Spoiler del títol de l'informe: "L'ús de l'autenticació forta augmenta a causa de l'amenaça de nous riscos i requisits reguladors".
L'empresa d'investigació "Javelin Strategy & Research" va publicar l'informe "The State of Strong Authentication 2019" (). Aquest informe diu: quin percentatge d'empreses americanes i europees utilitzen contrasenyes (i per què poca gent les utilitzen ara); per què l'ús de l'autenticació de dos factors basada en fitxes criptogràfiques està creixent tan ràpidament; Per què els codis únics enviats per SMS no són segurs.
Qualsevol persona interessada en el present, el passat i el futur de l'autenticació en empreses i aplicacions de consumidors és benvinguda.
Del traductor
Per desgràcia, l'idioma en què s'escriu aquest informe és bastant "sec" i formal. I l'ús cinc vegades de la paraula "autenticació" en una frase curta no és les mans tortes (o el cervell) del traductor, sinó el caprici dels autors. Quan tradueixo des de dues opcions: per oferir als lectors un text més proper a l'original, o un de més interessant, de vegades triava la primera i de vegades la segona. Però tingueu paciència, estimats lectors, el contingut de l'informe val la pena.
Es van eliminar algunes peces sense importància i innecessàries per a la història, en cas contrari la majoria no hauria pogut passar per tot el text. Els qui vulguin llegir l'informe "sense tallar" poden fer-ho en l'idioma original seguint l'enllaç.
Malauradament, els autors no sempre tenen cura amb la terminologia. Per tant, les contrasenyes d'un sol ús (One Time Password - OTP) de vegades s'anomenen "contrasenyes" i de vegades "codis". És encara pitjor amb els mètodes d'autenticació. No sempre és fàcil per al lector no entrenat endevinar que "autenticació mitjançant claus criptogràfiques" i "autenticació forta" són el mateix. Vaig intentar unificar els termes al màxim, i al mateix informe hi ha un fragment amb la seva descripció.
No obstant això, l'informe és una lectura molt recomanable perquè conté resultats de recerca únics i conclusions correctes.
Totes les xifres i fets es presenten sense els més petits canvis, i si no hi esteu d'acord, és millor discutir no amb el traductor, sinó amb els autors de l'informe. I aquí teniu els meus comentaris (presentats com a cites i marcats al text italià) són el meu judici de valor i estaré encantat de discutir sobre cadascun d'ells (així com sobre la qualitat de la traducció).
visió de conjunt
Avui en dia, els canals digitals de comunicació amb els clients són més importants que mai per a les empreses. I dins de l'empresa, les comunicacions entre els empleats estan més orientades digitalment que mai. I la seguretat que seran aquestes interaccions depèn del mètode d'autenticació de l'usuari escollit. Els atacants utilitzen una autenticació feble per piratejar massivament els comptes d'usuari. En resposta, els reguladors estan endurint els estàndards per obligar les empreses a protegir millor els comptes i les dades dels usuaris.
Les amenaces relacionades amb l'autenticació s'estenen més enllà de les aplicacions de consum; els atacants també poden accedir a les aplicacions que s'executen a l'empresa. Aquesta operació els permet suplantar la identitat dels usuaris corporatius. Els atacants que utilitzen punts d'accés amb autenticació feble poden robar dades i realitzar altres activitats fraudulentes. Afortunadament, hi ha mesures per combatre-ho. L'autenticació forta ajudarà a reduir significativament el risc d'atac per part d'un atacant, tant en aplicacions de consum com en sistemes empresarials empresarials.
Aquest estudi examina: com les empreses implementen l'autenticació per protegir les aplicacions d'usuari final i els sistemes empresarials empresarials; factors que tenen en compte a l'hora d'escollir una solució d'autenticació; el paper que juga l'autenticació forta a les seves organitzacions; els beneficis que reben aquestes organitzacions.
Resum
Principals conclusions
Des del 2017, l'ús de l'autenticació forta ha augmentat considerablement. Amb el nombre creixent de vulnerabilitats que afecten les solucions d'autenticació tradicionals, les organitzacions estan reforçant les seves capacitats d'autenticació amb una autenticació forta. El nombre d'organitzacions que utilitzen l'autenticació multifactor criptogràfica (MFA) s'ha triplicat des del 2017 per a aplicacions de consum i ha augmentat gairebé un 50% per a aplicacions empresarials. El creixement més ràpid s'observa en l'autenticació mòbil a causa de la creixent disponibilitat de l'autenticació biomètrica.
Aquí veiem una il·lustració de la dita "fins que no caigui un tron, un home no es marcarà". Quan els experts van advertir sobre la inseguretat de les contrasenyes, ningú no tenia pressa per implementar l'autenticació de dos factors. Tan bon punt els pirates informàtics van començar a robar contrasenyes, la gent va començar a implementar l'autenticació de dos factors.
És cert que els individus estan implementant molt més activament 2FA. En primer lloc, és més fàcil per a ells calmar les seves pors confiant en l'autenticació biomètrica integrada als telèfons intel·ligents, que de fet és molt poc fiable. Les organitzacions han de gastar diners en la compra de fitxes i fer un treball (de fet, molt senzill) per implementar-los. I, en segon lloc, només la gent mandrosa no ha escrit sobre les filtracions de contrasenyes de serveis com Facebook i Dropbox, però en cap cas els CIO d'aquestes organitzacions compartiran històries sobre com es van robar les contrasenyes (i què va passar després) a les organitzacions.
Aquells que no utilitzen una autenticació forta estan subestimant el seu risc per al seu negoci i clients. Algunes organitzacions que actualment no utilitzen una autenticació forta tendeixen a veure els inicis de sessió i les contrasenyes com un dels mètodes més efectius i fàcils d'utilitzar d'autenticació d'usuaris. Altres no veuen el valor dels actius digitals que posseeixen. Al cap i a la fi, val la pena tenir en compte que els ciberdelinqüents estan interessats en qualsevol informació de consumidors i empreses. Dos terços de les empreses que només utilitzen contrasenyes per autenticar els seus empleats ho fan perquè creuen que les contrasenyes són prou bones per al tipus d'informació que protegeixen.
Tanmateix, les contrasenyes estan en camí cap a la tomba. La dependència de contrasenyes ha disminuït significativament durant l'últim any tant per a les aplicacions de consum com per a les empreses (del 44% al 31% i del 56% al 47%, respectivament) a mesura que les organitzacions augmenten l'ús de l'MFA tradicional i l'autenticació forta.
Però si mirem la situació en conjunt, els mètodes d'autenticació vulnerables encara prevalen. Per a l'autenticació d'usuaris, aproximadament una quarta part de les organitzacions utilitzen SMS OTP (contrasenya única) juntament amb preguntes de seguretat. Com a resultat, s'han d'implementar mesures de seguretat addicionals per protegir-se de la vulnerabilitat, la qual cosa augmenta els costos. L'ús de mètodes d'autenticació molt més segurs, com ara claus criptogràfiques de maquinari, s'utilitza amb molta menys freqüència, aproximadament en un 5% de les organitzacions.
L'entorn regulatori en evolució promet accelerar l'adopció d'una autenticació forta per a les aplicacions de consum. Amb la introducció de PSD2, així com les noves normes de protecció de dades a la UE i diversos estats dels Estats Units com Califòrnia, les empreses estan sentint la calor. Gairebé el 70% de les empreses estan d'acord que s'enfronten a una forta pressió reguladora per proporcionar una autenticació forta als seus clients. Més de la meitat de les empreses creuen que d'aquí a uns anys els seus mètodes d'autenticació no seran suficients per complir els estàndards reguladors.
La diferència en els enfocaments dels legisladors russos i nord-americans a la protecció de les dades personals dels usuaris de programes i serveis és clarament visible. Els russos diuen: estimats propietaris de serveis, feu el que vulgueu i com vulgueu, però si el vostre administrador fusiona la base de dades, us castigarem. Diuen a l'estranger: cal implementar un conjunt de mesures que no ho permetrà escorre la base. És per això que s'hi estan implementant els requisits per a una autenticació estricta de dos factors.
És cert que està lluny de ser un fet que la nostra màquina legislativa algun dia no entri en raó i tindrà en compte l'experiència occidental. Aleshores resulta que tothom ha d'implementar 2FA, que compleix amb els estàndards criptogràfics russos, i amb urgència.
L'establiment d'un marc d'autenticació sòlid permet a les empreses canviar el seu enfocament de complir els requisits reglamentaris a satisfer les necessitats dels clients. Per a aquelles organitzacions que encara estan utilitzant contrasenyes simples o reben codis per SMS, el factor més important a l'hora d'escollir un mètode d'autenticació serà el compliment dels requisits reglamentaris. Però aquelles empreses que ja utilitzen una autenticació forta poden centrar-se a triar els mètodes d'autenticació que augmenten la fidelitat dels clients.
Quan es tria un mètode d'autenticació corporativa dins d'una empresa, els requisits normatius ja no són un factor important. En aquest cas, la facilitat d'integració (32%) i el cost (26%) són molt més importants.
A l'era de la pesca, els atacants poden utilitzar el correu electrònic corporatiu per estafar per accedir de manera fraudulenta a dades, comptes (amb els drets d'accés adequats) i fins i tot per convèncer els empleats perquè facin una transferència de diners al seu compte. Per tant, el correu electrònic corporatiu i els comptes del portal han d'estar especialment ben protegits.
Google ha reforçat la seva seguretat mitjançant la implementació d'una autenticació forta. Fa més de dos anys, Google va publicar un informe sobre la implementació de l'autenticació de dos factors basada en claus de seguretat criptogràfiques utilitzant l'estàndard FIDO U2F, amb resultats impressionants. Segons l'empresa, no s'ha dut a terme cap atac de pesca contra més de 85 empleats.
Recomanacions
Implementeu una autenticació forta per a aplicacions mòbils i en línia. L'autenticació multifactor basada en claus criptogràfiques ofereix una protecció molt millor contra la pirateria que els mètodes tradicionals de MFA. A més, l'ús de claus criptogràfiques és molt més convenient perquè no cal utilitzar i transferir informació addicional: contrasenyes, contrasenyes d'un sol ús o dades biomètriques del dispositiu de l'usuari al servidor d'autenticació. A més, l'estandardització dels protocols d'autenticació fa que sigui molt més fàcil implementar nous mètodes d'autenticació a mesura que estiguin disponibles, reduint els costos d'implementació i protegint contra esquemes de frau més sofisticats.
Prepareu-vos per a la desaparició de les contrasenyes d'un sol ús (OTP). Les vulnerabilitats inherents a les OTP són cada cop més evidents a mesura que els ciberdelinqüents utilitzen l'enginyeria social, la clonació de telèfons intel·ligents i el programari maliciós per comprometre aquests mitjans d'autenticació. I si les OTP en alguns casos tenen certs avantatges, només des del punt de vista de la disponibilitat universal per a tots els usuaris, però no des del punt de vista de la seguretat.
És impossible no notar que rebre codis per SMS o notificacions Push, així com generar codis mitjançant programes per a telèfons intel·ligents, és l'ús d'aquelles mateixes contrasenyes d'un sol ús (OTP) per a les quals se'ns demana que ens preparem per al descens. Des del punt de vista tècnic, la solució és molt correcta, perquè es tracta d'un estafador poc freqüent que no intenta esbrinar la contrasenya única d'un usuari crédule. Però crec que els fabricants d'aquests sistemes s'aferraran a la tecnologia moribunda fins al final.
Utilitzeu una autenticació forta com a eina de màrqueting per augmentar la confiança dels clients. L'autenticació forta pot fer més que millorar la seguretat real del vostre negoci. Informar als clients que la vostra empresa utilitza una autenticació forta pot enfortir la percepció pública de la seguretat d'aquesta empresa, un factor important quan hi ha una demanda important dels clients de mètodes d'autenticació forts.
Realitzar un inventari exhaustiu i una avaluació de la criticitat de les dades corporatives i protegir-les segons la seva importància. Fins i tot dades de baix risc, com ara la informació de contacte del client (no, realment, l'informe diu "de baix risc", és molt estrany que subestimin la importància d'aquesta informació), pot aportar un valor significatiu als estafadors i causar problemes a l'empresa.
Utilitzeu una autenticació empresarial forta. Diversos sistemes són els objectius més atractius per als delinqüents. Aquests inclouen sistemes interns i connectats a Internet, com ara un programa de comptabilitat o un magatzem de dades corporatiu. L'autenticació forta evita que els atacants tinguin accés no autoritzat i també permet determinar amb precisió quin empleat va cometre l'activitat maliciosa.
Què és l'autenticació forta?
Quan s'utilitza una autenticació forta, s'utilitzen diversos mètodes o factors per verificar l'autenticitat de l'usuari:
- Factor de coneixement: secret compartit entre l'usuari i el subjecte autenticat de l'usuari (com ara contrasenyes, respostes a preguntes de seguretat, etc.)
- Factor de propietat: un dispositiu que només té l'usuari (per exemple, un dispositiu mòbil, una clau criptogràfica, etc.)
- Factor d'integritat: característiques físiques (sovint biomètriques) de l'usuari (per exemple, empremta digital, patró de l'iris, veu, comportament, etc.)
La necessitat de piratejar múltiples factors augmenta considerablement la probabilitat de fracàs dels atacants, ja que evitar o enganyar diversos factors requereix utilitzar diversos tipus de tàctiques de pirateria, per a cada factor per separat.
Per exemple, amb 2FA "contrasenya + telèfon intel·ligent", un atacant pot realitzar l'autenticació mirant la contrasenya de l'usuari i fent una còpia exacta del programari del seu telèfon intel·ligent. I això és molt més difícil que simplement robar una contrasenya.
Però si s'utilitza una contrasenya i un testimoni criptogràfic per a 2FA, l'opció de còpia no funciona aquí: és impossible duplicar el testimoni. El defraudador haurà de robar el testimoni sigil·losament a l'usuari. Si l'usuari nota la pèrdua a temps i ho notifica a l'administrador, el testimoni es bloquejarà i els esforços del defraudador seran en va. És per això que el factor de propietat requereix l'ús de dispositius segurs especialitzats (tokens) en lloc de dispositius d'ús general (telèfons intel·ligents).
L'ús dels tres factors farà que aquest mètode d'autenticació sigui bastant car d'implementar i bastant incòmode d'utilitzar. Per tant, normalment s'utilitzen dos de cada tres factors.
Els principis de l'autenticació de dos factors es descriuen amb més detall , al bloc "Com funciona l'autenticació de dos factors".
És important tenir en compte que almenys un dels factors d'autenticació utilitzats en l'autenticació forta ha d'utilitzar criptografia de clau pública.
L'autenticació forta proporciona una protecció molt més forta que l'autenticació d'un sol factor basada en contrasenyes clàssiques i MFA tradicional. Les contrasenyes es poden espiar o interceptar mitjançant keyloggers, llocs de pesca o atacs d'enginyeria social (on la víctima és enganyada perquè reveli la seva contrasenya). A més, el propietari de la contrasenya no sabrà res del robatori. L'MFA tradicional (inclosos codis OTP, vinculació a un telèfon intel·ligent o targeta SIM) també es pot piratejar amb força facilitat, ja que no es basa en criptografia de clau pública (Per cert, hi ha molts exemples quan, utilitzant les mateixes tècniques d'enginyeria social, els estafadors van persuadir els usuaris perquè els donés una contrasenya única.).
Afortunadament, l'ús de l'autenticació forta i l'MFA tradicional ha anat guanyant força des de l'any passat tant en aplicacions de consumidors com empresarials. L'ús de l'autenticació forta en aplicacions de consum ha crescut especialment ràpidament. Si el 2017 només el 5% de les empreses el van utilitzar, el 2018 ja va ser tres vegades més, el 16%. Això es pot explicar per l'augment de la disponibilitat de fitxes que admeten algorismes de criptografia de clau pública (PKC). A més, l'augment de la pressió dels reguladors europeus després de l'adopció de noves normes de protecció de dades com PSD2 i GDPR ha tingut un fort efecte fins i tot fora d'Europa (inclòs a Rússia).
Fem una ullada més de prop a aquests números. Com podem veure, el percentatge de particulars que utilitzen l'autenticació multifactorial ha crescut un 11% impressionant durant l'any. I això va passar clarament a costa dels amants de les contrasenyes, ja que els nombres d'aquells que creuen en la seguretat de les notificacions Push, els SMS i la biometria no han canviat.
Però amb l'autenticació de dos factors per a ús corporatiu, les coses no són tan bones. En primer lloc, segons l'informe, només el 5% dels empleats es van transferir de l'autenticació de contrasenya als testimonis. I en segon lloc, el nombre d'aquells que utilitzen opcions alternatives de MFA en un entorn corporatiu ha augmentat un 4%.
Intentaré fer d'analista i donar la meva interpretació. Al centre del món digital dels usuaris individuals hi ha el telèfon intel·ligent. Per tant, no és d'estranyar que la majoria utilitzin les capacitats que els proporciona el dispositiu: autenticació biomètrica, notificacions SMS i Push, així com contrasenyes d'un sol ús generades per les aplicacions del propi telèfon intel·ligent. La gent normalment no pensa en la seguretat i la fiabilitat quan utilitza les eines a les quals està acostumada.
És per això que el percentatge d'usuaris de factors d'autenticació “tradicionals” primitius es manté sense canvis. Però els que han utilitzat anteriorment contrasenyes entenen el risc que corren i, a l'hora de triar un nou factor d'autenticació, opten per l'opció més nova i segura: un testimoni criptogràfic.
Pel que fa al mercat corporatiu, és important entendre en quin sistema es porta a terme l'autenticació. Si s'implementa l'inici de sessió a un domini de Windows, s'utilitzen fitxes criptogràfiques. Les possibilitats d'utilitzar-los per a 2FA ja estan integrades tant a Windows com a Linux, però les opcions alternatives són llargues i difícils d'implementar. Tant per la migració del 5% de les contrasenyes als testimonis.
I la implementació de 2FA en un sistema d'informació corporatiu depèn molt de les qualificacions dels desenvolupadors. I és molt més fàcil per als desenvolupadors agafar mòduls ja preparats per generar contrasenyes d'una sola vegada que no pas comprendre el funcionament dels algorismes criptogràfics. I com a resultat, fins i tot aplicacions increïblement crítiques per a la seguretat, com ara els sistemes d'inici de sessió únic o de gestió d'accés privilegiat, utilitzen OTP com a segon factor.
Moltes vulnerabilitats en els mètodes d'autenticació tradicionals
Tot i que moltes organitzacions continuen depenent dels sistemes heretats d'un sol factor, les vulnerabilitats de l'autenticació multifactor tradicional són cada cop més evidents. Les contrasenyes d'un sol ús, normalment de sis a vuit caràcters de longitud, enviades per SMS, segueixen sent la forma més habitual d'autenticació (a més del factor de contrasenya, és clar). I quan les paraules "autenticació de dos factors" o "verificació en dos passos" s'esmenten a la premsa popular, gairebé sempre es refereixen a l'autenticació de contrasenya d'una sola vegada per SMS.
Aquí l'autor s'equivoca una mica. L'entrega de contrasenyes d'una sola vegada per SMS mai ha estat una autenticació de dos factors. Aquesta és, en la seva forma més pura, la segona etapa de l'autenticació en dos passos, on la primera etapa és introduir el vostre inici de sessió i contrasenya.
El 2016, l'Institut Nacional d'Estàndards i Tecnologia (NIST) va actualitzar les seves regles d'autenticació per eliminar l'ús de contrasenyes d'un sol ús enviades per SMS. Tanmateix, aquestes regles es van relaxar significativament després de les protestes del sector.
Per tant, seguim la trama. El regulador nord-americà reconeix amb raó que la tecnologia obsoleta no és capaç de garantir la seguretat dels usuaris i està introduint nous estàndards. Estàndards dissenyats per protegir els usuaris d'aplicacions en línia i mòbils (incloses les bancàries). La indústria està calculant quants diners haurà de gastar en comprar fitxes criptogràfiques realment fiables, redissenyar aplicacions, desplegar una infraestructura de clau pública i "aixecar sobre les potes posteriors". D'una banda, els usuaris estaven convençuts de la fiabilitat de les contrasenyes d'un sol ús, i de l'altra, hi havia atacs al NIST. Com a resultat, l'estàndard es va suavitzar i el nombre de pirates i robatoris de contrasenyes (i diners d'aplicacions bancàries) va augmentar molt. Però la indústria no va haver de pagar diners.
Des de llavors, les debilitats inherents a SMS OTP s'han fet més evidents. Els estafadors utilitzen diversos mètodes per comprometre els missatges SMS:
- Duplicació de la targeta SIM. Els atacants creen una còpia de la SIM (amb l'ajuda dels empleats de l'operador mòbil, o de manera independent, utilitzant programari i maquinari especials). Com a resultat, l'atacant rep un SMS amb una contrasenya única. En un cas especialment famós, els pirates informàtics fins i tot van poder comprometre el compte d'AT&T de l'inversor de criptomonedes Michael Turpin i robar prop de 24 milions de dòlars en criptomonedes. Com a resultat, Turpin va declarar que AT&T tenia la culpa a causa de les febles mesures de verificació que van provocar la duplicació de la targeta SIM.
Lògica sorprenent. Així que realment només és culpa d'AT&T? No, sens dubte és culpa de l'operador mòbil que els venedors de la botiga de comunicacions hagin emès una targeta SIM duplicada. Què passa amb el sistema d'autenticació d'intercanvi de criptomonedes? Per què no van utilitzar fitxes criptogràfiques fortes? Va ser una llàstima gastar diners en la implementació? No és el mateix Michael el culpable? Per què no va insistir a canviar el mecanisme d'autenticació o utilitzar només aquells intercanvis que implementen l'autenticació de dos factors basada en fitxes criptogràfiques?
La introducció de mètodes d'autenticació veritablement fiables es retarda precisament perquè els usuaris mostren una increïble negligència abans de la pirateria, i després culpen dels seus problemes a qualsevol persona i a qualsevol altra cosa que no siguin les antigues i les tecnologies d'autenticació amb fuites.
- Programari maliciós. Una de les primeres funcions del programari maliciós mòbil va ser interceptar i reenviar missatges de text als atacants. A més, els atacs man-in-the-browser i man-in-the-middle poden interceptar contrasenyes d'una sola vegada quan s'introdueixen en ordinadors portàtils o dispositius d'escriptori infectats.
Quan l'aplicació Sberbank del vostre telèfon intel·ligent parpelleja una icona verda a la barra d'estat, també cerca "programari maliciós" al vostre telèfon. L'objectiu d'aquest esdeveniment és convertir l'entorn d'execució no fiable d'un telèfon intel·ligent típic en, almenys d'alguna manera, un de confiança.
Per cert, un telèfon intel·ligent, com a dispositiu completament poc fiable en el qual es pot fer qualsevol cosa, és un altre motiu per utilitzar-lo per a l'autenticació. només fitxes de maquinari, que estan protegits i lliures de virus i troians. - Enginyeria social. Quan els estafadors saben que una víctima té OTP habilitats mitjançant SMS, poden posar-se en contacte amb la víctima directament, fent-se passar per una organització de confiança, com ara el seu banc o cooperativa de crèdit, per enganyar la víctima perquè li proporcioni el codi que acaben de rebre.
Personalment, m'he trobat amb aquest tipus de frau moltes vegades, per exemple, quan intentava vendre alguna cosa en un popular mercat de puces en línia. Jo mateix em vaig burlar de l'estafador que va intentar enganyar-me a gust. Però, per desgràcia, llegeixo regularment a les notícies com una altra víctima dels estafadors "no ho va pensar", va donar el codi de confirmació i va perdre una gran suma. I tot això és perquè el banc simplement no vol tractar amb la implementació de fitxes criptogràfiques a les seves aplicacions. Després de tot, si passa alguna cosa, els clients "tenen la culpa".
Tot i que els mètodes de lliurament OTP alternatius poden mitigar algunes de les vulnerabilitats d'aquest mètode d'autenticació, hi ha altres vulnerabilitats. Les aplicacions de generació de codi autònomes són la millor protecció contra l'escolta, ja que fins i tot el programari maliciós difícilment pot interactuar directament amb el generador de codi (de debò? L'autor de l'informe s'ha oblidat del control remot?), però les OTP encara es poden interceptar quan s'introdueixen al navegador (per exemple, utilitzant un keylogger), mitjançant una aplicació mòbil piratejada; i també es pot obtenir directament de l'usuari mitjançant l'enginyeria social.
Ús de múltiples eines d'avaluació de riscos, com ara el reconeixement de dispositius (detecció d'intents de realitzar transaccions des de dispositius que no pertanyen a un usuari legal), geolocalització (un usuari que acaba d'estar a Moscou intenta fer una operació des de Novosibirsk) i l'anàlisi del comportament són importants per abordar les vulnerabilitats, però cap solució és una panacea. Per a cada situació i tipus de dades, cal avaluar acuradament els riscos i triar quina tecnologia d'autenticació s'ha d'utilitzar.
Cap solució d'autenticació és una panacea
Figura 2. Taula d'opcions d'autenticació
| Autenticació | Factor | Descripció | Vulnerabilitats clau |
| Contrasenya o PIN | Coneixement | Valor fix, que pot incloure lletres, números i una sèrie d'altres caràcters | Pot ser interceptat, espiat, robat, recollit o piratejat |
| Autenticació basada en el coneixement | Coneixement | Pregunta les respostes que només un usuari legal pot conèixer | Es pot interceptar, recollir i obtenir mitjançant mètodes d'enginyeria social |
| OTP de maquinari () | Possessió | Un dispositiu especial que genera contrasenyes d'un sol ús | El codi pot ser interceptat i repetit, o el dispositiu pot ser robat |
| OTP de programari | Possessió | Una aplicació (mòbil, accessible a través d'un navegador o enviant codis per correu electrònic) que genera contrasenyes d'un sol ús | El codi pot ser interceptat i repetit, o el dispositiu pot ser robat |
| SMS OTP | Possessió | Contrasenya única enviada per missatge de text SMS | El codi pot ser interceptat i repetit, o es pot robar el telèfon intel·ligent o la targeta SIM, o la targeta SIM es pot duplicar |
| Targetes intel·ligents () | Possessió | Una targeta que conté un xip criptogràfic i una memòria de clau segura que utilitza una infraestructura de clau pública per a l'autenticació | Pot ser robat físicament (però un atacant no podrà utilitzar el dispositiu sense conèixer el codi PIN; en cas de diversos intents d'entrada incorrectes, el dispositiu es bloquejarà) |
| Claus de seguretat - fitxes (, ) | Possessió | Un dispositiu USB que conté un xip criptogràfic i una memòria de clau segura que utilitza una infraestructura de clau pública per a l'autenticació | Es pot robar físicament (però un atacant no podrà utilitzar el dispositiu sense conèixer el codi PIN; en cas de diversos intents d'entrada incorrectes, el dispositiu es bloquejarà) |
| Enllaç a un dispositiu | Possessió | El procés que crea un perfil, sovint utilitzant JavaScript, o utilitzant marcadors com ara galetes i Flash Shared Objects per assegurar-se que s'està utilitzant un dispositiu específic. | Les fitxes es poden robar (copiar) i un atacant pot imitar les característiques d'un dispositiu legal al seu dispositiu |
| Comportament | Inherència | Analitza com l'usuari interactua amb un dispositiu o programa | El comportament es pot imitar |
| Empremtes dactilars | Inherència | Les empremtes digitals emmagatzemades es comparen amb les capturades òpticament o electrònicament | La imatge es pot robar i utilitzar per a l'autenticació |
| Escaneig ocular | Inherència | Compara les característiques dels ulls, com ara el patró de l'iris, amb les noves exploracions òptiques | La imatge es pot robar i utilitzar per a l'autenticació |
| Reconeixement facial | Inherència | Les característiques facials es comparen amb les noves exploracions òptiques | La imatge es pot robar i utilitzar per a l'autenticació |
| Reconeixement de veu | Inherència | Es comparen les característiques de la mostra de veu gravada amb noves mostres | El registre es pot robar i utilitzar per a l'autenticació o emular-lo |
A la segona part de la publicació, ens esperen les coses més delicioses: números i fets, en què es basen les conclusions i recomanacions de la primera part. L'autenticació en aplicacions d'usuari i en sistemes corporatius es tractarà per separat.
Fins aviat!
Font: www.habr.com