Спойлер з загалоўка справаздачы "Колькасць выпадкаў выкарыстання строгай аўтэнтыфікацыі вырасла дзякуючы пагрозам новых рызык і патрабаванням рэгулятараў".
Даследчая кампанія "Javelin Strategy & Research" апублікавала справаздачу "The State of Strong Authentication 2019" (). У гэтай справаздачы напісана: які працэнт амерыканскіх і еўрапейскіх кампаній выкарыстоўваюць паролі (і чаму паролі зараз мала хто выкарыстоўвае); чаму так хутка расце працэнт выкарыстання двухфактарнай аўтэнтыфікацыі на аснове крыптаграфічных токенаў; чаму аднаразовыя коды, якія адпраўляюцца па SMS, небяспечныя.
Усім, каго цікавіць тэма сучаснасці, мінулага і будучыні аўтэнтыфікацыі на прадпрыемствах і ў карыстацкіх прыкладаннях - сардэчна запрашаем.
Ад перакладчыка
Нажаль, але мова, якой напісана гэтая справаздача досыць «сухая» і фармальная. І пяціразовае выкарыстанне слова «аўтэнтыфікацыя» ў адной кароткай прапанове — не крывыя рукі (ці мазгі) перакладчыка, а капрыз аўтараў. Пры перакладзе з двух варыянтаў – даць чытачам больш набліжаны да арыгіналу, альбо цікавейшы тэкст, я часам выбіраў першы, а часам другі. Але пацярпіце, дарагія чытачы, змест справаздачы таго варта.
Некаторыя малазначныя і не патрэбныя для апавядання кавалкі былі канфіскаваныя, інакш большасць не здужала б увесь тэкст. Жадаючыя азнаёміцца са справаздачай "без купюр", могуць зрабіць гэта на мове арыгінала, прайшоўшы па спасылцы.
Нажаль, аўтары не заўсёды акуратныя з тэрміналогіяй. Так, аднаразовыя паролі (One Time Password – OTP) яны часам завуць "паролямі", а часам "кодамі". З метадамі аўтэнтыфікацыі ўсё яшчэ горш. Непадрыхтаванаму чытачу не заўсёды проста здагадацца, што "аўтэнтыфікацыя з выкарыстаннем крыптаграфічных ключоў" і "строгая аўтэнтыфікацыя" - гэта адно і тое ж. Я пастараўся максімальна ўніфікаваць тэрміны, да таго ж у самой справаздачы ёсць фрагмент з іх апісаннем.
Тым не менш справаздача вельмі рэкамендуецца да чытання, таму што змяшчае ўнікальныя вынікі даследаванняў і правільныя высновы.
Усе лічбы і факты прыведзены без найменшых змен, і калі вы з імі не згодны, то спрачацца лепш не з перакладчыкам, а з аўтарамі справаздачы. А вось мае каментары (звярстаны як цытаты, а ў тэксце адзначаны італікам) з'яўляюцца маім ацэначным меркаваннем і па кожным з іх я буду рады паспрачацца (як і па якасці перакладу).
Агляд
У наш час для бізнэсу як ніколі важныя лічбавыя каналы сувязі з кліентамі. Ды і ўнутры прадпрыемствы камунікацыі паміж супрацоўнікамі больш арыентаваны на лічбавае асяроддзе, чым калі-небудзь раней. І тое, наколькі бяспечнымі будуць гэтыя ўзаемадзеянні, залежыць ад абранага спосабу аўтэнтыфікацыі карыстальнікаў. Зламыснікі выкарыстоўваюць слабую аўтэнтыфікацыю для масавага ўзлому ўліковых запісаў карыстальнікаў. У адказ, якія рэгулююць органы ўзмацняюць жорсткасць стандарты, каб прымусіць бізнэс лепш абараняць уліковыя запісы і дадзеныя карыстальнікаў.
Пагрозы, звязаныя з аўтэнтыфікацыяй, распаўсюджваюцца не толькі на спажывецкія прыкладанні, зламыснікі могуць атрымаць доступ і да дадатку, які працуе ўнутры прадпрыемства. Такая аперацыя дазваляе ім выдаваць сябе за карпаратыўных карыстальнікаў. Зламыснікі, выкарыстоўваючы кропкі доступу са слабой аўтэнтыфікацыяй, могуць выкрасці дадзеныя і выканаць іншыя ашуканскія актыўнасці. На шчасце, ёсць меры барацьбы з гэтым. Строгая аўтэнтыфікацыя дапаможа істотна знізіць рызыку нападу зламыснікам, як на спажывецкія прыкладанні, так і на бізнэс-сістэмы прадпрыемстваў.
У гэтым даследаванні разглядаецца: як прадпрыемствы ўкараняюць аўтэнтыфікацыю для абароны карыстацкіх прыкладанняў і бізнес-сістэм прадпрыемства; фактары, якія яны ўлічваюць пры выбары рашэння для аўтэнтыфікацыі; роля, якую строгая аўтэнтыфікацыя гуляе ў іх арганізацыях; перавагі, якія атрымліваюць гэтыя арганізацыі.
Рэзюмэ
асноўныя высновы
Пачынаючы з 2017 года рэзка ўзрос працэнт выкарыстання строгай аўтэнтыфікацыі. З ростам колькасці ўразлівасцяў, якія закранаюць традыцыйныя рашэнні для аўтэнтыфікацыі, арганізацыі ўзмацняюць свае магчымасці аўтэнтыфікацыі з дапамогай строгай аўтэнтыфікацыі. Колькасць арганізацый, якія выкарыстоўваюць шматфактарнага аўтэнтыфікацыю з выкарыстаннем крыптаграфіі (MFA), патроілася з 2017 года для спажывецкіх і павялічылася амаль на 50% для карпаратыўных прыкладанняў. Самы хуткі рост назіраецца ў мабільнай аўтэнтыфікацыі з-за расце даступнасці біяметрычнай аўтэнтыфікацыі.
Тут мы бачым ілюстрацыю прымаўкі "пакуль гром не грымне - мужык не перахрысціцца". Калі эксперты папярэджвалі аб ненадзейнасці пароляў, ніхто не спяшаўся ўкараняць двухфактарную аўтэнтыфікацыю. Як толькі хакеры пачалі красці паролі - народ стаў укараняць двухфактарную аўтэнтыфікацыю.
Праўда прыватныя асобы значна больш актыўна ўкараняюць 2ФА. Па-першае, так ім прасцей супакоіць свае страхі, спадзяючыся на убудаваную ў смартфоны біяметрычную аўтэнтыфікацыю, на справе вельмі ненадзейную. Арганізацыям жа неабходна патраціцца на набыццё токенаў і правесці працы (насамрэч вельмі простыя) па іх укараненні. А па-другое, пра ўцечкі пароляў з сэрвісаў тыпу Facebook і Dropbox не напісаў толькі лянівы, а вось гісторыямі аб тым, як кралі паролі (і што было далей) у арганізацыях, ІТ-дырэктары гэтых арганізацый не падзеляцца ні пры якіх умовах.
Тыя, хто не выкарыстоўвае строгую аўтэнтыфікацыю, недаацэньваюць сваю рызыку для бізнэсу і кліентаў. Адны арганізацыі, якія ў наш час не выкарыстоўваюць строгую аўтэнтыфікацыю, схільныя разглядаць лагіны і паролі, як адзін з самых эфектыўных і простых у выкарыстанні метадаў аўтэнтыфікацыі карыстачоў. Іншыя не бачаць каштоўнасці лічбавых актываў, якімі валодаюць. Бо варта ўлічваць тое, што кіберзлачынцам цікавая любая спажывецкая і дзелавая інфармацыя. Дзве траціны кампаній, якія выкарыстоўваюць толькі паролі для аўтэнтыфікацыі сваіх супрацоўнікаў, робяць гэта, таму што лічаць, што паролі дастаткова добрыя для таго тыпу інфармацыі, які яны абараняюць.
Тым не менш, паролі знаходзяцца на шляху "ў магілу". За мінулы год залежнасць ад пароляў значна знізілася, як для спажывецкіх, так і для карпаратыўных дадаткаў (з 44% да 31%, і ад 56% да 47% адпаведна), паколькі арганізацыі пашыраюць прымяненне традыцыйнай MFA і строгай аўтэнтыфікацыі.
Але калі ацаніць сітуацыю ў цэлым, то ўразлівыя спосабы аўтэнтыфікацыі па-ранейшаму пераважаюць. Для карыстацкай аўтэнтыфікацыі каля чвэрці арганізацый выкарыстоўваюць SMS OTP (аднаразовы пароль) разам з сакрэтнымі пытаннямі. У выніку для абароны ад уразлівасці даводзіцца ўкараняць дадатковыя сродкі абароны, што павялічвае выдаткі. Выкарыстанне значна больш надзейных метадаў аўтэнтыфікацыі, такіх як апаратныя крыптаграфічныя ключы, знаходзіць ужыванне значна радзей, прыкладна ў 5% арганізацый.
Нарматыўна-прававое асяроддзе, якое развіваецца, абяцае паскорыць укараненне строгай аўтэнтыфікацыі для спажывецкіх прыкладанняў. З увядзеннем PSD2, а таксама новых правілаў абароны дадзеных у ЕС і шэрагу штатаў ЗША, такіх як Каліфорнія, кампаніі адчуваюць, што становіцца горача. Амаль 70% кампаній згодны з тым, што яны сутыкаюцца з моцным рэгулятарным ціскам для забеспячэння строгай аўтэнтыфікацыі для сваіх кліентаў. Больш за палову прадпрыемстваў лічаць, што праз некалькі гадоў іх метады аўтэнтыфікацыі не будуць дастатковымі для адпаведнасці нарматыўным стандартам.
Добра прыкметная розніца ў падыходах расійскіх і амерыкана-еўрапейскіх заканадаўцаў да абароны персанальных дадзеных карыстачоў праграм і сэрвісаў. Расейскія кажуць: дарагія ўладальнікі сэрвісаў, рабіце што хочаце і як хочаце, але калі ваш адмін зліе базу, то мы вас пакараем. За мяжой гавораць: вы павінны ўкараніць комплекс мер, які не дазволіць зліць базу. Менавіта таму там на ўсю моц укараняюцца патрабаванні да наяўнасці строгай двухфактарнай аўтэнтыфікацыі.
Праўда, далёка не факт, што наша заканадаўчая машына аднойчы не апамятаецца і не ўлічыць заходні вопыт. Вось тады апынецца, што ўсім трэба ўкараніць 2ФА, якая адпавядае расейскім крыптаграфічным стандартам, прычым тэрмінова.
Стварэнне надзейнай асновы аўтэнтыфікацыі дазваляе кампаніям зрушыць акцэнт з задавальнення нарматыўных патрабаванняў на задавальненне запатрабаванняў кліентаў. Для тых арганізацый, якія пакуль яшчэ выкарыстоўваюць простыя паролі або атрыманне кодаў па SMS, найбольш важным фактарам пры выбары метаду аўтэнтыфікацыі будзе адпаведнасць нарматыўным патрабаванням. А вось тыя кампаніі, якія ўжо выкарыстоўваюць строгую аўтэнтыфікацыю, могуць засяродзіцца на выбары тых метадаў аўтэнтыфікацыі, якія падвышаюць лаяльнасць кліентаў.
Пры выбары метаду карпаратыўнай аўтэнтыфікацыі ўнутры прадпрыемства патрабаванні рэгулятараў ужо не з'яўляюцца значным фактарам. У гэтым выпадку значна важней прастата інтэграцыі (32%) і кошт (26%).
У эпоху фішынгу зламыснікі могуць выкарыстоўваць карпаратыўную электронную пошту для махлярства, каб падманным шляхам атрымаць доступ да дадзеных, уліковых запісаў (з адпаведнымі правамі доступу), і нават каб пераканаць супрацоўнікаў выканаць грашовы перавод на яго рахунак. Таму ўліковыя запісы карпаратыўнай пошты і парталаў павінны быць асабліва добра абаронены.
Google узмацніў сваю абарону укараніўшы строгую аўтэнтыфікацыю. Больш за два гады таму Google апублікаваў справаздачу аб укараненні двухфактарнай аўтэнтыфікацыі на базе крыптаграфічных ключоў бяспекі па стандарце FIDO U2F, паведаміўшы аб уражлівых выніках. Па дадзеных кампаніі, супраць больш за 85 000 супрацоўнікаў не было праведзена ніводнай фішынгавай атакі.
Рэкамендацыі
Укараняйце строгую аўтэнтыфікацыю для мабільных і анлайн прыкладанняў. Шматфактарная аўтэнтыфікацыя на аснове крыптаграфічных ключоў значна надзейней абараняе ад узлому, чым традыцыйныя метады MFA. Да таго ж выкарыстанне крыптаграфічных ключоў нашмат зручней, таму што не трэба выкарыстоўваць і перадаваць дадатковую інфармацыю - паролі, аднаразовыя паролі або біяметрычныя дадзеныя з прылады карыстальніка на сервер аўтэнтыфікацыі. Акрамя таго, стандартызацыя пратаколаў аўтэнтыфікацыі дазваляе значна прасцей укараняць новыя метады аўтэнтыфікацыі па меры іх з'яўлення, зніжаючы выдаткі на выкарыстанне і абараняючы ад больш складаных схем махлярства.
Рыхтуйцеся да заходу аднаразовых пароляў (OTP). Уразлівасці, уласцівыя OTP, становяцца ўсё больш відавочнымі, ва ўмовах, калі кіберзлачынцы выкарыстоўваюць сацыяльную інжынерыю, кланаванне смартфонаў і шкоднаснае ПЗ для кампраметацыі гэтых сродкаў аўтэнтыфікацыі. І калі OTP у некаторых выпадках валодаюць вызначанымі перавагамі, то толькі з пункта гледжання ўніверсальнай даступнасці для ўсіх карыстачоў, але не з пункта гледжання бяспекі.
Нельга не заўважыць, што атрыманне кодаў па SMS ці Push-паведамленняў, а таксама генерацыя кодаў з дапамогай праграм для смартфонаў - гэта і ёсць выкарыстанне тых самых аднаразовых пароляў (OTP) да заходу якіх нам і прапануюць рыхтавацца. З тэхнічнай кропкі рашэнне вельмі правільнае, таму што рэдкі ашуканец не спрабуе выведаць аднаразовы пароль у даверлівага карыстача. Але думаю, што вытворцы падобных сістэм будуць да апошняга чапляцца за тэхналогію, якая памірае.
Выкарыстоўвайце строгую аўтэнтыфікацыю ў якасці маркетынгавага інструмента для павышэння даверу кліентаў. Строгая аўтэнтыфікацыя можа не толькі палепшыць фактычную бяспеку вашага бізнесу. Інфармаванне кліентаў аб тым, што ваш бізнэс выкарыстоўвае строгую аўтэнтыфікацыю, можа ўмацаваць грамадскае ўспрыманне бяспекі гэтага бізнесу - важны фактар, калі існуе значны попыт кліентаў на надзейныя метады аўтэнтыфікацыі.
Правядзіце дбайную інвентарызацыю і адзнаку важнасці карпаратыўных дадзеных і абароніце іх у адпаведнасці з важнасцю. Нават дадзеныя з нізкім узроўнем рызыкі, такія як кантактная інфармацыя кліентаў (не, праўда, у справаздачы так і напісана "low-risk", вельмі дзіўна, што яны недаацэньваюць важнасць гэтай інфармацыі), могуць прынесці ашуканцам значную каштоўнасць і стаць прычынай праблем для кампаніі.
Выкарыстоўвайце строгую аўтэнтыфікацыю на прадпрыемстве. Шэраг сістэм з'яўляюцца найболей прывабнымі мэтамі для злачынцаў. Да іх адносяцца такія ўнутраныя і падлучаныя да Інтэрнэту сістэмы, як, бухгалтарская праграма або сховішча карпаратыўных дадзеных. Строгая аўтэнтыфікацыя не дае зламыснікам атрымаць несанкцыянаваны доступ, а таксама дазваляе дакладна ўстанавіць, хто менавіта з супрацоўнікаў здзейсніў зламысную дзейнасць.
Што такое строгая аўтэнтыфікацыя?
Пры выкарыстанні строгай аўтэнтыфікацыі для праверкі сапраўднасці карыстальніка выкарыстоўваецца некалькі метадаў ці фактараў:
- Фактар веды: агульны сакрэт паміж карыстальнікам і суб'ектам праверкі сапраўднасці карыстальніка (напрыклад, паролі, адказы на сакрэтныя пытанні і г. д.)
- Фактар валодання: прылада, якім валодае толькі карыстач (напрыклад, мабільная прылада, крыптаграфічны ключ і т. д. )
- Фактар неад'емнасці: фізічныя (часта біяметрычныя) характарыстыкі карыстальніка (напрыклад, адбітак пальца, малюнак вясёлкі вочы, голас, паводзіны і г. д.)
Неабходнасць узламаць некалькі фактараў значна павялічвае верагоднасць няўдачы для зламыснікаў, паколькі абыход ці падман розных фактараў патрабуе выкарыстання некалькіх тыпаў тактык узлому, для кожнага фактара асобна.
Напрыклад, пры 2ФА "пароль + смартфон" зламыснік можа выканаць аўтэнтыфікацыю падгледзеўшы пароль карыстальніка і зрабіўшы дакладную праграмную копію яго смартфона. А гэта нашмат складаней, чым проста скрасці пароль.
Але калі для 2ФА выкарыстоўваецца пароль і крыптаграфічны токен, то варыянт з капіяваннем тут не працуе - дубляваць токен немагчыма. Ашуканцы неабходна будзе неўзаметку сцягнуць токен у карыстача. Калі ж карыстач своечасова заўважыць згубу і паведаміць адміна, то токен будзе заблакаваны і працы ашуканца пройдуць дарма. Менавіта таму для фактару валодання трэба выкарыстоўваць спецыялізаваныя абароненыя прылады (токены), а не прылады агульнага прызначэння (смартфоны).
Выкарыстанне ўсіх трох фактараў зробіць такі метад аўтэнтыфікацыі дастаткова дарагім пры ўкараненні і досыць нязручным пры выкарыстанні. Таму звычайна выкарыстоўваецца два фактары з трох.
Больш падрабязна прынцыпы двухфактарнай аўтэнтыфікацыі апісаны , у блоку «Як працуе двухфактарная аўтэнтыфікацыя».
Важна адзначыць, што прынамсі адзін з фактараў аўтэнтыфікацыі, які ўжываецца пры строгай аўтэнтыфікацыі, павінен выкарыстоўваць крыптаграфію на аснове адчыненага ключа.
Строгая аўтэнтыфікацыя дае значна больш сур'ёзную абарону, чым аднафактарная аўтэнтыфікацыя на аснове класічных пароляў і традыцыйны MFA. Паролі можна падгледзець ці перахапіць з дапамогай кейлоггераў, фішынгавых сайтаў ці нападаў, заснаваных на сацыяльнай інжынерыі (калі ашуканая ахвяра сама паведамляе свой пароль). Прычым уладальнік пароля нічога не будзе ведаць аб факце крадзяжу. Традыцыйная MFA (якая ўключае ў сябе коды OTP, прывязку да смартфона або сім-карце), таксама можа быць досыць лёгка ўзламаная, паколькі не заснаваная на крыптаграфіі адчыненых ключоў (дарэчы, ёсць мноства прыкладаў, калі з дапамогай прыёмаў той жа сацыяльнай інжынерыі ашуканцы ўгаворвалі карыстальнікаў паведаміць ім аднаразовы пароль.).
На шчасце, з мінулага года выкарыстанне строгай аўтэнтыфікацыі і традыцыйнага MFA набірае сілу як у спажывецкіх, так і ў карпаратыўных дадатках. Выкарыстанне строгай аўтэнтыфікацыі ў спажывецкіх дадатках вырасла асабліва хутка. Калі ў 2017 годзе яе выкарыстоўвала ўсяго 5% кампаній, то ў 2018 годзе ўжо ўтрая больш - 16%. Гэта можна растлумачыць узрослай даступнасцю токенаў, якія падтрымліваюць алгарытмы крыптаграфіі з адкрытым ключом (Public Key Cryptography - PKC). Акрамя таго, узмацненне ціску еўрапейскіх рэгулятараў пасля прыняцця новых правіл абароны інфармацыі, такіх як PSD2 і GDPR, мела моцны эфект нават за межамі Еўропы (у тым ліку ў Расіі).
Давайце паглядзім на гэтыя лічбы больш уважліва. Як мы бачым, працэнт прыватнікаў, якія выкарыстоўваюць шматфактарнага аўтэнтыфікацыю, за год вырас на вялікія 11%. І адбылося гэта відавочна за кошт аматараў пароляў, паколькі лічбы тых, хто верыць у бяспеку Push-паведамленняў, SMS і біяметрыі не змяніліся.
А вось з двухфактарнай аўтэнтыфікацыяй для карпаратыўнага прымянення ўсё не так добра. Па-першае, мяркуючы па справаздачы, усяго 5% супрацоўнікаў былі пераведзены з парольнай аўтэнтыфікацыі на токены. А па-другое, на 4% працэнта вырасла колькасць тых, хто ў карпаратыўным асяроддзі выкарыстоўвае альтэрнатыўныя варыянты MFA.
Паспрабую пагуляць у аналітыка і дам сваё тлумачэнне. У цэнтры лічбавага свету індывідуальных карыстальнікаў знаходзіцца смартфон. Таму няхітра, што большасць выкарыстоўвае тыя магчымасці, якія падае ім прылада - біяметрычную аўтэнтыфікацыю, SMS і Push-паведамлення, а таксама аднаразовыя паролі, згенераваныя прыкладаннямі на самым смартфоне. Аб бяспецы і надзейнасці пры выкарыстанні звыклых ім прылад людзі звычайна не задумваюцца.
Менавіта таму працэнт карыстальнікаў прымітыўных "традыцыйных" фактараў аўтэнтыфікацыі застаецца нязменным. Затое тыя, хто раней выкарыстоўваў паролі, разумеюць, як моцна рызыкуюць, і пры выбары новага фактару аўтэнтыфікацыі спыняюцца на самым новым і бяспечным варыянце – крыптаграфічным токене.
Што ж тычыцца карпаратыўнага рынку, то тут важна разумець, у якую сістэму ажыццяўляецца аўтэнтыфікацыя. Калі рэалізуецца ўваход у дамен Windows, то выкарыстоўваюцца крыптаграфічныя токены. Магчымасці па іх выкарыстанні для 2ФА ўжо закладзены і ў Windows і ў Linux, а альтэрнатыўныя варыянты рэалізоўваць доўга і складана. Вось вам і міграцыя 5% з пароляў на токены.
А рэалізацыя 2ФА у карпаратыўнай інфармацыйнай сістэме вельмі моцна залежыць ад кваліфікацыі распрацоўшчыкаў. І распрацоўнікам значна прасцей узяць гатовыя модулі па генерацыі аднаразовых пароляў, чым разбірацца ў працы крыптаграфічных алгарытмаў. І ў выніку нават неверагодна крытычныя да бяспекі прыкладанні, як сістэмы Single Sign-On або Privileged Access Management выкарыстоўваюць OTP у якасці другога фактару.
Мноства ўразлівасцяў у традыцыйных метадах аўтэнтыфікацыі
Нягледзячы на тое, што шматлікія арганізацыі застаюцца залежнымі ад састарэлых аднафактарных сістэм, уразлівасці ў традыцыйнай шматфактарнай аўтэнтыфікацыі становяцца ўсё больш відавочнымі. Аднаразовыя паролі даўжынёй звычайна ад шасці да васьмі сімвалаў, якія дастаўляюцца з дапамогай SMS, застаюцца самай распаўсюджанай формай аўтэнтыфікацыі (вядома ж, акрамя фактару ведаў пароля). І калі ў папулярнай прэсе згадваюцца словы "двухфактарная аўтэнтыфікацыя" ці "двухэтапная праверка", то яны амаль заўсёды ставяцца да аўтэнтыфікацыі з дапамогай аднаразовых SMS-пароляў.
Тут аўтар крыху памыляецца. Дастаўка аднаразовых пароляў з дапамогай SMS ніколі не была двухфактарнай аўтэнтыфікацыяй. Гэта ў чыстым выглядзе другі этап двухэтапнай аўтэнтыфікацыі, дзе першым этапам з'яўляецца ўвод лагіна і пароля.
У 2016 годзе Нацыянальны інстытут стандартаў і тэхналогій (NIST) абнавіў свае правілы аўтэнтыфікацыі, каб выключыць выкарыстанне аднаразовых пароляў, якія адпраўляюцца праз SMS. Аднак гэтыя правілы былі істотна змякчэлыя пасля пратэстаў у галіны.
Такім чынам, сочым за сюжэтам. Амерыканскі рэгулятар справядліва прызнае, што састарэлая тэхналогія не здольная гарантаваць бяспеку карыстальнікаў і ўводзіць новыя стандарты. Стандарты, закліканыя абараніць карыстальнікаў анлайн і мабільных прыкладанняў (у тым ліку і банкаўскіх). Галіна мяркуе колькі грошай давядзецца выкласці на куплю сапраўды надзейных крыптаграфічных токенаў, на пераробку прыкладанняў, на разгортванне інфраструктуры публічных ключоў і «ўстае на дыбкі». З аднаго боку карыстачоў пераконвалі ў надзейнасці аднаразовых пароляў, а з іншага боку ішлі напады на NIST. У выніку стандарт змякчылі, а колькасць узломаў, крадзяжоў пароляў (і грошай з банкаўскіх прыкладанняў) рэзка вырасла. Затое індустрыі не прыйшлося раскашэльвацца.
З таго часу слабасці, уласцівыя SMS OTP, сталі больш відавочнымі. Ашуканцы выкарыстоўваюць розныя спосабы кампраметацыі SMS-паведамленняў:
- Дубліраванне SIM-карты. Зламыснікі ствараюць копію SIM (з дапамогай супрацоўнікаў сотавага аператара, альбо самастойна, пры дапамозе спецыяльнага праграмнага і апаратнага забеспячэння). У выніку зламысніку прыходзіць SMS з аднаразовым паролем. У адным асабліва вядомым выпадку хакеры нават змаглі скампраметаваць уліковы запіс AT&T фундатара криптовалюты Майкла Терпина, і выкрасці амаль 24 мільёна даляраў у криптовалютах. У выніку чаго Терпин заявіў, што AT&T быў вінаваты з-за слабых мер праверкі, якія прывялі да дублявання SIM-карты.
Узрушаючая логіка. Гэта значыць, праўда вінаваты толькі AT&T? Не, віна мабільнага аператара ў тым, што прадаўцы ў салоне сувязі выдалі дублікат сімкі, несумненна. А як наконт сістэмы аўтэнтыфікацыі біржы криптовалют? Чаму яны не выкарыстоўвалі надзейныя крыптаграфічныя токены? Грошай на ўкараненне было шкада? А сам Майкл не вінаваты? Чаму ён не настаяў на змене механізму аўтэнтыфікацыі ці не карыстаўся толькі тымі біржамі, якія рэалізуюць двухфактарную аўтэнтыфікацыю на аснове крыптаграфічных токенаў?
Укараненне па-сапраўднаму надзейных метадаў аўтэнтыфікацыі затрымліваецца менавіта з-за таго, што да ўзлому карыстачы выяўляюць дзіўную бестурботнасць, а пасля – вінавацяць у сваіх бедах каго і што заўгодна, акрамя старажытных і "дзіравых" тэхналогій аўтэнтыфікацыі
- Шкоднасныя праграмы (malware). Адной з самых ранніх функцый мабільных шкоднасных праграм быў перахоп і перасыланне зламыснікам тэкставых паведамленняў. Таксама, напады "чалавек у браўзэры" (man-in-the-browser) і "чалавек пасярэдзіне" (man-in-the-middle) могуць перахапляць аднаразовыя паролі, калі яны ўводзяцца на заражаных наўтбуках або настольных прыладах.
Калі дадатак Ашчадбанка ў вашым смартфоне міргае зялёным значком у статусным радку - яно ў тым ліку і шукае «зловреды» на вашым тэлефоне. Мэта гэтага мерапрыемства - ператварыць недаверанае асяроддзе выканання тыпавога смартфона ў, хоць нейкім бокам, давераную.
Дарэчы, смартфон, як абсалютна недавераная прылада, на якім можа выконвацца ўсё, што заўгодна - гэта яшчэ адна прычына выкарыстоўваць для аўтэнтыфікацыі толькі апаратныя токены, якія абаронены і пазбаўлены вірусаў і траянаў. - Сацыяльная інжынерыя. Калі ашуканцам вядома, што ў ахвяры ўключаны аднаразовыя паролі па SMS, яны могуць напрамую звязацца з ахвярай, выдаючы сябе за давераную арганізацыю, такую як яе банк або крэдытны саюз, каб падмануць ахвяру і прымусіць яе прадаставіць толькі што атрыманы код.
З гэтым відам махлярства я неаднаразова сутыкаўся асабіста, напрыклад, пры спробе нешта прадаць на папулярнай інтэрнэт-барахолцы. Сам я ўволю паздзекаваўся з махляра, які спрабаваў мяне абдурыць. Але нажаль, рэгулярна чытаю ў навінах як чарговая ахвяра ашуканцаў «не падумала», паведаміла код пацверджання і пазбавілася буйной сумы. І ўсё гэта таму, што банку проста не хочацца звязвацца з укараненнем крыптаграфічных токенаў у свае прыкладанні. Бо калі нешта здарыцца, то кліенты "самі вінаватыя".
Хоць альтэрнатыўныя метады дастаўкі аднаразовых пароляў могуць змякчыць некаторыя ўразлівасці ў гэтым метадзе аўтэнтыфікацыі, іншыя ўразлівасці застаюцца ў сіле. Аўтаномныя прыкладанні для генерацыі кода з'яўляюцца лепшай абаронай ад перахопу, паколькі нават шкоднасныя праграмы практычна не могуць наўпрост узаемадзейнічаць з генератарам кода (сур'ёзна? аўтар справаздачы забыўся пра выдаленае кіраванне?), але OTP усё яшчэ могуць быць перахопленыя пры ўводзе ў браўзэр (напрыклад, выкарыстоўваючы кейлоггер), праз узламаны мабільнае прыкладанне; а таксама могуць быць атрыманы непасрэдна ад карыстальніка з дапамогай сацыяльнай інжынерыі.
Выкарыстанне некалькіх інструментаў ацэнкі рызыкі, такіх як распазнаванне прылад (выяўленне спроб здзяйснення аперацый з не прыналежных легальнаму карыстачу прылад), геолокация (карыстач толькі што які знаходзіўся ў Маскве спрабуе выканаць аперацыю з Новасібірска) і паводніцкая аналітыка, мае вялікае значэнне для ўхілення ўразлівасцяў, але ні адно з рашэнняў не з'яўляецца панацэяй. Для кожнай сітуацыі і тыпу дадзеных неабходна старанна ацэньваць рызыкі і выбіраць якая тэхналогія аўтэнтыфікацыі павінна быць скарыстана.
Ніводнае рашэнне для аўтэнтыфікацыі не з'яўляецца панацэяй
Малюнак 2. Табліца варыянтаў аўтэнтыфікацыі
| аўтэнтыфікацыя | Фактар | Апісанне | Ключавыя ўразлівасці |
| Пароль ці PIN | Веды | Фіксаванае значэнне, якое можа ўключаць літары, лічбы і шэраг іншых знакаў | Можа быць перахоплены, падгледжаны, скрадзены, падабраны ці ўзламаны |
| Аўтэнтыфікацыя заснаваная на ведах | Веды | Пытанні, адказы на якія можа ведаць толькі легальны карыстальнік | Могуць быць перахоплены, падабраны, атрыманы з дапамогай метадаў сацыяльнай інжынерыі. |
| Апаратныя OTP () | Валоданне | Адмысловая прылада, якое генеруе аднаразовыя паролі | Код можа быць перахоплены і паўтораны, альбо прылада можа быць скрадзена |
| Праграмныя OTP | Валоданне | Дадатак (мабільны, даступны праз браўзэр, альбо які адпраўляе коды па e-mail), які генеруе аднаразовыя паролі | Код можа быць перахоплены і паўтораны, альбо прылада можа быць скрадзена |
| SMS OTP | Валоданне | Аднаразовы пароль, які дастаўляецца з дапамогай тэкставага паведамлення SMS | Код можа быць перахоплены і паўтораны, альбо смартфон ці SIM-карта могуць быць скрадзеныя, альбо SIM-карта можа быць дубляваная |
| Смарт-карты () | Валоданне | Карта, якая змяшчае крыптаграфічны чып і абароненую памяць з ключамі, якая выкарыстоўвае для аўтэнтыфікацыі інфраструктуру адкрытых ключоў. | Можа быць фізічна скрадзена (але зламыснік не зможа скарыстацца прыладай без ведання PIN-кода; у выпадку некалькіх няслушных спробах уводу прылада будзе заблакавана) |
| Ключы бяспекі - токены (, ) | Валоданне | Прылада з інтэрфейсам USB, якое змяшчае крыптаграфічны чып і абароненую памяць з ключамі, якое выкарыстоўвае для аўтэнтыфікацыі інфраструктуру адкрытых ключоў. | Можа быць фізічна выкрадзена (але зламыснік не зможа скарыстацца прыладай без ведання PIN-кода; у выпадку некалькіх няслушных спробах уводу прылада будзе заблакавана) |
| Прывязка да прылады | Валоданне | Працэс, які стварае профіль, часта з выкарыстаннем JavaScript, альбо з дапамогай маркераў, такіх як cookies і Flash Shared Objects для таго каб гарантаваць, што выкарыстоўваецца канкрэтнае прылада | Маркеры могуць быць выкрадзеныя (скапіяваныя), таксама характарыстыкі легальнага прылады могуць быць імітаваны зламыснікам на сваёй прыладзе |
| Паводзіны | Неад'емнасць | Аналізуецца як карыстач узаемадзейнічае з прыладай або праграмай | Паводзіны могуць быць зымітаваць |
| Адбіткі пальцаў | Неад'емнасць | Захаваныя адбіткі пальцаў параўноўваюцца з лічанымі аптычным ці электронным спосабам | Выява можа быць скрадзена і выкарыстана для аўтэнтыфікацыі |
| Сканіраванне вачэй | Неад'емнасць | Параўноўваюцца характарыстыкі вока, такія як малюнак вясёлкавай абалонкі зрэнкі, з новымі сканамі, атрыманымі аптычным спосабам. | Выява можа быць скрадзена і выкарыстана для аўтэнтыфікацыі |
| Распазнаванне асобы | Неад'емнасць | Параўноўваюцца характарыстыкі асобы, з новымі скана, атрыманымі аптычным спосабам | Выява можа быць скрадзена і выкарыстана для аўтэнтыфікацыі |
| Распазнаванне голасу | Неад'емнасць | Параўноўваюцца характарыстыкі запісанага ўзору голасу, з новымі ўзорамі | Запіс можа быць скрадзены і выкарыстаны для аўтэнтыфікацыі, альбо эмуляваны |
У другой частцы публікацыі нас чакае самае смачнае - лічбы і факты, на якіх і грунтуюцца прыведзеныя ў першай частцы высновы і рэкамендацыі. Будуць асобна разгледжана аўтэнтыфікацыя ў карыстацкіх дадатках і ў карпаратыўных сістэмах.
Да сустрэчы!
Крыніца: habr.com