Spoiler iz naslova izvještaja: “Upotreba jake autentifikacije se povećava zbog prijetnje novim rizicima i regulatornim zahtjevima.”
Istraživačka kompanija "Javelin Strategy & Research" objavila je izvještaj "The State of Strong Authentication 2019" (). Ovaj izvještaj kaže: koliki procenat američkih i evropskih kompanija koristi lozinke (i zašto malo ljudi sada koristi lozinke); zašto upotreba dvofaktorske autentifikacije zasnovane na kriptografskim tokenima tako brzo raste; Zašto jednokratni kodovi poslati putem SMS-a nisu sigurni.
Svi zainteresovani za sadašnjost, prošlost i budućnost autentifikacije u preduzećima i potrošačkim aplikacijama su dobrodošli.
Od prevodioca
Jao, jezik na kojem je napisan ovaj izvještaj je prilično „suv“ i formalan. A petostruka upotreba riječi „autentifikacija“ u jednoj kratkoj rečenici nije krive ruke (ili mozak) prevodioca, već hir autora. Kada sam prevodio sa dvije opcije - da čitaocima dam tekst bliži originalu, ili zanimljiviji, nekad sam birao prvu, a nekad drugu. Ali budite strpljivi, dragi čitaoci, sadržaj izvještaja je vrijedan toga.
Neki nebitni i nepotrebni dijelovi za priču su uklonjeni, inače većina ne bi mogla proći kroz cijeli tekst. Oni koji žele da pročitaju izvještaj „neurezani“ mogu to učiniti na originalnom jeziku slijedeći link.
Nažalost, autori nisu uvijek pažljivi s terminologijom. Stoga se jednokratne lozinke (One Time Password - OTP) ponekad nazivaju "lozinke", a ponekad "šifre". Još je gore s metodama provjere autentičnosti. Nije uvijek lako za neobučenog čitaoca da pogodi da su “autentifikacija pomoću kriptografskih ključeva” i “jaka autentifikacija” ista stvar. Pokušao sam da ujednačim pojmove što je više moguće, a u samom izvještaju postoji fragment sa njihovim opisom.
Međutim, izvještaj se preporučuje za čitanje jer sadrži jedinstvene rezultate istraživanja i ispravne zaključke.
Sve brojke i činjenice prikazane su bez najmanjih promjena, a ako se ne slažete s njima, onda je bolje raspravljati se ne s prevodiocem, već s autorima izvještaja. A evo i mojih komentara (izloženih kao citati, i označenih u tekstu talijanski) su moj vrijednosni sud i rado ću se raspravljati o svakom od njih (kao io kvaliteti prijevoda).
pregled
Danas su digitalni kanali komunikacije sa kupcima važniji nego ikada za preduzeća. A unutar kompanije, komunikacija među zaposlenima je više digitalno orijentirana nego ikada prije. A koliko će te interakcije biti sigurne ovisi o odabranom načinu provjere autentičnosti korisnika. Napadači koriste slabu autentifikaciju za masovno hakovanje korisničkih naloga. Kao odgovor, regulatori pooštravaju standarde kako bi natjerali kompanije da bolje zaštite korisničke račune i podatke.
Pretnje koje se odnose na autentifikaciju šire se izvan potrošačkih aplikacija; napadači također mogu dobiti pristup aplikacijama koje rade unutar poduzeća. Ova operacija im omogućava da se lažno predstavljaju kao korporativni korisnici. Napadači koji koriste pristupne tačke sa slabom autentifikacijom mogu ukrasti podatke i izvršiti druge lažne aktivnosti. Srećom, postoje mjere za borbu protiv toga. Jaka autentikacija će pomoći da se značajno smanji rizik od napada od strane napadača, kako na potrošačke aplikacije tako i na poslovne sisteme preduzeća.
Ova studija ispituje: kako preduzeća implementiraju autentifikaciju za zaštitu aplikacija krajnjih korisnika i poslovnih sistema preduzeća; faktore koje uzimaju u obzir pri odabiru rješenja za autentifikaciju; ulogu koju jaka autentifikacija igra u njihovim organizacijama; beneficije koje ove organizacije dobijaju.
Rezime
Glavni nalazi
Od 2017. godine upotreba jake autentifikacije je naglo porasla. Sa sve većim brojem ranjivosti koje utječu na tradicionalna rješenja za autentifikaciju, organizacije jačaju svoje sposobnosti autentifikacije snažnom autentifikacijom. Broj organizacija koje koriste kriptografsku multifaktorsku autentifikaciju (MFA) se utrostručio od 2017. za potrošačke aplikacije i povećao se za gotovo 50% za poslovne aplikacije. Najbrži rast se bilježi kod mobilne autentifikacije zbog sve veće dostupnosti biometrijske autentifikacije.
Ovdje vidimo ilustraciju izreke „dok grom ne udari, čovjek se neće prekrstiti“. Kada su stručnjaci upozorili na nesigurnost lozinki, nikome se nije žurilo da implementira dvofaktorsku autentifikaciju. Čim su hakeri počeli da kradu lozinke, ljudi su počeli da implementiraju dvofaktorsku autentifikaciju.
Istina, pojedinci mnogo aktivnije implementiraju 2FA. Prvo, lakše im je smiriti svoje strahove oslanjajući se na biometrijsku autentifikaciju ugrađenu u pametne telefone, koja je u stvari vrlo nepouzdana. Organizacije treba da troše novac na kupovinu tokena i obavljaju posao (u stvari, vrlo jednostavan) da ih implementiraju. I drugo, samo lijeni ljudi nisu pisali o curenju lozinki sa servisa poput Facebooka i Dropboxa, ali ni pod kojim okolnostima CIO-ovi ovih organizacija neće dijeliti priče o tome kako su lozinke ukradene (i šta se potom dogodilo) u organizacijama.
Oni koji ne koriste jaku autentifikaciju potcjenjuju rizik za svoje poslovanje i klijente. Neke organizacije koje trenutno ne koriste jaku autentifikaciju imaju tendenciju da prijave i lozinke vide kao jednu od najefikasnijih metoda provjere autentičnosti korisnika koje je lako koristiti. Drugi ne vide vrijednost digitalne imovine koju posjeduju. Na kraju krajeva, vrijedi uzeti u obzir da su cyber kriminalci zainteresirani za sve potrošačke i poslovne informacije. Dvije trećine kompanija koje koriste samo lozinke za autentifikaciju svojih zaposlenika to čine jer vjeruju da su lozinke dovoljno dobre za vrstu informacija koje štite.
Međutim, lozinke su na putu ka grobu. Zavisnost od lozinki značajno je opala tokom protekle godine i za potrošačke i za poslovne aplikacije (sa 44% na 31%, odnosno sa 56% na 47%) kako organizacije povećavaju upotrebu tradicionalne MFA i jake autentifikacije.
Ali ako pogledamo situaciju u cjelini, ranjive metode autentifikacije i dalje prevladavaju. Za autentifikaciju korisnika, oko četvrtine organizacija koristi SMS OTP (jednokratna lozinka) zajedno sa sigurnosnim pitanjima. Kao rezultat toga, moraju se primijeniti dodatne sigurnosne mjere za zaštitu od ranjivosti, što povećava troškove. Upotreba mnogo sigurnijih metoda autentifikacije, kao što su hardverski kriptografski ključevi, koristi se mnogo rjeđe, u otprilike 5% organizacija.
Regulatorno okruženje koje se razvija obećava da će ubrzati usvajanje jake autentifikacije za korisničke aplikacije. Uvođenjem PSD2, kao i novim pravilima o zaštiti podataka u EU i nekoliko američkih država poput Kalifornije, kompanije osjećaju vrućinu. Gotovo 70% kompanija se slaže da se suočavaju sa snažnim regulatornim pritiskom da svojim klijentima pruže snažnu autentifikaciju. Više od polovine preduzeća vjeruje da u roku od nekoliko godina njihove metode autentifikacije neće biti dovoljne da ispune regulatorne standarde.
Jasno je vidljiva razlika u pristupima ruskih i američko-evropskih zakonodavaca zaštiti ličnih podataka korisnika programa i usluga. Rusi kažu: dragi serviseri, radite šta hoćete i kako hoćete, ali ako vam admin spoji bazu, kaznićemo vas. U inostranstvu kažu: morate sprovesti set mjera koje neće dozvoliti drenirajte bazu. Zbog toga se tamo implementiraju zahtjevi za strogu dvofaktorsku autentifikaciju.
Istina, daleko je od činjenice da se naša zakonodavna mašina jednog dana neće opametiti i uzeti u obzir zapadna iskustva. Tada se ispostavlja da svi moraju hitno implementirati 2FA, koji je u skladu s ruskim kriptografskim standardima.
Uspostavljanje snažnog okvira za autentifikaciju omogućava kompanijama da pomjere fokus sa ispunjavanja regulatornih zahtjeva na zadovoljavanje potreba kupaca. Za one organizacije koje još uvijek koriste jednostavne lozinke ili primaju kodove putem SMS-a, najvažniji faktor pri odabiru metode autentifikacije bit će usklađenost sa regulatornim zahtjevima. Ali one kompanije koje već koriste snažnu autentifikaciju mogu se fokusirati na odabir onih metoda provjere autentičnosti koje povećavaju lojalnost kupaca.
Prilikom odabira korporativne metode autentifikacije unutar poduzeća, regulatorni zahtjevi više nisu značajan faktor. U ovom slučaju mnogo su važniji jednostavnost integracije (32%) i cijena (26%).
U eri phishinga, napadači mogu koristiti korporativnu e-poštu za prevaru da na prevaru dobije pristup podacima, računima (sa odgovarajućim pravima pristupa), pa čak i da ubijedi zaposlene da izvrše transfer novca na njegov račun. Stoga, korporativni email i nalozi portala moraju biti posebno dobro zaštićeni.
Google je ojačao svoju sigurnost implementacijom jake autentifikacije. Prije više od dvije godine, Google je objavio izvještaj o implementaciji dvofaktorske autentifikacije zasnovane na kriptografskim sigurnosnim ključevima koristeći FIDO U2F standard, izvještavajući o impresivnim rezultatima. Prema navodima kompanije, nije izveden niti jedan phishing napad na više od 85 zaposlenih.
preporuke
Implementirajte snažnu autentifikaciju za mobilne i online aplikacije. Višefaktorska autentifikacija zasnovana na kriptografskim ključevima pruža mnogo bolju zaštitu od hakovanja od tradicionalnih MFA metoda. Osim toga, korištenje kriptografskih ključeva je mnogo praktičnije jer nema potrebe za korištenjem i prijenosom dodatnih informacija - lozinki, jednokratnih lozinki ili biometrijskih podataka s uređaja korisnika na server za autentifikaciju. Osim toga, standardiziranje protokola za autentifikaciju znatno olakšava implementaciju novih metoda provjere autentičnosti čim postanu dostupne, smanjujući troškove implementacije i štiteći od sofisticiranijih šema prevare.
Pripremite se za nestanak jednokratnih lozinki (OTP). Ranjivosti svojstvene OTP-ovima postaju sve očiglednije jer sajber kriminalci koriste društveni inženjering, kloniranje pametnih telefona i zlonamjerni softver da kompromituju ova sredstva autentifikacije. A ako OTP-ovi u nekim slučajevima imaju određene prednosti, onda samo sa stanovišta univerzalne dostupnosti za sve korisnike, ali ne i sa stanovišta sigurnosti.
Nemoguće je ne primijetiti da je primanje kodova putem SMS ili Push obavijesti, kao i generiranje kodova pomoću programa za pametne telefone, korištenje istih jednokratnih lozinki (OTP) za koje se od nas traži da se pripremimo za odbijanje. Sa tehničke tačke gledišta, rješenje je vrlo ispravno, jer se radi o rijetkom prevarantu koji ne pokušava da sazna jednokratnu lozinku od lakovjernog korisnika. Ali mislim da će se proizvođači ovakvih sistema do posljednjeg držati tehnologije koja umire.
Koristite snažnu autentifikaciju kao marketinški alat za povećanje povjerenja kupaca. Jaka autentifikacija može učiniti više od samo poboljšanja stvarne sigurnosti vašeg poslovanja. Informiranje klijenata da vaše poslovanje koristi snažnu autentifikaciju može ojačati percepciju javnosti o sigurnosti tog poslovanja – što je važan faktor kada postoji značajna potražnja kupaca za jakim metodama provjere autentičnosti.
Sprovedite detaljan popis i procjenu kritičnosti korporativnih podataka i zaštitite ih prema važnosti. Čak i podaci niskog rizika kao što su kontakt informacije o klijentima (ne, stvarno, u izvještaju se kaže "nisko rizično", vrlo je čudno da potcjenjuju važnost ove informacije), može donijeti značajnu vrijednost prevarantima i uzrokovati probleme kompaniji.
Koristite jaku autentifikaciju preduzeća. Brojni sistemi su najatraktivnije mete za kriminalce. To uključuje interne i internet povezane sisteme kao što su računovodstveni program ili korporativno skladište podataka. Jaka autentifikacija sprečava napadače da dobiju neovlašćeni pristup, a takođe omogućava da se tačno utvrdi koji je zaposlenik izvršio zlonamernu aktivnost.
Šta je jaka autentifikacija?
Kada se koristi jaka autentikacija, koristi se nekoliko metoda ili faktora za provjeru autentičnosti korisnika:
- Faktor znanja: zajednička tajna između korisnika i autentificiranog subjekta korisnika (kao što su lozinke, odgovori na sigurnosna pitanja, itd.)
- Faktor vlasništva: uređaj koji ima samo korisnik (na primjer, mobilni uređaj, kriptografski ključ, itd.)
- Faktor integriteta: fizičke (često biometrijske) karakteristike korisnika (na primjer, otisak prsta, šara šarenice, glas, ponašanje itd.)
Potreba za hakiranjem više faktora uvelike povećava vjerovatnoću neuspjeha za napadače, jer zaobilaženje ili obmanjivanje različitih faktora zahtijeva korištenje više vrsta taktika hakovanja, za svaki faktor posebno.
Na primjer, sa 2FA „lozinkom + pametnim telefonom“, napadač može izvršiti autentifikaciju gledajući korisničku lozinku i praveći tačnu softversku kopiju njegovog pametnog telefona. A to je mnogo teže od obične krađe lozinke.
Ali ako se lozinka i kriptografski token koriste za 2FA, onda opcija kopiranja ovdje ne radi - nemoguće je duplicirati token. Prevarant će morati kradom da ukrade token od korisnika. Ako korisnik na vrijeme primijeti gubitak i obavijesti administratora, token će biti blokiran i napori prevaranta će biti uzaludni. Zbog toga faktor vlasništva zahtijeva korištenje specijaliziranih sigurnih uređaja (tokena) umjesto uređaja opšte namjene (pametnih telefona).
Korištenje sva tri faktora učinit će ovu metodu autentifikacije prilično skupom za implementaciju i prilično nezgodnom za korištenje. Stoga se obično koriste dva od tri faktora.
Detaljnije su opisani principi dvofaktorske autentifikacije , u bloku „Kako radi dvofaktorska autentifikacija“.
Važno je napomenuti da barem jedan od faktora provjere autentičnosti koji se koristi u jakoj autentifikaciji mora koristiti kriptografiju javnog ključa.
Jaka autentifikacija pruža mnogo jaču zaštitu od jednofaktorne autentifikacije zasnovane na klasičnim lozinkama i tradicionalnom MFA. Lozinke se mogu špijunirati ili presresti pomoću keyloggera, phishing stranica ili napada društvenog inženjeringa (gdje je žrtva prevarena da otkrije svoju lozinku). Štaviše, vlasnik lozinke neće znati ništa o krađi. Tradicionalni MFA (uključujući OTP kodove, vezivanje za pametni telefon ili SIM karticu) se također može prilično lako hakirati, jer nije zasnovan na kriptografiji javnog ključa (Inače, ima mnogo primjera kada su, koristeći iste tehnike društvenog inženjeringa, prevaranti nagovarali korisnike da im daju jednokratnu lozinku).
Srećom, upotreba jake autentifikacije i tradicionalnog MFA-a dobija na snazi i u potrošačkim i u poslovnim aplikacijama od prošle godine. Upotreba jake autentifikacije u potrošačkim aplikacijama je rasla posebno brzo. Ako ga je u 2017. godini koristilo samo 5% kompanija, onda je u 2018. već tri puta više – 16%. Ovo se može objasniti povećanom dostupnošću tokena koji podržavaju algoritme kriptografije javnog ključa (PKC). Osim toga, pojačan pritisak evropskih regulatora nakon usvajanja novih pravila o zaštiti podataka kao što su PSD2 i GDPR imao je snažan učinak čak i izvan Evrope (uključujući i Rusiju).
Pogledajmo bliže ove brojke. Kao što vidimo, postotak privatnih osoba koje koriste višefaktorsku autentifikaciju porastao je za impresivnih 11% tokom godine. I to se očito dogodilo na račun ljubitelja lozinki, jer se broj onih koji vjeruju u sigurnost Push obavijesti, SMS-a i biometrije nije promijenio.
Ali sa dvofaktorskom autentifikacijom za korporativnu upotrebu, stvari nisu tako dobre. Prvo, prema izvještaju, samo 5% zaposlenih je prebačeno sa autentifikacije lozinke na tokene. I drugo, broj onih koji koriste alternativne MFA opcije u korporativnom okruženju porastao je za 4%.
Pokušaću da glumim analitičara i dam svoje tumačenje. U središtu digitalnog svijeta pojedinačnih korisnika je pametni telefon. Stoga nije ni čudo što većina koristi mogućnosti koje im uređaj pruža – biometrijsku autentifikaciju, SMS i Push obavijesti, kao i jednokratne lozinke koje generiraju aplikacije na samom pametnom telefonu. Ljudi obično ne razmišljaju o sigurnosti i pouzdanosti kada koriste alate na koje su navikli.
Zbog toga postotak korisnika primitivnih „tradicionalnih“ faktora autentifikacije ostaje nepromijenjen. Ali oni koji su ranije koristili lozinke razumiju koliko riskiraju, te se pri odabiru novog faktora autentikacije odlučuju za najnoviju i najsigurniju opciju – kriptografski token.
Što se tiče korporativnog tržišta, važno je razumjeti u koji sistem se provodi autentifikacija. Ako je implementirana prijava na Windows domenu, tada se koriste kriptografski tokeni. Mogućnosti za njihovo korištenje za 2FA su već ugrađene u Windows i Linux, ali alternativne opcije su duge i teške za implementaciju. Toliko o migraciji od 5% sa lozinki na tokene.
A implementacija 2FA u korporativni informacioni sistem u velikoj meri zavisi od kvalifikacija programera. A programerima je mnogo lakše uzeti gotove module za generiranje jednokratnih lozinki nego razumjeti rad kriptografskih algoritama. I kao rezultat toga, čak i aplikacije koje su nevjerovatno kritične za sigurnost kao što su sistemi za jednokratnu prijavu ili sistemi za upravljanje privilegiranim pristupom koriste OTP kao drugi faktor.
Mnoge ranjivosti u tradicionalnim metodama autentifikacije
Dok se mnoge organizacije i dalje oslanjaju na naslijeđene jednofaktorne sisteme, ranjivosti u tradicionalnoj višefaktorskoj autentifikaciji postaju sve očiglednije. Jednokratne lozinke, obično duge šest do osam znakova, koje se isporučuju putem SMS-a, ostaju najčešći oblik autentifikacije (osim faktora lozinke, naravno). A kada se u popularnoj štampi pominju riječi „dvofaktorska autentifikacija“ ili „verifikacija u dva koraka“, one se gotovo uvijek odnose na SMS autentifikaciju jednokratnom lozinkom.
Ovdje je autor malo pogriješio. Isporuka jednokratnih lozinki putem SMS-a nikada nije bila dvofaktorska autentifikacija. Ovo je u svom najčistijem obliku druga faza autentifikacije u dva koraka, gdje je prva faza unos vaše prijave i lozinke.
U 2016. godini, Nacionalni institut za standarde i tehnologiju (NIST) je ažurirao svoja pravila za autentifikaciju kako bi eliminisao upotrebu jednokratnih lozinki koje se šalju putem SMS-a. Međutim, ova pravila su značajno ublažena nakon protesta industrije.
Dakle, pratimo radnju. Američki regulator s pravom prepoznaje da zastarjela tehnologija nije u stanju osigurati sigurnost korisnika i uvodi nove standarde. Standardi dizajnirani da zaštite korisnike online i mobilnih aplikacija (uključujući bankarske). Industrija izračunava koliko će novca morati potrošiti na kupovinu istinski pouzdanih kriptografskih tokena, redizajn aplikacija, implementaciju infrastrukture javnog ključa i „diže se na zadnjim nogama“. S jedne strane, korisnici su bili uvjereni u pouzdanost jednokratnih lozinki, as druge strane, napadi na NIST. Kao rezultat toga, standard je omekšan, a broj hakova i krađe lozinki (i novca iz bankarskih aplikacija) naglo se povećao. Ali industrija nije morala da izdvaja novac.
Od tada su inherentne slabosti SMS OTP-a postale očiglednije. Prevaranti koriste različite metode za kompromitaciju SMS poruka:
- Dupliciranje SIM kartice. Napadači kreiraju kopiju SIM-a (uz pomoć zaposlenika mobilnog operatera ili samostalno, uz pomoć posebnog softvera i hardvera). Kao rezultat toga, napadač prima SMS s jednokratnom lozinkom. U jednom posebno poznatom slučaju, hakeri su čak uspjeli kompromitirati AT&T račun investitora kriptovaluta Michaela Turpina i ukrasti skoro 24 miliona dolara u kriptovalutama. Kao rezultat toga, Turpin je izjavio da je AT&T kriv zbog slabih mjera verifikacije koje su dovele do dupliciranja SIM kartice.
Nevjerovatna logika. Dakle, stvarno je kriv samo AT&T? Ne, nesumnjivo je krivica mobilnog operatera što su prodavci u komunikacijskoj radnji izdali duplikat SIM kartice. Šta je sa sistemom za autentifikaciju razmjene kriptovaluta? Zašto nisu koristili jake kriptografske tokene? Da li je bilo šteta trošiti novac na implementaciju? Nije li sam Michael kriv? Zašto nije insistirao na promjeni mehanizma autentifikacije ili koristio samo one razmjene koje implementiraju dvofaktorsku autentifikaciju zasnovanu na kriptografskim tokenima?
Uvođenje istinski pouzdanih metoda autentifikacije odgađa se upravo zato što korisnici pokazuju zadivljujuću nepažnju prije hakovanja, a nakon toga za svoje probleme okrivljuju bilo koga i bilo šta osim drevnih i „propuštajućih“ tehnologija za autentifikaciju
- Malware. Jedna od najranijih funkcija mobilnog zlonamjernog softvera bila je presretanje i prosljeđivanje tekstualnih poruka napadačima. Također, napadi čovjek u pretraživaču i čovjek u sredini mogu presresti jednokratne lozinke kada se unesu na zaražene laptope ili desktop uređaje.
Kada aplikacija Sberbank na vašem pametnom telefonu treperi zelenom ikonom u statusnoj traci, ona takođe traži "malver" na vašem telefonu. Cilj ovog događaja je pretvoriti nepouzdano okruženje za izvršavanje tipičnog pametnog telefona u, barem na neki način, pouzdano.
Inače, pametni telefon, kao potpuno nepouzdani uređaj na kojem se sve može raditi, još je jedan razlog da ga koristite za autentifikaciju samo hardverski tokeni, koji su zaštićeni i bez virusa i trojanaca. - Društveni inženjering. Kada prevaranti znaju da žrtva ima OTP-ove omogućene putem SMS-a, mogu direktno kontaktirati žrtvu, predstavljajući se kao pouzdana organizacija kao što je njihova banka ili kreditna unija, kako bi prevarili žrtvu da pruži kod koji je upravo primio.
Lično sam se mnogo puta susreo s ovom vrstom prijevare, na primjer, kada sam pokušavao nešto prodati na popularnom internetskom buvljaku. I sam sam se rugao prevarantu koji je pokušao da me prevari do mile volje. Ali, nažalost, redovno čitam u vijestima kako još jedna žrtva prevaranta "nije razmišljala", dala potvrdni kod i izgubila veliku svotu. A sve je to zato što banka jednostavno ne želi da se bavi implementacijom kriptografskih tokena u svojim aplikacijama. Na kraju krajeva, ako se nešto dogodi, klijenti su „sami krivi“.
Dok alternativne metode isporuke OTP-a mogu ublažiti neke od ranjivosti u ovoj metodi provjere autentičnosti, ostale ranjivosti ostaju. Samostalne aplikacije za generiranje koda najbolja su zaštita od prisluškivanja, jer čak i zlonamjerni softver teško može stupiti u direktnu interakciju s generatorom koda (ozbiljno? Da li je autor izvještaja zaboravio na daljinsko upravljanje?), ali OTP-ovi i dalje mogu biti presretnuti kada se unesu u pretraživač (na primjer korištenjem keyloggera), putem hakovane mobilne aplikacije; a može se dobiti i direktno od korisnika pomoću društvenog inženjeringa.
Korištenje višestrukih alata za procjenu rizika kao što je prepoznavanje uređaja (otkrivanje pokušaja obavljanja transakcija sa uređaja koji ne pripadaju legalnom korisniku), geolokacija (korisnik koji je upravo bio u Moskvi pokušava da izvrši operaciju iz Novosibirska) i bihejvioralna analitika važni su za rješavanje ranjivosti, ali nijedno rješenje nije lijek. Za svaku situaciju i vrstu podataka potrebno je pažljivo procijeniti rizike i odabrati koju tehnologiju autentifikacije treba koristiti.
Nijedno rješenje za autentifikaciju nije panaceja
Slika 2. Tabela opcija provjere autentičnosti
| Autentifikacija | Faktor | Opis | Ključne ranjivosti |
| Lozinka ili PIN | Znanje | Fiksna vrijednost, koja može uključivati slova, brojeve i niz drugih znakova | Može se presresti, špijunirati, ukrasti, pokupiti ili hakovati |
| Provjera autentičnosti zasnovana na znanju | Znanje | Pitanja na koja odgovore može znati samo pravni korisnik | Može se presresti, pokupiti, dobiti metodama društvenog inženjeringa |
| Hardverski OTP () | Posjed | Poseban uređaj koji generira jednokratne lozinke | Šifra može biti presretnuta i ponovljena, ili uređaj može biti ukraden |
| Softverski OTP-ovi | Posjed | Aplikacija (mobilna, dostupna preko pretraživača ili slanje kodova e-poštom) koja generira jednokratne lozinke | Šifra može biti presretnuta i ponovljena, ili uređaj može biti ukraden |
| SMS OTP | Posjed | Jednokratna lozinka se isporučuje putem SMS poruke | Kod može biti presretnut i ponovljen, ili pametni telefon ili SIM kartica mogu biti ukradeni, ili SIM kartica može biti duplirana |
| pametne kartice () | Posjed | Kartica koja sadrži kriptografski čip i sigurnu ključnu memoriju koja koristi infrastrukturu javnog ključa za autentifikaciju | Može biti fizički ukraden (ali napadač neće moći koristiti uređaj bez poznavanja PIN koda; u slučaju nekoliko pogrešnih pokušaja unosa, uređaj će biti blokiran) |
| Sigurnosni ključevi - tokeni (, ) | Posjed | USB uređaj koji sadrži kriptografski čip i sigurnu ključnu memoriju koja koristi infrastrukturu javnog ključa za autentifikaciju | Može biti fizički ukraden (ali napadač neće moći koristiti uređaj bez poznavanja PIN koda; u slučaju nekoliko netačnih pokušaja unosa uređaj će biti blokiran) |
| Povezivanje sa uređajem | Posjed | Proces koji kreira profil, često koristeći JavaScript, ili koristeći markere kao što su kolačići i Flash Shared Objects kako bi se osiguralo da se koristi određeni uređaj | Tokeni se mogu ukrasti (kopirati), a karakteristike legalnog uređaja može imitirati napadač na svom uređaju |
| Ponašanje | Inherencija | Analizira kako korisnik komunicira s uređajem ili programom | Ponašanje se može imitirati |
| Otisci prstiju | Inherencija | Pohranjeni otisci prstiju se upoređuju s onim snimljenim optički ili elektronski | Slika se može ukrasti i koristiti za autentifikaciju |
| Skeniranje oka | Inherencija | Uspoređuje karakteristike oka, kao što je šara šarenice, s novim optičkim skeniranjem | Slika se može ukrasti i koristiti za autentifikaciju |
| Prepoznavanje lica | Inherencija | Karakteristike lica se porede sa novim optičkim skeniranjem | Slika se može ukrasti i koristiti za autentifikaciju |
| Prepoznavanje glasa | Inherencija | Karakteristike snimljenog uzorka glasa upoređuju se sa novim uzorcima | Zapis se može ukrasti i koristiti za autentifikaciju ili emulirati |
U drugom dijelu publikacije očekuje nas ono najukusnije - brojke i činjenice na kojima se temelje zaključci i preporuke date u prvom dijelu. O autentifikaciji u korisničkim aplikacijama iu korporativnim sistemima će se govoriti posebno.
Vidimo se uskoro!
izvor: www.habr.com