Hesabatın başlığından spoyler: “Güclü autentifikasiyadan istifadə yeni risklər və tənzimləyici tələblər təhlükəsi səbəbindən artır.”
“Javelin Strategy & Research” tədqiqat şirkəti “The State of Strong Authentication 2019” hesabatını dərc edib.). Bu hesabatda deyilir: Amerika və Avropa şirkətlərinin neçə faizi parollardan istifadə edir (və indi niyə az adam parollardan istifadə edir); kriptoqrafik tokenlərə əsaslanan iki faktorlu autentifikasiyanın istifadəsi niyə bu qədər sürətlə artır; SMS vasitəsilə göndərilən birdəfəlik kodlar niyə təhlükəsiz deyil?
Müəssisələrdə və istehlakçı tətbiqlərində autentifikasiyanın indisi, keçmişi və gələcəyi ilə maraqlanan hər kəs qəbul olunur.
Tərcüməçidən
Təəssüf ki, bu hesabatın yazıldığı dil kifayət qədər “quru” və formaldır. Bir qısa cümlədə “autentifikasiya” sözünün beş dəfə işlədilməsi isə tərcüməçinin əyri əlləri (yaxud beyni) deyil, müəlliflərin şıltaqlığıdır. İki variantdan tərcümə edərkən - oxuculara orijinala daha yaxın və ya daha maraqlı mətn vermək üçün bəzən birincini, bəzən də ikincini seçdim. Ancaq səbirli olun, əziz oxucular, hesabatın məzmunu buna dəyər.
Hekayə üçün bəzi əhəmiyyətsiz və lazımsız parçalar çıxarıldı, əks halda əksəriyyət bütün mətni keçə bilməyəcəkdi. “Kəsilməmiş” hesabatı oxumaq istəyənlər linkə daxil olaraq orijinal dildə oxuya bilərlər.
Təəssüf ki, müəlliflər heç də həmişə terminologiyaya diqqət yetirmirlər. Beləliklə, birdəfəlik parollar (One Time Password - OTP) bəzən “parollar”, bəzən də “kodlar” adlanır. Doğrulama üsulları ilə daha da pisdir. Təlimsiz oxucu üçün “kriptoqrafik açarlardan istifadə edərək autentifikasiya” və “güclü autentifikasiya”nın eyni şey olduğunu təxmin etmək həmişə asan olmur. Mümkün qədər terminləri birləşdirməyə çalışdım və hesabatın özündə onların təsviri ilə bir fraqment var.
Buna baxmayaraq, hesabatın oxunması çox tövsiyə olunur, çünki o, unikal tədqiqat nəticələrini və düzgün nəticələri ehtiva edir.
Bütün rəqəmlər və faktlar zərrə qədər dəyişmədən təqdim olunur və əgər onlarla razılaşmırsınızsa, o zaman tərcüməçi ilə deyil, hesabat müəllifləri ilə mübahisə etmək daha yaxşıdır. Budur mənim şərhlərim (sitat şəklində verilmiş və mətndə qeyd edilmişdir kursiv) mənim dəyər mühakimələrimdir və mən onların hər biri (həmçinin tərcümənin keyfiyyəti ilə bağlı) üzrə mübahisə etməkdən məmnun qalacağam.
Review
İndiki vaxtda müştərilərlə rəqəmsal ünsiyyət kanalları biznes üçün həmişəkindən daha vacibdir. Və şirkət daxilində işçilər arasında ünsiyyət əvvəlkindən daha rəqəmsal yönümlüdür. Və bu qarşılıqlı əlaqənin nə dərəcədə təhlükəsiz olacağı istifadəçi autentifikasiyasının seçilmiş metodundan asılıdır. Təcavüzkarlar istifadəçi hesablarını kütləvi şəkildə sındırmaq üçün zəif autentifikasiyadan istifadə edirlər. Buna cavab olaraq, tənzimləyicilər müəssisələri istifadəçi hesablarını və məlumatlarını daha yaxşı qorumağa məcbur etmək üçün standartları sərtləşdirir.
Doğrulama ilə bağlı təhlükələr istehlakçı proqramlarından kənara çıxır; təcavüzkarlar həmçinin müəssisə daxilində işləyən proqramlara giriş əldə edə bilərlər. Bu əməliyyat onlara korporativ istifadəçiləri təqlid etməyə imkan verir. Zəif identifikasiyası olan giriş nöqtələrindən istifadə edən hücumçular məlumatları oğurlaya və digər saxtakarlıq hərəkətləri edə bilərlər. Xoşbəxtlikdən bununla mübarizə aparmaq üçün tədbirlər var. Güclü autentifikasiya həm istehlakçı proqramlarında, həm də müəssisə biznes sistemlərində təcavüzkar tərəfindən hücum riskini əhəmiyyətli dərəcədə azaltmağa kömək edəcək.
Bu araşdırma aşağıdakıları araşdırır: müəssisələr son istifadəçi proqramlarını və müəssisə biznes sistemlərini qorumaq üçün autentifikasiyanı necə həyata keçirirlər; autentifikasiya həllini seçərkən nəzərə aldıqları amillər; onların təşkilatlarında güclü autentifikasiyanın oynadığı rol; bu təşkilatların əldə etdiyi faydalar.
Xülasə
Əsas tapıntılar
2017-ci ildən etibarən güclü autentifikasiyadan istifadə kəskin şəkildə artıb. Ənənəvi autentifikasiya həllərinə təsir edən zəifliklərin sayının artması ilə təşkilatlar güclü autentifikasiya ilə öz autentifikasiya imkanlarını gücləndirirlər. Kriptoqrafik çoxfaktorlu autentifikasiyadan (MFA) istifadə edən təşkilatların sayı 2017-ci ildən bəri istehlakçı proqramları üçün üç dəfə, müəssisə proqramları üçün isə təxminən 50% artıb. Ən sürətli artım biometrik autentifikasiyanın əlçatanlığının artması səbəbindən mobil autentifikasiyada müşahidə olunur.
Burada biz “ildırım gurlayana qədər insan özünü keçməz” deyiminin nümunəsini görürük. Mütəxəssislər parolların etibarsızlığı barədə xəbərdarlıq etdikdə, heç kim iki faktorlu autentifikasiyanı həyata keçirməyə tələsmirdi. Hakerlər parolları oğurlamağa başlayan kimi insanlar iki faktorlu autentifikasiya tətbiq etməyə başladılar.
Düzdür, fərdlər 2FA-nı daha fəal şəkildə həyata keçirirlər. Birincisi, əslində çox etibarsız olan smartfonlarda quraşdırılmış biometrik autentifikasiyaya arxalanaraq qorxularını sakitləşdirmək onlar üçün daha asandır. Təşkilatlar tokenlərin alınmasına pul xərcləməli və onları həyata keçirmək üçün iş (əslində çox sadə) həyata keçirməlidir. İkincisi, yalnız tənbəl insanlar Facebook və Dropbox kimi xidmətlərdən parol sızması haqqında yazmayıblar, lakin heç bir halda bu təşkilatların CIO-ları parolların təşkilatlarda necə oğurlandığı (və sonra baş verənlər) haqqında hekayələr paylaşmayacaqlar.
Güclü autentifikasiyadan istifadə etməyənlər öz biznesləri və müştəriləri üçün risklərini lazımi səviyyədə qiymətləndirmirlər. Hazırda güclü autentifikasiyadan istifadə etməyən bəzi təşkilatlar giriş və parollara istifadəçi autentifikasiyasının ən effektiv və istifadəsi asan üsullarından biri kimi baxmağa meyllidirlər. Digərləri sahib olduqları rəqəmsal aktivlərin dəyərini görmürlər. Axı, kibercinayətkarların istənilən istehlakçı və biznes məlumatı ilə maraqlandığını nəzərə almağa dəyər. İşçilərinin autentifikasiyası üçün yalnız parollardan istifadə edən şirkətlərin üçdə ikisi parolların qoruduqları məlumat növü üçün kifayət qədər yaxşı olduğuna inandıqları üçün bunu edir.
Bununla belə, parollar məzara doğru gedir. Təşkilatların ənənəvi XİN-dən və güclü autentifikasiyadan istifadəsini artırdıqca, paroldan asılılıq həm istehlakçı, həm də müəssisə proqramları üçün (müvafiq olaraq 44%-dən 31%-ə və 56%-dən 47%-ə) keçən il ərzində əhəmiyyətli dərəcədə azalıb.
Ancaq vəziyyətə bütövlükdə baxsaq, həssas identifikasiya üsulları hələ də üstünlük təşkil edir. İstifadəçinin autentifikasiyası üçün təşkilatların təxminən dörddə biri təhlükəsizlik sualları ilə birlikdə SMS OTP (birdəfəlik parol) istifadə edir. Nəticədə, xərcləri artıran zəiflikdən qorunmaq üçün əlavə təhlükəsizlik tədbirləri həyata keçirilməlidir. Aparat kriptoqrafik açarları kimi daha təhlükəsiz autentifikasiya metodlarından istifadə təşkilatların təxminən 5%-də daha az istifadə olunur.
İnkişaf edən tənzimləyici mühit istehlakçı tətbiqləri üçün güclü autentifikasiyanın qəbulunu sürətləndirməyi vəd edir. PSD2-nin tətbiqi, həmçinin AB-də və Kaliforniya kimi ABŞ-ın bir sıra ştatlarında yeni məlumatların qorunması qaydaları ilə şirkətlər isti hiss edirlər. Şirkətlərin təxminən 70%-i müştərilərinə güclü autentifikasiya təmin etmək üçün güclü tənzimləyici təzyiqlə üzləşdikləri ilə razılaşır. Müəssisələrin yarıdan çoxu hesab edir ki, bir neçə il ərzində onların autentifikasiya üsulları tənzimləyici standartlara cavab vermək üçün kifayət etməyəcək.
Rusiya və Amerika-Avropa qanunvericilərinin proqram və xidmət istifadəçilərinin şəxsi məlumatlarının qorunmasına yanaşmalarındakı fərq aydın görünür. Ruslar deyir: əziz xidmət sahibləri, istədiyinizi və istədiyinizi edin, ancaq admininiz verilənlər bazasını birləşdirsə, sizi cəzalandıracağıq. Xaricdə deyirlər ki, bir sıra tədbirlər həyata keçirməlisiniz imkan verməyəcək bazanı boşaltın. Buna görə də orada ciddi iki faktorlu autentifikasiya tələbləri həyata keçirilir.
Düzdür, qanunvericilik maşınımızın bir gün özünə gəlib Qərb təcrübəsini nəzərə almayacağı faktdan uzaqdır. Sonra məlum olur ki, hər kəs Rusiya kriptoqrafik standartlarına uyğun gələn 2FA-nı təcili tətbiq etməlidir.
Güclü autentifikasiya çərçivəsinin yaradılması şirkətlərə diqqətlərini tənzimləyici tələblərə cavab verməkdən müştəri ehtiyaclarını ödəməyə çevirməyə imkan verir. Hələ də sadə parollardan istifadə edən və ya SMS vasitəsilə kodlar alan təşkilatlar üçün autentifikasiya metodunu seçərkən ən vacib amil normativ tələblərə uyğunluq olacaqdır. Lakin artıq güclü autentifikasiyadan istifadə edən şirkətlər diqqətini müştəri sədaqətini artıran identifikasiya üsullarını seçə bilər.
Müəssisə daxilində korporativ autentifikasiya metodunu seçərkən tənzimləyici tələblər artıq mühüm amil deyil. Bu halda inteqrasiyanın asanlığı (32%) və xərc (26%) daha vacibdir.
Fişinq dövründə təcavüzkarlar fırıldaqçılıq üçün korporativ e-poçtdan istifadə edə bilərlər fırıldaq yolu ilə məlumatlara, hesablara giriş əldə etmək (müvafiq giriş hüquqları ilə) və hətta işçilərini onun hesabına pul köçürməsi etməyə inandırmaq. Buna görə də, korporativ e-poçt və portal hesabları xüsusilə yaxşı qorunmalıdır.
Google güclü autentifikasiya tətbiq etməklə təhlükəsizliyini gücləndirib. İki ildən çox əvvəl Google FIDO U2F standartından istifadə edərək kriptoqrafik təhlükəsizlik açarlarına əsaslanan iki faktorlu autentifikasiyanın tətbiqi ilə bağlı hesabat dərc edib və təsirli nəticələr barədə məlumat verib. Şirkətin məlumatına görə, 85 mindən çox işçiyə qarşı heç bir fişinq hücumu həyata keçirilməyib.
tövsiyələr
Mobil və onlayn proqramlar üçün güclü autentifikasiya tətbiq edin. Kriptoqrafik açarlara əsaslanan çoxfaktorlu autentifikasiya ənənəvi XİN metodlarından fərqli olaraq sındırmalara qarşı daha yaxşı qorunma təmin edir. Bundan əlavə, kriptoqrafik açarların istifadəsi daha rahatdır, çünki əlavə məlumatların - parollar, birdəfəlik parollar və ya istifadəçinin cihazından autentifikasiya serverinə biometrik məlumatların istifadəsinə və ötürülməsinə ehtiyac yoxdur. Bundan əlavə, autentifikasiya protokollarının standartlaşdırılması yeni autentifikasiya üsullarının mövcud olduqda tətbiqini xeyli asanlaşdırır, icra xərclərini azaldır və daha mürəkkəb saxtakarlıq sxemlərindən qoruyur.
Birdəfəlik parolların (OTP) məhvinə hazır olun. OTP-lərə xas olan zəifliklər getdikcə daha aydın olur, çünki kibercinayətkarlar sosial mühəndislikdən, smartfonların klonlaşdırılmasından və zərərli proqram təminatından istifadə edərək bu autentifikasiya vasitələrini pozurlar. Bəzi hallarda OTP-lərin müəyyən üstünlükləri varsa, o zaman yalnız bütün istifadəçilər üçün universal əlçatanlıq baxımından, lakin təhlükəsizlik baxımından deyil.
SMS və ya Push bildirişləri vasitəsilə kodların alınması, həmçinin smartfonlar üçün proqramlardan istifadə edərək kodların yaradılmasının bizdən eniş üçün hazırlamağımız xahiş olunan eyni birdəfəlik parollardan (OTP) istifadə olduğunu görməmək mümkün deyil. Texniki nöqteyi-nəzərdən həll yolu çox düzgündür, çünki sadə istifadəçidən birdəfəlik parol tapmağa çalışmayan nadir bir fırıldaqçıdır. Ancaq düşünürəm ki, bu cür sistemlərin istehsalçıları ölməkdə olan texnologiyadan sona qədər yapışacaqlar.
Müştəri etibarını artırmaq üçün marketinq vasitəsi kimi güclü autentifikasiyadan istifadə edin. Güclü autentifikasiya biznesinizin faktiki təhlükəsizliyini artırmaqdan daha çox şey edə bilər. Müştərilərə biznesinizin güclü autentifikasiyadan istifadə etdiyi barədə məlumat vermək həmin biznesin təhlükəsizliyinə dair ictimaiyyətin qavrayışını gücləndirə bilər – bu, güclü autentifikasiya metodlarına ciddi müştəri tələbi olduqda mühüm amildir.
Korporativ məlumatların hərtərəfli inventarını və kritikliyini qiymətləndirin və əhəmiyyətinə görə qoruyun. Hətta müştəri ilə əlaqə məlumatı kimi aşağı riskli məlumatlar (Xeyr, həqiqətən, hesabatda "az risk" deyilir, bu məlumatın əhəmiyyətini lazımınca qiymətləndirmələri çox qəribədir), fırıldaqçılara əhəmiyyətli dəyər gətirə və şirkət üçün problemlər yarada bilər.
Güclü korporativ autentifikasiyadan istifadə edin. Bir sıra sistemlər cinayətkarlar üçün ən cəlbedici hədəflərdir. Bunlara mühasibat proqramı və ya korporativ məlumat anbarı kimi daxili və İnternetə qoşulan sistemlər daxildir. Güclü autentifikasiya təcavüzkarların icazəsiz giriş əldə etməsinin qarşısını alır, həmçinin hansı işçinin zərərli fəaliyyətə yol verdiyini dəqiq müəyyən etməyə imkan verir.
Güclü Doğrulama nədir?
Güclü autentifikasiyadan istifadə edərkən istifadəçinin həqiqiliyini yoxlamaq üçün bir neçə üsul və ya faktordan istifadə olunur:
- Bilik faktoru: istifadəçi ilə istifadəçinin təsdiqlənmiş mövzusu arasında paylaşılan sirr (məsələn, parollar, təhlükəsizlik suallarına cavablar və s.)
- Mülkiyyət faktoru: yalnız istifadəçidə olan cihaz (məsələn, mobil cihaz, kriptoqrafik açar və s.)
- Dürüstlük faktoru: istifadəçinin fiziki (çox vaxt biometrik) xüsusiyyətləri (məsələn, barmaq izi, iris nümunəsi, səs, davranış və s.)
Çoxsaylı faktorları sındırmaq ehtiyacı təcavüzkarlar üçün uğursuzluq ehtimalını xeyli artırır, çünki müxtəlif amillərdən yan keçmək və ya aldatmaq hər bir faktor üçün ayrı-ayrılıqda çoxsaylı hakerlik taktikalarından istifadə etməyi tələb edir.
Məsələn, 2FA “parol + smartfon” ilə təcavüzkar istifadəçinin paroluna baxaraq və smartfonunun dəqiq proqram təminatının surətini çıxararaq autentifikasiya edə bilər. Və bu, sadəcə parol oğurlamaqdan daha çətindir.
Lakin 2FA üçün parol və kriptoqrafik token istifadə edilirsə, onda kopyalama seçimi burada işləmir - tokenin dublikatını çıxarmaq mümkün deyil. Fırıldaqçı istifadəçidən tokeni gizli şəkildə oğurlamalı olacaq. İstifadəçi itkini vaxtında görsə və adminə məlumat verərsə, token bloklanacaq və fırıldaqçının səyləri boşa çıxacaq. Buna görə də sahiblik faktoru ümumi təyinatlı cihazlardan (smartfonlar) deyil, xüsusi təhlükəsiz cihazların (tokenlərin) istifadəsini tələb edir.
Hər üç amildən istifadə bu autentifikasiya metodunu həyata keçirmək üçün kifayət qədər bahalı və istifadəsi olduqca əlverişsiz edəcək. Buna görə də adətən üç faktordan ikisi istifadə olunur.
İki faktorlu autentifikasiyanın prinsipləri daha ətraflı təsvir edilmişdir , "İki faktorlu autentifikasiya necə işləyir" blokunda.
Qeyd etmək vacibdir ki, güclü autentifikasiyada istifadə olunan autentifikasiya amillərindən ən azı biri açıq açar kriptoqrafiyasından istifadə etməlidir.
Güclü autentifikasiya klassik parollara və ənənəvi MFA-ya əsaslanan tək faktorlu autentifikasiyadan daha güclü qoruma təmin edir. Parollar casusluq edilə və ya keyloggerlər, fişinq saytları və ya sosial mühəndislik hücumları vasitəsilə ələ keçirilə bilər (burada qurban aldadılır ki, parolunu açır). Üstəlik, parol sahibi oğurluq haqqında heç nə bilməyəcək. Ənənəvi XİN (OTP kodları, smartfon və ya SİM karta bağlanan daxil olmaqla) açıq açar kriptoqrafiyasına əsaslanmadığı üçün asanlıqla sındırıla bilər (Yeri gəlmişkən, eyni sosial mühəndislik üsullarından istifadə edərək, fırıldaqçılar istifadəçiləri onlara birdəfəlik parol verməyə inandırdıqlarına dair bir çox nümunə var.).
Xoşbəxtlikdən, güclü autentifikasiya və ənənəvi XİN-in istifadəsi keçən ildən həm istehlakçı, həm də müəssisə tətbiqlərində cazibə qazanır. İstehlakçı tətbiqlərində güclü autentifikasiyadan istifadə xüsusilə sürətlə artmışdır. Əgər 2017-ci ildə şirkətlərin cəmi 5%-i bundan istifadə edibsə, 2018-ci ildə bu, artıq üç dəfə çox olub – 16%. Bu, Açıq Açar Kriptoqrafiyası (PKC) alqoritmlərini dəstəkləyən tokenlərin artan əlçatanlığı ilə izah edilə bilər. Bundan əlavə, PSD2 və GDPR kimi yeni məlumatların qorunması qaydalarının qəbulundan sonra Avropa tənzimləyicilərinin artan təzyiqi hətta Avropadan kənarda da güclü təsir göstərmişdir (o cümlədən Rusiyada).
Gəlin bu rəqəmlərə daha yaxından nəzər salaq. Gördüyümüz kimi, çox faktorlu autentifikasiyadan istifadə edən fərdi şəxslərin faizi il ərzində təsirli 11% artıb. Push bildirişlərinin, SMS və biometrik məlumatların təhlükəsizliyinə inananların sayı dəyişmədiyi üçün bu, açıq şəkildə parol həvəskarlarının hesabına baş verdi.
Lakin korporativ istifadə üçün iki faktorlu autentifikasiya ilə işlər o qədər də yaxşı deyil. Birincisi, hesabata görə, işçilərin yalnız 5%-i parol autentifikasiyasından tokenlərə keçib. İkincisi, korporativ mühitdə alternativ XİN seçimlərindən istifadə edənlərin sayı 4% artıb.
Analitik rolunu oynamağa və şərhimi verməyə çalışacağam. Fərdi istifadəçilərin rəqəmsal dünyasının mərkəzində smartfon dayanır. Buna görə də təəccüblü deyil ki, əksəriyyət cihazın onlara verdiyi imkanlardan - biometrik autentifikasiya, SMS və Push bildirişləri, həmçinin smartfonun özündə tətbiqlər tərəfindən yaradılan birdəfəlik parollardan istifadə edir. İnsanlar adətən istifadə etdikləri alətlərdən istifadə edərkən təhlükəsizlik və etibarlılıq haqqında düşünmürlər.
Buna görə primitiv “ənənəvi” autentifikasiya faktorlarından istifadə edənlərin faizi dəyişməz olaraq qalır. Lakin əvvəllər parollardan istifadə edənlər nə qədər risk altında olduqlarını başa düşürlər və yeni autentifikasiya faktorunu seçərkən ən yeni və ən təhlükəsiz varianta - kriptoqrafik nişanə üstünlük verirlər.
Korporativ bazara gəldikdə, autentifikasiyanın hansı sistemdə aparıldığını başa düşmək vacibdir. Windows domeninə giriş həyata keçirilirsə, kriptoqrafik tokenlərdən istifadə olunur. Onları 2FA üçün istifadə etmək imkanları artıq həm Windows, həm də Linux-da qurulub, lakin alternativ variantlar uzun və həyata keçirilməsi çətindir. Parollardan tokenlərə 5% miqrasiya üçün çox şey.
2FA-nın korporativ informasiya sistemində tətbiqi isə tərtibatçıların ixtisaslarından çox asılıdır. Və tərtibatçılar üçün kriptoqrafik alqoritmlərin işini başa düşməkdənsə, birdəfəlik parol yaratmaq üçün hazır modullar götürmək daha asandır. Nəticə etibarilə, hətta Tək Giriş və ya İmtiyazlı Giriş İdarəetmə sistemləri kimi təhlükəsizlik baxımından inanılmaz dərəcədə kritik proqramlar ikinci amil kimi OTP-dən istifadə edir.
Ənənəvi autentifikasiya üsullarında bir çox boşluqlar
Bir çox təşkilatlar köhnə tək faktorlu sistemlərə etibar etsə də, ənənəvi çoxfaktorlu autentifikasiyada zəifliklər getdikcə daha aydın görünür. SMS vasitəsilə çatdırılan, adətən altı-səkkiz simvoldan ibarət birdəfəlik parollar autentifikasiyanın ən geniş yayılmış forması olaraq qalır (əlbəttə, parol faktorundan başqa). Populyar mətbuatda "iki faktorlu autentifikasiya" və ya "iki addımlı doğrulama" sözləri qeyd edildikdə, demək olar ki, həmişə SMS birdəfəlik parol identifikasiyasına istinad edirlər.
Burada müəllif bir az yanılır. SMS vasitəsilə birdəfəlik parolların çatdırılması heç vaxt iki faktorlu autentifikasiya olmayıb. Bu, ən təmiz formada iki addımlı autentifikasiyanın ikinci mərhələsidir, burada birinci mərhələ sizin giriş və şifrənizi daxil edir.
2016-cı ildə Milli Standartlar və Texnologiya İnstitutu (NIST) SMS vasitəsilə göndərilən birdəfəlik parolların istifadəsini aradan qaldırmaq üçün autentifikasiya qaydalarını yeniləyib. Lakin sənaye etirazlarından sonra bu qaydalar xeyli yumşaldıldı.
Beləliklə, süjeti izləyək. Amerika tənzimləyicisi haqlı olaraq köhnə texnologiyanın istifadəçinin təhlükəsizliyini təmin etməyə qadir olmadığını qəbul edir və yeni standartlar tətbiq edir. Onlayn və mobil proqramların (o cümlədən bank proqramlarının) istifadəçilərini qorumaq üçün hazırlanmış standartlar. Sənaye həqiqətən etibarlı kriptoqrafik tokenlərin alınması, tətbiqlərin yenidən dizaynı, açıq açar infrastrukturunun yerləşdirilməsi üçün nə qədər pul xərcləməli olacağını hesablayır və “arxa ayaqları üzərində yüksəlir”. Bir tərəfdən istifadəçilər birdəfəlik parolların etibarlılığına əmin olublar, digər tərəfdən isə NIST-ə hücumlar olub. Nəticədə, standart yumşaldılıb, sındırmaların və parolların (və bank proqramlarından pulların) oğurlanması halları kəskin şəkildə artıb. Ancaq sənaye pul xərcləməli deyildi.
O vaxtdan bəri SMS OTP-nin xas zəif cəhətləri daha aydın oldu. Fırıldaqçılar SMS mesajlarını pozmaq üçün müxtəlif üsullardan istifadə edirlər:
- SİM kartın dublikasiyası. Təcavüzkarlar SİM-in surətini yaradırlar (mobil operator işçilərinin köməyi ilə və ya müstəqil olaraq, xüsusi proqram və texniki vasitələrdən istifadə etməklə). Nəticədə təcavüzkar birdəfəlik parol olan SMS alır. Xüsusilə məşhur bir hadisədə hakerlər hətta kriptovalyuta investoru Maykl Turpinin AT&T hesabını ələ keçirə və təxminən 24 milyon dollar kriptovalyuta oğurlaya bildilər. Nəticədə Turpin, SİM kartın təkrarlanmasına səbəb olan zəif yoxlama tədbirləri səbəbindən AT&T-nin günahkar olduğunu bildirdi.
Möhtəşəm məntiq. Yəni bu, həqiqətən də yalnız AT&T-nin günahıdır? Xeyr, şübhəsiz ki, rabitə mağazasındakı satıcıların SİM kartın dublikatını verməsi mobil operatorun günahıdır. Bəs kriptovalyuta mübadiləsi identifikasiyası sistemi? Niyə güclü kriptoqrafik tokenlərdən istifadə etmədilər? İcraya pul xərcləmək heyf idi? Mayklın özü günahkar deyilmi? Niyə o, autentifikasiya mexanizmini dəyişdirməkdə israr etmədi və ya yalnız kriptoqrafik tokenlər əsasında iki faktorlu autentifikasiyanı həyata keçirən mübadilələrdən istifadə etmədi?
Həqiqətən etibarlı autentifikasiya üsullarının tətbiqi məhz ona görə gecikir ki, istifadəçilər sındırmadan əvvəl heyrətamiz ehtiyatsızlıq nümayiş etdirirlər və bundan sonra öz problemlərini köhnə və “sızan” autentifikasiya texnologiyalarından başqa hər kəsin üzərinə atırlar.
- Zərərli proqram. Mobil zərərli proqramın ən erkən funksiyalarından biri mətn mesajlarını ələ keçirmək və təcavüzkarlara ötürmək idi. Həmçinin, man-in-the-brauzer və man-in-the-middle hücumları birdəfəlik parollara yoluxmuş noutbuklarda və ya masaüstü cihazlarda daxil olduqda onları ələ keçirə bilər.
Smartfonunuzdakı Sberbank proqramı status panelində yaşıl işarəni yanıb-sönəndə o, həmçinin telefonunuzda “zərərli proqram” axtarır. Bu tədbirin məqsədi tipik bir smartfonun etibarsız icra mühitini ən azı müəyyən mənada etibarlı birinə çevirməkdir.
Yeri gəlmişkən, smartfon, hər şeyin edilə biləcəyi tamamilə etibarsız bir cihaz olaraq, onu autentifikasiya üçün istifadə etməyin başqa bir səbəbidir. yalnız hardware tokenləri, qorunan və viruslardan və troyanlardan azaddır. - Sosial mühəndislik. Fırıldaqçılar qurbanda SMS vasitəsilə aktivləşdirilmiş OTP-lərin olduğunu bildikdə, qurbanı aldıqları kodu aldatmaq üçün bank və ya kredit ittifaqı kimi özünü etibarlı təşkilat kimi təqdim edərək birbaşa qurbanla əlaqə saxlaya bilərlər.
Mən şəxsən bu cür fırıldaqçılıqla dəfələrlə qarşılaşmışam, məsələn, məşhur onlayn bir bazarda nəsə satmaq istəyərkən. Məni doyunca aldatmağa çalışan fırıldaqçıya özüm də lağ etdim. Amma təəssüf ki, mən mütəmadi olaraq xəbərlərdə oxuyuram ki, fırıldaqçıların daha bir qurbanı “düşünməyib”, təsdiq kodunu verib və böyük məbləğ itirib. Və bütün bunlar bankın sadəcə olaraq tətbiqlərində kriptoqrafik tokenlərin tətbiqi ilə məşğul olmaq istəməməsidir. Axı, əgər bir şey olarsa, müştərilərin "günahı özləri olmalıdır".
Alternativ OTP çatdırılma üsulları bu autentifikasiya metodunda bəzi zəiflikləri azalda bilsə də, digər zəifliklər qalır. Müstəqil kod yaratma proqramları qulaq asmağa qarşı ən yaxşı qorunmadır, çünki hətta zərərli proqram kod generatoru ilə birbaşa əlaqə qura bilmir (ciddi? Hesabatın müəllifi pult haqqında unutdu?), lakin OTP-lər brauzerə daxil olduqda yenə də tutula bilər (məsələn, keyloggerdən istifadə etməklə), sındırılmış mobil proqram vasitəsilə; və həmçinin sosial mühəndislikdən istifadə edərək birbaşa istifadəçidən əldə edilə bilər.
Cihazın tanınması kimi çoxsaylı risk qiymətləndirmə alətlərindən istifadə (qanuni istifadəçiyə aid olmayan cihazlardan əməliyyatlar həyata keçirmək cəhdlərinin aşkarlanması), geolokasiya (yenicə Moskvada olan istifadəçi Novosibirskdən əməliyyat keçirməyə çalışır) və davranış analitikası zəiflikləri aradan qaldırmaq üçün vacibdir, lakin heç bir həll panacea deyil. Hər bir vəziyyət və məlumat növü üçün riskləri diqqətlə qiymətləndirmək və hansı autentifikasiya texnologiyasının istifadə olunacağını seçmək lazımdır.
Heç bir identifikasiya həlli panacea deyil
Şəkil 2. Doğrulama seçimləri cədvəli
| İdentifikasiyası | Faktor | Təsvir | Əsas zəifliklər |
| Parol və ya PİN | Bilik | Hərflər, rəqəmlər və bir sıra digər simvollar daxil ola bilən sabit dəyər | Tutula, casusluq edə, oğurlana, götürülə və ya sındırıla bilər |
| Biliyə əsaslanan autentifikasiya | Bilik | Yalnız hüquqi istifadəçinin bilə biləcəyi cavabları soruşur | Sosial mühəndislik metodlarından istifadə etməklə tutula, götürülə, əldə edilə bilər |
| Avadanlıq OTP () | Sahiblik | Birdəfəlik parollar yaradan xüsusi cihaz | Kod ələ keçirilə və təkrarlana və ya cihaz oğurlana bilər |
| Proqram təminatının OTP-ləri | Sahiblik | Birdəfəlik parollar yaradan proqram (mobil, brauzer vasitəsilə əldə edilə bilən və ya e-poçtla kodları göndərən) | Kod ələ keçirilə və təkrarlana və ya cihaz oğurlana bilər |
| SMS OTP | Sahiblik | SMS mətn mesajı ilə çatdırılan birdəfəlik parol | Kod ələ keçirilə və təkrarlana, yaxud smartfon və ya SİM kart oğurlana və ya SİM kartın dublikasiyası ola bilər. |
| Ağıllı kartlar () | Sahiblik | Doğrulama üçün açıq açar infrastrukturundan istifadə edən kriptoqrafik çip və təhlükəsiz açar yaddaşı olan kart | Fiziki oğurlanmış ola bilər (lakin təcavüzkar PİN kodu bilmədən cihazdan istifadə edə bilməyəcək; bir neçə səhv daxiletmə cəhdi olduqda, cihaz bloklanacaq) |
| Təhlükəsizlik açarları - tokenlər (, ) | Sahiblik | Doğrulama üçün açıq açar infrastrukturundan istifadə edən kriptoqrafik çip və təhlükəsiz açar yaddaşı olan USB cihazı | Fiziki olaraq oğurlana bilər (lakin təcavüzkar PİN kodu bilmədən cihazdan istifadə edə bilməyəcək; bir neçə dəfə səhv daxil olma cəhdi olarsa, cihaz bloklanacaq) |
| Cihazla əlaqə | Sahiblik | Tez-tez JavaScript istifadə edərək və ya xüsusi cihazın istifadə edildiyini təmin etmək üçün kukilər və Flash Paylaşılan Obyektlər kimi markerlərdən istifadə edərək profil yaradan proses | Tokenlər oğurlana bilər (kopyalana bilər) və qanuni cihazın xüsusiyyətləri onun cihazında təcavüzkar tərəfindən təqlid edilə bilər |
| Davranış | Varislik | İstifadəçinin cihaz və ya proqramla necə qarşılıqlı əlaqədə olduğunu təhlil edir | Davranış təqlid edilə bilər |
| Barmaq izləri | Varislik | Saxlanılan barmaq izləri optik və ya elektron şəkildə çəkilmiş barmaq izləri ilə müqayisə edilir | Şəkil oğurlana bilər və autentifikasiya üçün istifadə edilə bilər |
| Göz taraması | Varislik | İris nümunəsi kimi göz xüsusiyyətlərini yeni optik skanlarla müqayisə edir | Şəkil oğurlana bilər və autentifikasiya üçün istifadə edilə bilər |
| Üzün tanınması | Varislik | Üz xüsusiyyətləri yeni optik skanlarla müqayisə edilir | Şəkil oğurlana bilər və autentifikasiya üçün istifadə edilə bilər |
| Səsin tanınması | Varislik | Qeydə alınmış səs nümunəsinin xüsusiyyətləri yeni nümunələrlə müqayisə edilir | Qeyd oğurlana və autentifikasiya üçün istifadə edilə və ya təqlid edilə bilər |
Nəşrin ikinci hissəsində bizi ən dadlı şeylər gözləyir - birinci hissədə verilən nəticə və tövsiyələrin əsaslandığı rəqəmlər və faktlar. İstifadəçi proqramlarında və korporativ sistemlərdə autentifikasiya ayrıca müzakirə olunacaq.
Tezliklə baxın!
Mənbə: www.habr.com