابه. ولذلك، يجب حماية حسابات البريد الإلكتروني والبوابة الخاصة بالشركة بشكل جيد.
قامت Google بتعزيز أمانها من خلال تنفيذ مصادقة قوية. منذ أكثر من عامين، نشرت جوجل تقريرًا عن تنفيذ المصادقة الثنائية استنادًا إلى مفاتيح أمان التشفير باستخدام معيار FIDO U2F، وأبلغت عن نتائج مبهرة. ووفقا للشركة، لم يتم تنفيذ أي هجوم تصيد ضد أكثر من 85 موظف.
توصيات
تنفيذ مصادقة قوية لتطبيقات الهاتف المحمول وعبر الإنترنت. توفر المصادقة متعددة العوامل المستندة إلى مفاتيح التشفير حماية أفضل بكثير ضد القرصنة من طرق MFA التقليدية. بالإضافة إلى ذلك، يعد استخدام مفاتيح التشفير أكثر ملاءمة لأنه ليست هناك حاجة لاستخدام ونقل معلومات إضافية - كلمات المرور أو كلمات المرور لمرة واحدة أو البيانات البيومترية من جهاز المستخدم إلى خادم المصادقة. بالإضافة إلى ذلك، فإن توحيد بروتوكولات المصادقة يجعل من الأسهل بكثير تنفيذ طرق المصادقة الجديدة عندما تصبح متاحة، مما يقلل من تكاليف التنفيذ ويحمي من مخططات الاحتيال الأكثر تعقيدًا.
الاستعداد لزوال كلمات المرور لمرة واحدة (OTP). أصبحت نقاط الضعف الكامنة في OTPs واضحة بشكل متزايد حيث يستخدم مجرمو الإنترنت الهندسة الاجتماعية واستنساخ الهواتف الذكية والبرامج الضارة لاختراق وسائل المصادقة هذه. وإذا كانت OTPs في بعض الحالات تتمتع بمزايا معينة، فذلك فقط من وجهة نظر التوفر الشامل لجميع المستخدمين، ولكن ليس من وجهة نظر الأمان.
من المستحيل عدم ملاحظة أن تلقي الرموز عبر الرسائل القصيرة أو إشعارات الدفع، بالإضافة إلى إنشاء الرموز باستخدام برامج للهواتف الذكية، هو استخدام نفس كلمات المرور لمرة واحدة (OTP) التي يُطلب منا الاستعداد للرفض لها. من الناحية الفنية، الحل صحيح للغاية، لأنه محتال نادر لا يحاول معرفة كلمة المرور لمرة واحدة من مستخدم ساذج. لكنني أعتقد أن الشركات المصنعة لمثل هذه الأنظمة سوف تتشبث بتكنولوجيا الموت حتى النهاية.
استخدم المصادقة القوية كأداة تسويقية لزيادة ثقة العملاء. يمكن للمصادقة القوية أن تفعل أكثر من مجرد تحسين الأمان الفعلي لشركتك. إن إعلام العملاء بأن عملك يستخدم مصادقة قوية يمكن أن يعزز الإدراك العام لأمان تلك الشركة - وهو عامل مهم عندما يكون هناك طلب كبير من العملاء على أساليب مصادقة قوية.
إجراء تقييم شامل للمخزون والأهمية لبيانات الشركة وحمايتها وفقًا لأهميتها. حتى البيانات منخفضة المخاطر مثل معلومات الاتصال بالعملاء (لا فعلا التقرير يقول “منخفض المخاطر” الغريب جدا أنهم يقللون من أهمية هذه المعلومات)، يمكن أن يحقق قيمة كبيرة للمحتالين ويسبب مشاكل للشركة.
استخدم مصادقة مؤسسية قوية. يعد عدد من الأنظمة الأهداف الأكثر جاذبية للمجرمين. وتشمل هذه الأنظمة الداخلية والمتصلة بالإنترنت مثل برنامج المحاسبة أو مستودع بيانات الشركة. تمنع المصادقة القوية المهاجمين من الوصول غير المصرح به، كما تتيح إمكانية التحديد الدقيق للموظف الذي ارتكب النشاط الضار.
ما هي المصادقة القوية؟
عند استخدام المصادقة القوية، يتم استخدام عدة طرق أو عوامل للتحقق من مصادقة المستخدم:
- عامل المعرفة: السر المشترك بين المستخدم وموضوع المستخدم المصادق عليه (مثل كلمات المرور، والإجابات على أسئلة الأمان، وما إلى ذلك)
- عامل الملكية: جهاز يمتلكه المستخدم فقط (على سبيل المثال، جهاز محمول، مفتاح تشفير، وما إلى ذلك)
- عامل النزاهة: الخصائص الجسدية (البيومترية غالبًا) للمستخدم (على سبيل المثال، بصمة الإصبع، ونمط القزحية، والصوت، والسلوك، وما إلى ذلك)
إن الحاجة إلى اختراق عوامل متعددة تزيد بشكل كبير من احتمالية فشل المهاجمين، حيث أن تجاوز أو خداع العوامل المختلفة يتطلب استخدام أنواع متعددة من تكتيكات الاختراق، لكل عامل على حدة.
على سبيل المثال، باستخدام 2FA "كلمة المرور + الهاتف الذكي"، يمكن للمهاجم إجراء المصادقة من خلال النظر إلى كلمة مرور المستخدم وعمل نسخة برمجية دقيقة من هاتفه الذكي. وهذا أصعب بكثير من مجرد سرقة كلمة المرور.
ولكن إذا تم استخدام كلمة مرور ورمز تشفير مميز للمصادقة الثنائية، فلن يعمل خيار النسخ هنا - فمن المستحيل تكرار الرمز المميز. سيحتاج المحتال إلى سرقة الرمز المميز من المستخدم خلسة. إذا لاحظ المستخدم ضياع الوقت وأبلغ المشرف، فسيتم حظر الرمز المميز وستذهب جهود المحتال سدى. ولهذا السبب يتطلب عامل الملكية استخدام أجهزة آمنة متخصصة (الرموز المميزة) بدلاً من الأجهزة ذات الأغراض العامة (الهواتف الذكية).
سيؤدي استخدام العوامل الثلاثة جميعها إلى جعل طريقة المصادقة هذه مكلفة للغاية للتنفيذ وغير مريحة للاستخدام على الإطلاق. ولذلك، عادة ما يتم استخدام عاملين من أصل ثلاثة.
تم وصف مبادئ المصادقة الثنائية بمزيد من التفصيل ، في كتلة "كيفية عمل المصادقة الثنائية".
من المهم ملاحظة أن واحدًا على الأقل من عوامل المصادقة المستخدمة في المصادقة القوية يجب أن يستخدم تشفير المفتاح العام.
توفر المصادقة القوية حماية أقوى بكثير من المصادقة أحادية العامل المستندة إلى كلمات المرور الكلاسيكية وMFA التقليدية. يمكن التجسس على كلمات المرور أو اعتراضها باستخدام برامج تسجيل المفاتيح أو مواقع التصيد أو هجمات الهندسة الاجتماعية (حيث يتم خداع الضحية للكشف عن كلمة المرور الخاصة به). علاوة على ذلك، فإن صاحب كلمة المرور لن يعرف شيئاً عن السرقة. يمكن أيضًا اختراق MFA التقليدي (بما في ذلك رموز OTP والربط بالهاتف الذكي أو بطاقة SIM) بسهولة تامة، نظرًا لأنه لا يعتمد على تشفير المفتاح العام (بالمناسبة، هناك العديد من الأمثلة عندما قام المحتالون، باستخدام نفس تقنيات الهندسة الاجتماعية، بإقناع المستخدمين بمنحهم كلمة مرور لمرة واحدة).
ولحسن الحظ، فإن استخدام المصادقة القوية والمصادقة المتعددة العوامل (MFA) التقليدية قد اكتسب قوة جذب في كل من تطبيقات المستهلكين والمؤسسات منذ العام الماضي. نما استخدام المصادقة القوية في تطبيقات المستهلك بسرعة كبيرة. إذا كانت نسبة استخدام الشركات لهذه التكنولوجيا في عام 2017 هي 5% فقط، فقد كانت في عام 2018 أكثر بثلاث مرات - 16%. ويمكن تفسير ذلك من خلال زيادة توافر الرموز المميزة التي تدعم خوارزميات تشفير المفتاح العام (PKC). بالإضافة إلى ذلك، كان للضغط المتزايد من الهيئات التنظيمية الأوروبية بعد اعتماد قواعد حماية البيانات الجديدة مثل PSD2 واللائحة العامة لحماية البيانات تأثير قوي حتى خارج أوروبا (بما في ذلك في روسيا).
دعونا نلقي نظرة فاحصة على هذه الأرقام. كما نرى، ارتفعت نسبة الأفراد الذين يستخدمون المصادقة متعددة العوامل بنسبة مذهلة بلغت 11% على مدار العام. ومن الواضح أن هذا حدث على حساب محبي كلمات المرور، حيث لم تتغير أعداد أولئك الذين يؤمنون بأمان إشعارات الدفع والرسائل النصية القصيرة والقياسات الحيوية.
ولكن مع المصادقة الثنائية لاستخدام الشركات، فإن الأمور ليست على ما يرام. أولاً، وفقًا للتقرير، تم نقل 5٪ فقط من الموظفين من مصادقة كلمة المرور إلى الرموز المميزة. وثانيًا، زاد عدد أولئك الذين يستخدمون خيارات MFA البديلة في بيئة الشركات بنسبة 4٪.
سأحاول أن ألعب دور المحلل وأقدم تفسيري. يقع الهاتف الذكي في قلب العالم الرقمي للمستخدمين الفرديين. لذلك، ليس من المستغرب أن يستخدم الأغلبية الإمكانيات التي يوفرها لهم الجهاز - المصادقة البيومترية والرسائل النصية القصيرة وإشعارات الدفع، بالإضافة إلى كلمات المرور لمرة واحدة التي يتم إنشاؤها بواسطة التطبيقات الموجودة على الهاتف الذكي نفسه. لا يفكر الأشخاص عادةً في السلامة والموثوقية عند استخدام الأدوات التي اعتادوا عليها.
ولهذا السبب تظل نسبة مستخدمي عوامل المصادقة "التقليدية" البدائية دون تغيير. لكن أولئك الذين سبق لهم استخدام كلمات المرور يدركون مدى المخاطرة التي يتعرضون لها، وعند اختيار عامل مصادقة جديد، فإنهم يختارون الخيار الأحدث والأكثر أمانًا - رمز التشفير.
أما بالنسبة لسوق الشركات، فمن المهم أن نفهم في أي نظام يتم تنفيذ المصادقة. إذا تم تنفيذ تسجيل الدخول إلى مجال Windows، فسيتم استخدام رموز التشفير المميزة. إن إمكانيات استخدامها للمصادقة الثنائية موجودة بالفعل في كل من نظامي التشغيل Windows وLinux، ولكن الخيارات البديلة طويلة ويصعب تنفيذها. الكثير بالنسبة لترحيل 2٪ من كلمات المرور إلى الرموز المميزة.
ويعتمد تنفيذ المصادقة الثنائية في نظام معلومات الشركة إلى حد كبير على مؤهلات المطورين. ومن الأسهل على المطورين أن يأخذوا وحدات جاهزة لإنشاء كلمات مرور لمرة واحدة بدلاً من فهم تشغيل خوارزميات التشفير. ونتيجة لذلك، حتى التطبيقات الأمنية الهامة بشكل لا يصدق مثل أنظمة تسجيل الدخول الموحد أو إدارة الوصول المميز تستخدم OTP كعامل ثانٍ.
العديد من نقاط الضعف في طرق المصادقة التقليدية
في حين أن العديد من المؤسسات لا تزال تعتمد على الأنظمة القديمة ذات العامل الواحد، فإن نقاط الضعف في المصادقة التقليدية متعددة العوامل أصبحت واضحة بشكل متزايد. تظل كلمات المرور لمرة واحدة، التي يتراوح طولها عادةً من ستة إلى ثمانية أحرف، والتي يتم تسليمها عبر الرسائل القصيرة، هي الشكل الأكثر شيوعًا للمصادقة (إلى جانب عامل كلمة المرور بالطبع). وعندما يتم ذكر عبارة "المصادقة الثنائية" أو "التحقق بخطوتين" في الصحافة الشائعة، فإنها تشير دائمًا تقريبًا إلى مصادقة كلمة المرور لمرة واحدة عبر الرسائل النصية القصيرة.
هنا المؤلف مخطئ قليلا. لم يكن تسليم كلمات المرور لمرة واحدة عبر الرسائل القصيرة بمثابة مصادقة ثنائية على الإطلاق. هذه في أنقى صورها هي المرحلة الثانية من المصادقة المكونة من خطوتين، حيث تتمثل المرحلة الأولى في إدخال معلومات تسجيل الدخول وكلمة المرور الخاصة بك.
في عام 2016، قام المعهد الوطني للمعايير والتكنولوجيا (NIST) بتحديث قواعد المصادقة الخاصة به للتخلص من استخدام كلمات المرور لمرة واحدة المرسلة عبر الرسائل القصيرة. ومع ذلك، تم تخفيف هذه القواعد بشكل كبير بعد احتجاجات الصناعة.
لذلك، دعونا نتبع المؤامرة. تدرك الهيئة التنظيمية الأمريكية بحق أن التكنولوجيا القديمة غير قادرة على ضمان سلامة المستخدم وتقوم بإدخال معايير جديدة. معايير مصممة لحماية مستخدمي تطبيقات الإنترنت والهاتف المحمول (بما في ذلك التطبيقات المصرفية). وتقوم الصناعة بحساب مقدار الأموال التي سيتعين عليها إنفاقها على شراء رموز تشفير موثوقة حقًا، وإعادة تصميم التطبيقات، ونشر البنية التحتية للمفتاح العام، وهي "تنهض على رجليها الخلفيتين". من ناحية، كان المستخدمون مقتنعين بموثوقية كلمات المرور لمرة واحدة، ومن ناحية أخرى، كانت هناك هجمات على NIST. ونتيجة لذلك، تم تخفيف المعيار، وزاد بشكل حاد عدد عمليات الاختراق وسرقة كلمات المرور (والأموال من التطبيقات المصرفية). لكن الصناعة لم تكن مضطرة إلى صرف الأموال.
منذ ذلك الحين، أصبحت نقاط الضعف الكامنة في خدمة SMS OTP أكثر وضوحًا. يستخدم المحتالون طرقًا مختلفة لاختراق الرسائل النصية القصيرة:
- تكرار بطاقة SIM. يقوم المهاجمون بإنشاء نسخة من بطاقة SIM (بمساعدة موظفي مشغل الهاتف المحمول، أو بشكل مستقل، باستخدام برامج وأجهزة خاصة). ونتيجة لذلك، يتلقى المهاجم رسالة نصية قصيرة تحتوي على كلمة مرور لمرة واحدة. وفي إحدى الحالات الشهيرة بشكل خاص، تمكن المتسللون من اختراق حساب AT&T الخاص بمستثمر العملات المشفرة مايكل توربين، وسرقة ما يقرب من 24 مليون دولار من العملات المشفرة. ونتيجة لذلك، ذكر توربين أن شركة AT&T كانت مخطئة بسبب إجراءات التحقق الضعيفة التي أدت إلى تكرار بطاقة SIM.
منطق مذهل. إذن هل هذا خطأ AT&T فقط؟ لا، إنه بلا شك خطأ مشغل الهاتف المحمول عندما أصدر مندوبو المبيعات في متجر الاتصالات بطاقة SIM مكررة. ماذا عن نظام مصادقة تبادل العملات المشفرة؟ لماذا لم يستخدموا رموز تشفير قوية؟ هل كان من المؤسف إنفاق الأموال على التنفيذ؟ أليس مايكل نفسه هو المسؤول؟ لماذا لم يصر على تغيير آلية المصادقة أو استخدام فقط تلك البورصات التي تنفذ المصادقة الثنائية بناءً على رموز التشفير؟
تأخر إدخال طرق المصادقة الموثوقة حقًا على وجه التحديد لأن المستخدمين يظهرون إهمالًا مذهلاً قبل الاختراق، وبعد ذلك يلقون اللوم في مشاكلهم على أي شخص وأي شيء آخر غير تقنيات المصادقة القديمة و"المتسربة".
- البرامج الضارة. كانت إحدى الوظائف الأولى للبرامج الضارة على الأجهزة المحمولة هي اعتراض الرسائل النصية وإعادة توجيهها إلى المهاجمين. كما يمكن لهجمات الرجل في المتصفح وهجمات الرجل في الوسط اعتراض كلمات المرور لمرة واحدة عند إدخالها على أجهزة الكمبيوتر المحمولة أو أجهزة سطح المكتب المصابة.
عندما يومض تطبيق Sberbank الموجود على هاتفك الذكي بأيقونة خضراء في شريط الحالة، فإنه يبحث أيضًا عن "برامج ضارة" على هاتفك. الهدف من هذا الحدث هو تحويل بيئة التنفيذ غير الموثوقة للهاتف الذكي النموذجي إلى بيئة موثوقة، على الأقل بطريقة ما.
بالمناسبة، يعد الهاتف الذكي، باعتباره جهازًا غير موثوق به تمامًا يمكن القيام بأي شيء عليه، سببًا آخر لاستخدامه للمصادقة رموز الأجهزة فقطوهي محمية وخالية من الفيروسات وأحصنة طروادة. - هندسة اجتماعية. عندما يعلم المحتالون أن الضحية قد تم تمكين OTPs عبر الرسائل القصيرة، فيمكنهم الاتصال بالضحية مباشرة، والتظاهر بأنهم منظمة موثوقة مثل البنك أو اتحاد الائتمان الخاص بهم، لخداع الضحية لتقديم الرمز الذي تلقاه للتو.
لقد واجهت شخصيًا هذا النوع من الاحتيال عدة مرات، على سبيل المثال، عند محاولة بيع شيء ما في سوق السلع المستعملة عبر الإنترنت. أنا شخصياً سخرت من المحتال الذي حاول أن يخدعني بما يرضي قلبي. لكن للأسف، كنت أقرأ بانتظام في الأخبار كيف أن ضحية أخرى للمحتالين "لم تفكر"، وأعطى رمز التأكيد وخسر مبلغًا كبيرًا. وكل هذا لأن البنك ببساطة لا يريد التعامل مع تنفيذ رموز التشفير في تطبيقاته. ففي نهاية المطاف، إذا حدث شيء ما، فإن العملاء "يتحملون اللوم على أنفسهم".
في حين أن طرق تسليم OTP البديلة قد تخفف من بعض الثغرات الأمنية في طريقة المصادقة هذه، إلا أن هناك ثغرات أمنية أخرى لا تزال قائمة. تعد تطبيقات إنشاء التعليمات البرمجية المستقلة أفضل حماية ضد التنصت، حيث أنه حتى البرامج الضارة بالكاد يمكنها التفاعل بشكل مباشر مع منشئ التعليمات البرمجية (بجد؟ هل نسي كاتب التقرير التحكم عن بعد؟)، ولكن لا يزال من الممكن اعتراض كلمات المرور لمرة واحدة (OTP) عند إدخالها في المتصفح (على سبيل المثال باستخدام كلوغر)، من خلال تطبيق الهاتف المحمول المخترق؛ ويمكن أيضًا الحصول عليها مباشرة من المستخدم باستخدام الهندسة الاجتماعية.
استخدام أدوات تقييم المخاطر المتعددة مثل التعرف على الأجهزة (الكشف عن محاولات إجراء المعاملات من أجهزة لا تنتمي إلى مستخدم قانوني)، تحديد الموقع الجغرافي (يحاول مستخدم كان للتو في موسكو إجراء عملية من نوفوسيبيرسك) والتحليلات السلوكية مهمة لمعالجة نقاط الضعف، ولكن لا يعتبر أي من الحلين علاجًا سحريًا. بالنسبة لكل حالة ونوع من البيانات، من الضروري تقييم المخاطر بعناية واختيار تقنية المصادقة التي يجب استخدامها.
لا يوجد حل للمصادقة هو الدواء الشافي
الشكل 2. جدول خيارات المصادقة
| المصادقة | عامل | وصف | نقاط الضعف الرئيسية |
| كلمة المرور أو رقم التعريف الشخصي | المعرفة | قيمة ثابتة، والتي يمكن أن تشمل الحروف والأرقام وعدد من الأحرف الأخرى | يمكن اعتراضها أو التجسس عليها أو سرقتها أو التقاطها أو اختراقها |
| المصادقة القائمة على المعرفة | المعرفة | أسئلة لا يمكن إلا للمستخدم القانوني أن يعرف إجاباتها | يمكن اعتراضها والتقاطها والحصول عليها باستخدام أساليب الهندسة الاجتماعية |
| كلمة مرور الأجهزة () | ملكية | جهاز خاص يقوم بإنشاء كلمات مرور لمرة واحدة | وقد يتم اعتراض الرمز وتكراره، أو قد تتم سرقة الجهاز |
| OTPs البرمجية | ملكية | تطبيق (جوال، يمكن الوصول إليه من خلال متصفح، أو إرسال رموز عبر البريد الإلكتروني) يقوم بإنشاء كلمات مرور لمرة واحدة | وقد يتم اعتراض الرمز وتكراره، أو قد تتم سرقة الجهاز |
| OTP SMS | ملكية | يتم تسليم كلمة المرور لمرة واحدة عبر رسالة نصية قصيرة | قد يتم اعتراض الرمز وتكراره، أو قد تتم سرقة الهاتف الذكي أو بطاقة SIM، أو قد يتم تكرار بطاقة SIM |
| بطاقات ذكية () | ملكية | بطاقة تحتوي على شريحة تشفير وذاكرة مفتاح آمنة تستخدم بنية أساسية للمفتاح العام للمصادقة | قد تتم سرقته جسديًا (ولكن لن يتمكن المهاجم من استخدام الجهاز دون معرفة رمز PIN؛ وفي حالة إجراء عدة محاولات إدخال غير صحيحة، سيتم حظر الجهاز) |
| مفاتيح الأمان - الرموز المميزة (, ) | ملكية | جهاز USB يحتوي على شريحة تشفير وذاكرة مفتاح آمنة تستخدم بنية أساسية للمفتاح العام للمصادقة | يمكن سرقته فعليًا (لكن لن يتمكن المهاجم من استخدام الجهاز دون معرفة رمز PIN؛ وفي حالة إجراء عدة محاولات دخول غير صحيحة، سيتم حظر الجهاز) |
| الربط بجهاز | ملكية | العملية التي تقوم بإنشاء ملف تعريف، غالبًا باستخدام JavaScript، أو باستخدام علامات مثل ملفات تعريف الارتباط وكائنات Flash المشتركة لضمان استخدام جهاز معين | يمكن سرقة (نسخ) الرموز المميزة، ويمكن للمهاجم تقليد خصائص الجهاز القانوني على جهازه |
| سلوك | الملازمة | يحلل كيفية تفاعل المستخدم مع جهاز أو برنامج | يمكن تقليد السلوك |
| بصمات الأصابع | الملازمة | تتم مقارنة بصمات الأصابع المخزنة مع تلك التي تم التقاطها بصريًا أو إلكترونيًا | يمكن سرقة الصورة واستخدامها للمصادقة |
| مسح العين | الملازمة | يقارن خصائص العين، مثل نمط القزحية، مع عمليات المسح الضوئي الجديدة | يمكن سرقة الصورة واستخدامها للمصادقة |
| تمييز الوجوه | الملازمة | تتم مقارنة خصائص الوجه مع عمليات المسح الضوئي الجديدة | يمكن سرقة الصورة واستخدامها للمصادقة |
| التعرف على الصوت | الملازمة | تتم مقارنة خصائص عينة الصوت المسجلة مع عينات جديدة | يمكن سرقة السجل واستخدامه للمصادقة أو محاكاته |
في الجزء الثاني من المنشور، تنتظرنا الأشياء اللذيذة - الأرقام والحقائق، التي تستند إليها الاستنتاجات والتوصيات الواردة في الجزء الأول. ستتم مناقشة المصادقة في تطبيقات المستخدم وفي أنظمة الشركات بشكل منفصل.
اراك قريبا!
المصدر: www.habr.com