Spoiler gikan sa ulohan sa taho: "Ang paggamit sa lig-on nga panghimatuud nagdugang tungod sa hulga sa bag-ong mga peligro ug mga kinahanglanon sa regulasyon."
Ang kompanya sa panukiduki nga "Javelin Strategy & Research" nagpatik sa taho nga "The State of Strong Authentication 2019" (). Kini nga taho nag-ingon: unsa nga porsyento sa mga kompanya sa Amerika ug Europe ang naggamit sa mga password (ug nganong pipila ka mga tawo ang naggamit sa mga password karon); ngano nga ang paggamit sa duha ka hinungdan nga panghimatuud nga gibase sa cryptographic nga mga token dali nga mitubo; Ngano nga ang usa ka higayon nga mga code nga gipadala pinaagi sa SMS dili luwas.
Bisan kinsa nga interesado sa karon, sa nangagi, ug sa umaabot nga pag-authenticate sa mga negosyo ug mga aplikasyon sa konsumidor giabiabi.
Gikan sa tighubad
Alaut, ang pinulongan diin gisulat kini nga taho medyo "uga" ug pormal. Ug ang lima ka beses nga paggamit sa pulong nga "authentication" sa usa ka mubo nga sentence dili ang hiwi nga mga kamot (o utok) sa maghuhubad, apan ang kapritso sa mga tagsulat. Kung naghubad gikan sa duha nga mga kapilian - aron mahatagan ang mga magbabasa sa usa ka teksto nga mas duol sa orihinal, o usa ka labi ka makapaikag, usahay gipili nako ang una, ug usahay ang ikaduha. Apan pagpailub, minahal nga mga magbabasa, ang mga sulud sa taho takus niini.
Ang pipila ka dili importante ug wala kinahanglana nga mga piraso alang sa istorya gikuha, kung dili ang kadaghanan dili unta makalusot sa tibuok nga teksto. Kadtong gustong mobasa sa taho nga βwala maputolβ makahimo niana sa orihinal nga pinulongan pinaagi sa pagsunod sa link.
Ikasubo, ang mga tagsulat dili kanunay mag-amping sa terminolohiya. Busa, ang usa ka higayon nga mga password (One Time Password - OTP) usahay gitawag nga "mga password", ug usahay "mga code". Mas grabe pa kini sa mga pamaagi sa pag-authenticate. Dili kanunay sayon ββalang sa wala mabansay nga magbabasa ang pagtag-an nga ang "pagpamatuod gamit ang mga yawe sa cryptographic" ug "lig-on nga pag-authenticate" parehas nga butang. Gisulayan nako nga mahiusa ang mga termino kutob sa mahimo, ug sa taho mismo adunay usa ka tipik sa ilang paghulagway.
Bisan pa, ang taho girekomenda nga basahon tungod kay kini adunay talagsaon nga mga resulta sa panukiduki ug husto nga mga konklusyon.
Ang tanan nga mga numero ug mga kamatuoran gipresentar nga walay bisan gamay nga mga pagbag-o, ug kung dili ka mouyon kanila, nan mas maayo nga makiglalis dili sa tighubad, apan sa mga tagsulat sa taho. Ug ania ang akong mga komento (gibutang ingon mga kinutlo, ug gimarkahan sa teksto Italyano) mao ang akong bili sa paghukom ug ako malipay nga makiglalis sa matag usa kanila (ingon man usab sa kalidad sa paghubad).
kinatibuk-ang paghulagway
Karong panahona, ang mga digital nga channel sa komunikasyon sa mga kustomer labi ka hinungdanon kaysa kaniadto alang sa mga negosyo. Ug sa sulod sa kompanya, ang mga komunikasyon tali sa mga empleyado mas nakapunting sa digital kaysa kaniadto. Ug kung unsa ka luwas kini nga mga interaksyon magdepende sa gipili nga pamaagi sa pag-authenticate sa gumagamit. Gigamit sa mga tig-atake ang huyang nga pag-authenticate aron daghan ang pag-hack sa mga account sa gumagamit. Agig tubag, gihigpitan sa mga regulator ang mga sumbanan aron mapugos ang mga negosyo nga labi nga mapanalipdan ang mga account ug datos sa gumagamit.
Ang mga hulga nga may kalabotan sa pag-authenticate milabaw pa sa mga aplikasyon sa konsumidor; ang mga tig-atake mahimo usab nga makakuha og access sa mga aplikasyon nga nagdagan sa sulod sa negosyo. Kini nga operasyon nagtugot kanila sa pagsundog sa mga tiggamit sa korporasyon. Ang mga tig-atake nga naggamit sa mga punto sa pag-access nga adunay huyang nga panghimatuud mahimong mangawat sa datos ug makahimo sa uban pang mga malimbungon nga kalihokan. Maayo na lang, adunay mga lakang aron mapugngan kini. Ang lig-on nga panghimatuud makatabang nga makunhuran ang peligro sa pag-atake sa usa ka tig-atake, pareho sa mga aplikasyon sa konsumedor ug sa mga sistema sa negosyo sa negosyo.
Gisusi niini nga pagtuon: giunsa pagpatuman sa mga negosyo ang panghimatuud aron mapanalipdan ang mga aplikasyon sa end-user ug mga sistema sa negosyo sa negosyo; mga butang nga ilang gikonsiderar sa pagpili sa usa ka authentication nga solusyon; ang papel nga gidula sa lig-on nga panghimatuud sa ilang mga organisasyon; ang mga benepisyo nga nadawat niini nga mga organisasyon.
Sumaryo
Pangunang mga kaplag
Sukad sa 2017, ang paggamit sa lig-on nga panghimatuud miuswag pag-ayo. Sa nagkadaghan nga mga kahuyangan nga nakaapekto sa tradisyonal nga mga solusyon sa pag-authenticate, gipalig-on sa mga organisasyon ang ilang mga kapabilidad sa pag-authenticate nga adunay lig-on nga pag-authenticate. Ang gidaghanon sa mga organisasyon nga naggamit sa cryptographic multi-factor authentication (MFA) mi-triple sukad sa 2017 alang sa mga aplikasyon sa konsyumer ug misaka sa halos 50% alang sa mga aplikasyon sa negosyo. Ang pinakapaspas nga pagtubo makita sa mobile authentication tungod sa nagkadaghang available nga biometric authentication.
Dinhi atong makita ang usa ka ilustrasyon sa panultihon nga "hangtud moigo ang dalugdog, ang usa ka tawo dili motabok sa iyang kaugalingon." Kung ang mga eksperto nagpasidaan bahin sa pagkawalay kasiguruhan sa mga password, walaβy usa nga nagdali sa pagpatuman sa duha ka hinungdan nga pag-authenticate. Sa diha nga ang mga hacker nagsugod sa pagpangawat sa mga password, ang mga tawo nagsugod sa pagpatuman sa duha ka hinungdan nga panghimatuud.
Tinuod, ang mga indibidwal mas aktibo nga nagpatuman sa 2FA. Una, mas sayon ββalang kanila nga pakalmahon ang ilang mga kahadlok pinaagi sa pagsalig sa biometric authentication nga gitukod sa mga smartphone, nga sa pagkatinuod dili kaayo kasaligan. Ang mga organisasyon kinahanglan nga mogasto og salapi sa pagpalit sa mga token ug ipatuman ang trabaho (sa tinuud, yano kaayo) aron ipatuman kini. Ug ikaduha, ang mga tapulan lamang nga mga tawo ang wala magsulat bahin sa mga pagtulo sa password gikan sa mga serbisyo sama sa Facebook ug Dropbox, apan sa bisan unsang kahimtang nga ang mga CIO sa kini nga mga organisasyon dili magpaambit sa mga istorya kung giunsa ang mga password gikawat (ug kung unsa ang sunod nga nahitabo) sa mga organisasyon.
Kadtong wala mogamit lig-on nga panghimatuud nagpakaubos sa ilang peligro sa ilang negosyo ug kustomer. Ang ubang mga organisasyon nga sa pagkakaron wala mogamit ug lig-on nga panghimatuod lagmit nga nagtan-aw sa mga login ug mga password isip usa sa labing epektibo ug sayon-gamiton nga mga pamaagi sa user authentication. Ang uban wala makakita sa bili sa digital assets nga ilang gipanag-iya. Pagkahuman, angay nga hunahunaon nga ang mga cybercriminal interesado sa bisan unsang kasayuran sa konsyumer ug negosyo. Dos-tersiya sa mga kompanya nga naggamit lamang og mga password aron sa pag-authenticate sa ilang mga empleyado ang nagbuhat niini tungod kay sila nagtuo nga ang mga password igo na alang sa matang sa impormasyon nga ilang gipanalipdan.
Bisan pa, ang mga password padulong sa lubnganan. Ang pagsalig sa password mius-os pag-ayo sa miaging tuig para sa mga aplikasyon sa konsyumer ug negosyo (gikan sa 44% ngadto sa 31%, ug gikan sa 56% ngadto sa 47%, matag usa) samtang ang mga organisasyon nagdugang sa ilang paggamit sa tradisyonal nga MFA ug lig-on nga pag-authenticate.
Apan kung atong tan-awon ang kahimtang sa kinatibuk-an, ang mga huyang nga pamaagi sa pag-authenticate nagpabilin gihapon. Para sa pag-authenticate sa user, mga un-kuwarto sa mga organisasyon naggamit og SMS OTP (one-time nga password) uban sa mga pangutana sa seguridad. Ingon usa ka sangputanan, ang dugang nga mga lakang sa seguridad kinahanglan ipatuman aron mapanalipdan batok sa pagkahuyang, nga nagdugang mga gasto. Ang paggamit sa mas luwas nga mga pamaagi sa pag-authenticate, sama sa hardware cryptographic nga mga yawe, gigamit nga dili kaayo kanunay, sa gibana-bana nga 5% sa mga organisasyon.
Ang nag-uswag nga palibot sa regulasyon nagsaad nga mapadali ang pagsagop sa lig-on nga pag-authenticate alang sa mga aplikasyon sa konsumedor. Uban sa pagpaila sa PSD2, ingon man usab sa bag-ong mga lagda sa pagpanalipod sa datos sa EU ug pipila ka mga estado sa US sama sa California, ang mga kompanya mibati sa kainit. Dul-an sa 70% sa mga kompanya ang miuyon nga nag-atubang sila og kusog nga presyur sa regulasyon aron mahatagan ang lig-on nga pag-authenticate sa ilang mga kostumer. Labaw sa katunga sa mga negosyo nagtuo nga sa sulod sa pipila ka tuig ang ilang mga pamaagi sa pag-authenticate dili igo aron matuman ang mga sumbanan sa regulasyon.
Ang kalainan sa mga pamaagi sa mga magbabalaod sa Russia ug American-European sa pagpanalipod sa personal nga datos sa mga tiggamit sa mga programa ug serbisyo klaro nga makita. Ang mga Ruso nag-ingon: minahal nga mga tag-iya sa serbisyo, buhata ang gusto nimo ug kung unsa ang gusto nimo, apan kung ang imong admin maghiusa sa database, silotan ka namon. Giingon nila sa gawas sa nasud: kinahanglan nimo nga ipatuman ang usa ka hugpong sa mga lakang nga dili motugot habwa ang base. Mao nga ang mga kinahanglanon alang sa estrikto nga two-factor authentication gipatuman didto.
Tinuod, kini layo sa usa ka kamatuoran nga ang atong legislative machine sa usa ka adlaw dili moabut sa iyang mga pagbati ug maghunahuna sa kasinatian sa Kasadpan. Unya kini nahimo nga ang tanan kinahanglan nga ipatuman ang 2FA, nga nagsunod sa mga sumbanan sa cryptographic sa Russia, ug dinalian.
Ang pag-establisar og lig-on nga balangkas sa pag-authenticate nagtugot sa mga kompanya sa pagbalhin sa ilang pokus gikan sa pagtagbo sa mga kinahanglanon sa regulasyon ngadto sa pagtagbo sa mga panginahanglanon sa kustomer. Alang sa mga organisasyon nga naggamit gihapon sa yano nga mga password o nakadawat mga code pinaagi sa SMS, ang labing hinungdanon nga hinungdan kung nagpili usa ka pamaagi sa pag-authenticate mao ang pagsunod sa mga kinahanglanon sa regulasyon. Apan kadtong mga kompaniya nga naggamit na og lig-on nga panghimatuod mahimong mag-focus sa pagpili niadtong mga pamaagi sa pag-authenticate nga makadugang sa pagkamaunongon sa kustomer.
Kung nagpili usa ka pamaagi sa pag-authenticate sa korporasyon sa sulod sa usa ka negosyo, ang mga kinahanglanon sa regulasyon dili na hinungdanon nga hinungdan. Sa kini nga kaso, ang kadali sa paghiusa (32%) ug gasto (26%) labi ka hinungdanon.
Sa panahon sa phishing, ang mga tig-atake mahimong mogamit sa corporate email sa scam sa malimbongon nga pag-angkon og access sa data, mga asoy (nga adunay tukma nga access katungod), ug bisan sa pagkombinsir sa mga empleyado sa paghimo sa usa ka money transfer ngadto sa iyang account. Busa, ang corporate email ug portal nga mga account kinahanglan nga labi nga mapanalipdan.
Gipalig-on sa Google ang seguridad niini pinaagi sa pagpatuman sa lig-on nga panghimatuud. Kapin sa duha ka tuig ang milabay, gipatik sa Google ang usa ka taho sa pagpatuman sa duha ka hinungdan nga panghimatuud base sa mga yawe sa seguridad sa cryptographic gamit ang sumbanan sa FIDO U2F, nga nagreport sa mga impresibo nga resulta. Sumala sa kompanya, walay bisan usa ka pag-atake sa phishing ang gihimo batok sa kapin sa 85 ka mga empleyado.
rekomendasyon
Ipatuman ang lig-on nga panghimatuud alang sa mga aplikasyon sa mobile ug online. Ang multi-factor authentication base sa cryptographic keys naghatag ug mas maayo nga proteksyon batok sa hacking kay sa tradisyonal nga mga pamaagi sa MFA. Dugang pa, ang paggamit sa cryptographic nga mga yawe mas sayon ββtungod kay dili kinahanglan nga gamiton ug ibalhin ang dugang nga impormasyon - mga password, usa ka higayon nga mga password o biometric data gikan sa device sa user ngadto sa authentication server. Dugang pa, ang pag-standardize sa mga protocol sa pag-authenticate makapasayon ββsa pagpatuman sa bag-ong mga pamaagi sa pag-authentication kung kini magamit, pagkunhod sa gasto sa pagpatuman ug pagpanalipod batok sa mas sopistikado nga mga laraw sa pagpanglimbong.
Pag-andam alang sa pagkamatay sa usa ka higayon nga mga password (OTP). Ang mga kahuyangan nga anaa sa mga OTP nahimong mas dayag samtang ang mga cybercriminal naggamit sa social engineering, smartphone cloning ug malware aron ikompromiso kining mga paagi sa pag-authenticate. Ug kung ang mga OTP sa pipila ka mga kaso adunay pipila nga mga bentaha, nan gikan lamang sa punto sa pagtan-aw sa unibersal nga magamit alang sa tanan nga mga tiggamit, apan dili gikan sa punto sa panglantaw sa seguridad.
Imposible nga dili makamatikod nga ang pagdawat sa mga code pinaagi sa SMS o Push nga mga abiso, ingon man ang paghimo og mga code gamit ang mga programa alang sa mga smartphone, mao ang paggamit sa parehas nga usa ka higayon nga mga password (OTP) diin gihangyo kami nga mangandam alang sa pagkunhod. Gikan sa usa ka teknikal nga punto sa panglantaw, ang solusyon husto kaayo, tungod kay kini usa ka talagsaon nga mangingilad nga dili mosulay sa pagpangita sa usa ka higayon nga password gikan sa usa ka malimbongon nga tiggamit. Apan sa akong hunahuna nga ang mga tiggama sa ingon nga mga sistema mogunit sa himatyon nga teknolohiya hangtod sa katapusan.
Paggamit lig-on nga panghimatuud ingon usa ka himan sa pagpamaligya aron madugangan ang pagsalig sa kostumer. Ang lig-on nga pag-authenticate makahimo labaw pa sa pagpauswag sa aktwal nga seguridad sa imong negosyo. Ang pagpahibalo sa mga kustomer nga ang imong negosyo naggamit ug lig-on nga pag-authenticate makapalig-on sa panglantaw sa publiko sa seguridad sa maong negosyoβusa ka importante nga butang kung adunay mahinungdanong panginahanglan sa kustomer alang sa lig-on nga mga pamaagi sa pag-authenticate.
Paghimo usa ka bug-os nga imbentaryo ug pagtimbang-timbang sa kritikalidad sa datos sa korporasyon ug panalipdan kini sumala sa kamahinungdanon. Bisan ang ubos nga peligro nga datos sama sa impormasyon sa pagkontak sa kustomer (dili, sa tinuud, ang taho nag-ingon nga "low-risk", talagsaon kaayo nga ilang gipakamenos ang importansya niini nga impormasyon), makadalag mahinungdanong bili sa mga mangingilad ug makapahinabog mga problema sa kompaniya.
Paggamit lig-on nga panghimatuud sa negosyo. Daghang mga sistema ang labing madanihon nga target alang sa mga kriminal. Naglakip kini sa mga internal ug konektado sa Internet nga mga sistema sama sa usa ka programa sa accounting o usa ka bodega sa datos sa korporasyon. Ang lig-on nga pag-authenticate nagpugong sa mga tig-atake sa pag-angkon sa dili awtorisado nga pag-access, ug naghimo usab nga posible nga tukma nga mahibal-an kung kinsa nga empleyado ang nakahimo sa makadaot nga kalihokan.
Unsa ang Strong Authentication?
Kung naggamit ug lig-on nga panghimatuud, daghang mga pamaagi o mga hinungdan ang gigamit aron mapamatud-an ang pagkamatinuoron sa tiggamit:
- Kahibalo hinungdan: gipaambit nga sekreto tali sa tiggamit ug sa gipamatud-an nga hilisgutan sa tiggamit (sama sa mga password, mga tubag sa mga pangutana sa seguridad, ug uban pa)
- hinungdan sa pagpanag-iya: usa ka himan nga ang user ra ang adunay (pananglitan, usa ka mobile device, usa ka cryptographic nga yawe, ug uban pa)
- Integridad nga hinungdan: pisikal (kasagaran biometric) nga mga kinaiya sa tiggamit (pananglitan, fingerprint, iris pattern, tingog, pamatasan, ug uban pa)
Ang panginahanglan sa pag-hack sa daghang mga hinungdan labi nga nagdugang sa posibilidad sa kapakyasan sa mga tig-atake, tungod kay ang pag-bypass o paglimbong sa lainlaing mga hinungdan nanginahanglan paggamit sa daghang mga lahi sa mga taktika sa pag-hack, alang sa matag hinungdan nga gilain.
Pananglitan, uban sa 2FA "password + smartphone," ang usa ka tig-atake makahimo sa pag-authentication pinaagi sa pagtan-aw sa password sa user ug paghimo sa eksaktong software nga kopya sa iyang smartphone. Ug kini mas lisud kay sa pagpangawat lang og password.
Apan kung ang usa ka password ug usa ka cryptographic token gigamit alang sa 2FA, nan ang kapilian sa pagkopya dili molihok dinhi - imposible nga madoble ang token. Kinahanglang kawatan sa mangingilad ang token gikan sa tiggamit. Kung namatikdan sa tiggamit ang pagkawala sa oras ug gipahibalo ang admin, ang token ma-block ug ang mga paningkamot sa mangingilad mahimong kawang. Mao kini ang hinungdan nga ang hinungdan sa pagpanag-iya nanginahanglan sa paggamit sa mga espesyal nga luwas nga aparato (mga token) kaysa sa mga aparato nga pangkinatibuk-an (mga smartphone).
Ang paggamit sa tanan nga tulo ka mga hinungdan maghimo niini nga pamaagi sa pag-authenticate nga medyo mahal nga ipatuman ug medyo dili kombenyente nga gamiton. Busa, duha sa tulo ka mga butang ang kasagarang gigamit.
Ang mga prinsipyo sa two-factor authentication gihulagway sa mas detalyado , sa block nga "Giunsa ang duha ka hinungdan nga pag-authenticate".
Mahinungdanon nga timan-an nga labing menos usa sa mga hinungdan sa panghimatuud nga gigamit sa lig-on nga panghimatuud kinahanglan nga mogamit sa publiko nga yawe nga kriptograpiya.
Ang lig-on nga authentication naghatag ug mas lig-on nga proteksyon kay sa single-factor authentication base sa classic nga mga password ug tradisyonal nga MFA. Ang mga password mahimong espiya o ma-intercept gamit ang keyloggers, phishing site, o social engineering attacks (diin ang biktima gilimbongan sa pagpadayag sa ilang password). Dugang pa, ang tag-iya sa password wala mahibalo sa bisan unsa mahitungod sa pagpangawat. Ang tradisyonal nga MFA (lakip ang mga OTP code, nagbugkos sa usa ka smartphone o SIM card) dali ra usab ma-hack, tungod kay wala kini gibase sa public key cryptography (Pinaagi sa dalan, adunay daghang mga pananglitan kung, gamit ang parehas nga mga pamaagi sa social engineering, ang mga scammers nagdani sa mga tiggamit nga hatagan sila usa ka higayon nga password.).
Maayo na lang, ang paggamit sa lig-on nga panghimatuud ug tradisyonal nga MFA nakakuha og traksyon sa parehas nga aplikasyon sa mga konsumedor ug negosyo sukad sa miaging tuig. Ang paggamit sa lig-on nga panghimatuud sa mga aplikasyon sa mga konsumedor labi ka paspas nga mitubo. Kung sa 2017 5% ra sa mga kompanya ang naggamit niini, nan sa 2018 kini tulo ka beses nga labi pa - 16%. Mahimo kining ipasabut pinaagi sa dugang nga pagkaanaa sa mga token nga nagsuporta sa mga algorithm sa Public Key Cryptography (PKC). Dugang pa, ang dugang nga presyur gikan sa mga regulator sa Europa pagkahuman sa pagsagop sa bag-ong mga lagda sa pagpanalipod sa datos sama sa PSD2 ug GDPR adunay kusog nga epekto bisan sa gawas sa Europe (lakip sa Russia).
Atong tan-awon pag-ayo kining mga numero. Sama sa atong nakita, ang porsyento sa mga pribadong indibidwal nga naggamit sa multi-factor authentication miuswag sa usa ka impresibo nga 11% sa tuig. Ug kini klaro nga nahitabo sa gasto sa mga mahigugmaon sa password, tungod kay ang gidaghanon sa mga nagtuo sa seguridad sa Push notifications, SMS ug biometrics wala mausab.
Apan sa duha ka hinungdan nga panghimatuud alang sa paggamit sa korporasyon, ang mga butang dili kaayo maayo. Una, sumala sa taho, 5% ra sa mga empleyado ang gibalhin gikan sa pag-authenticate sa password ngadto sa mga token. Ug ikaduha, ang gidaghanon sa mga naggamit sa alternatibong mga opsyon sa MFA sa usa ka corporate environment misaka sa 4%.
Maningkamot ko nga magdula og analista ug mohatag sa akong interpretasyon. Sa sentro sa digital nga kalibutan sa mga indibidwal nga tiggamit mao ang smartphone. Busa, dili ikatingala nga ang kadaghanan naggamit sa mga kapabilidad nga gihatag kanila sa device - biometric authentication, SMS ug Push notifications, ingon man usa ka higayon nga mga password nga gihimo sa mga aplikasyon sa smartphone mismo. Ang mga tawo kasagarang dili maghunahuna bahin sa kaluwasan ug kasaligan sa paggamit sa mga himan nga ilang naandan.
Mao kini ang hinungdan ngano nga ang porsyento sa mga tiggamit sa karaan nga "tradisyonal" nga mga hinungdan sa pag-authenticate nagpabilin nga wala mausab. Apan kadtong nakagamit kaniadto og mga password nakasabut kung unsa ka dako ang ilang peligro, ug kung nagpili usa ka bag-ong hinungdan sa pag-authenticate, gipili nila ang labing bag-o ug labing luwas nga kapilian - usa ka token sa cryptographic.
Sama sa alang sa merkado sa korporasyon, hinungdanon nga masabtan kung diin gihimo ang pag-authenticate sa sistema. Kung gipatuman ang pag-login sa usa ka domain sa Windows, gigamit ang mga token sa cryptographic. Ang mga posibilidad sa paggamit niini alang sa 2FA natukod na sa Windows ug Linux, apan ang alternatibong mga kapilian dugay ug lisud ipatuman. Daghan kaayo alang sa paglalin sa 5% gikan sa mga password ngadto sa mga token.
Ug ang pagpatuman sa 2FA sa usa ka corporate information system nagdepende kaayo sa mga kwalipikasyon sa mga developers. Ug mas sayon ββββalang sa mga developers ang pagkuha sa andam nga mga module alang sa pagmugna og usa ka higayon nga mga password kay sa pagsabut sa operasyon sa cryptographic algorithms. Ug ingon usa ka sangputanan, bisan ang dili katuohan nga kritikal nga seguridad nga aplikasyon sama sa Single Sign-On o Privileged Access Management nga mga sistema naggamit sa OTP ingon usa ka ikaduha nga hinungdan.
Daghang mga kahuyangan sa tradisyonal nga mga pamaagi sa pag-authenticate
Samtang daghang mga organisasyon ang nagpabiling nagsalig sa kabilin nga single-factor nga sistema, ang mga kahuyangan sa tradisyonal nga multi-factor nga pag-authenticate nahimong labi nga dayag. Ang usa ka higayon nga mga password, kasagaran unom ngadto sa walo ka mga karakter ang gitas-on, nga gihatud pinaagi sa SMS, nagpabilin nga labing komon nga porma sa pag-authenticate (gawas sa password factor, siyempre). Ug kung ang mga pulong nga "two-factor authentication" o "two-step verification" gihisgutan sa sikat nga press, halos kanunay silang nagtumong sa SMS nga usa ka higayon nga pag-authenticate sa password.
Dinhi ang tagsulat usa ka gamay nga sayup. Ang paghatud sa usa ka higayon nga mga password pinaagi sa SMS dili gyud duha ka hinungdan nga panghimatuud. Kini sa labing putli nga porma ang ikaduha nga yugto sa duha ka lakang nga panghimatuud, diin ang una nga yugto mao ang pagsulod sa imong login ug password.
Sa 2016, gi-update sa National Institute of Standards and Technology (NIST) ang mga lagda sa pag-authentication aron mawagtang ang paggamit sa usa ka higayon nga mga password nga gipadala pinaagi sa SMS. Bisan pa, kini nga mga lagda labi ka relaks pagkahuman sa mga protesta sa industriya.
Busa, atong sundon ang laraw. Husto nga giila sa American regulator nga ang karaan nga teknolohiya dili makahimo sa pagsiguro sa kaluwasan sa tiggamit ug nagpaila sa bag-ong mga sumbanan. Mga sumbanan nga gidisenyo aron mapanalipdan ang mga tiggamit sa online ug mobile nga mga aplikasyon (lakip ang mga banking). Ang industriya nagkalkula kung pila ang salapi nga kinahanglan igasto sa pagpalit sa tinuud nga kasaligan nga mga token sa crypto, pagdesinyo pag-usab sa mga aplikasyon, pag-deploy sa usa ka publiko nga yawe nga imprastraktura, ug "nagsaka sa likod nga mga bitiis." Sa usa ka bahin, ang mga tiggamit kombinsido sa pagkakasaligan sa usa ka higayon nga mga password, ug sa laing bahin, adunay mga pag-atake sa NIST. Ingon usa ka sangputanan, ang sumbanan nahumok, ug ang gidaghanon sa mga hack ug pagpangawat sa mga password (ug salapi gikan sa mga aplikasyon sa pagbabangko) kusog nga mitaas. Apan ang industriya dili kinahanglan nga mag-shell sa salapi.
Sukad niadto, ang kinaiyanhon nga mga kahuyang sa SMS OTP nahimong mas dayag. Ang mga mangingilad naggamit ug lain-laing mga paagi sa pagkompromiso sa mga mensahe sa SMS:
- Pagdoble sa SIM card. Ang mga tig-atake naghimo og kopya sa SIM (uban sa tabang sa mga empleyado sa mobile operator, o independente, gamit ang espesyal nga software ug hardware). Ingon usa ka sangputanan, ang tig-atake nakadawat usa ka SMS nga adunay usa ka higayon nga password. Sa usa ka partikular nga bantog nga kaso, ang mga hacker nakahimo pa sa pagkompromiso sa AT&T nga asoy sa cryptocurrency investor nga si Michael Turpin, ug gikawat ang hapit $24 milyon sa mga cryptocurrencies. Ingon usa ka sangputanan, gipahayag ni Turpin nga ang AT&T ang nakasala tungod sa huyang nga mga lakang sa pag-verify nga misangpot sa pagdoble sa SIM card.
Talagsaon nga lohika. Mao nga sala ra gyud sa AT&T? Dili, sa walay duhaduha sala sa mobile operator nga ang mga tindera sa tindahan sa komunikasyon nag-isyu og duplicate nga SIM card. Unsa ang mahitungod sa cryptocurrency exchange authentication system? Ngano nga wala sila mogamit kusog nga mga token sa cryptographic? Makaluluoy ba ang paggasto sa implementasyon? Dili ba si Michael mismo ang mabasol? Ngano nga wala siya moinsistir sa pagbag-o sa mekanismo sa pag-authenticate o paggamit lamang sa mga pagbinayloay nga nagpatuman sa two-factor authentication base sa mga cryptographic token?
Ang pagpaila sa tinuod nga kasaligan nga mga pamaagi sa pag-authenticate tukma nga nalangan tungod kay ang mga tiggamit nagpakita sa talagsaon nga pagkawalay pagtagad sa wala pa ang pag-hack, ug pagkahuman ilang gibasol ang ilang mga kasamok sa bisan kinsa ug bisan unsa gawas sa karaan ug "leaky" nga mga teknolohiya sa pag-authenticate
- Malware. Usa sa labing una nga gimbuhaton sa mobile malware mao ang pag-intercept ug pagpasa sa mga text message ngadto sa mga tig-atake. Usab, ang man-in-the-browser ug man-in-the-middle nga mga pag-atake mahimong makapugong sa usa ka higayon nga mga password kung kini gisulod sa nataptan nga mga laptop o desktop device.
Kung ang aplikasyon sa Sberbank sa imong smartphone nagpakidlap sa usa ka berde nga icon sa status bar, nangita usab kini nga "malware" sa imong telepono. Ang tumong niini nga panghitabo mao ang paghimo sa dili kasaligan nga palibot sa pagpatay sa usa ka tipikal nga smartphone ngadto sa, bisan sa usa ka paagi, usa ka kasaligan.
Pinaagi sa dalan, ang usa ka smartphone, ingon usa ka hingpit nga dili kasaligan nga aparato diin mahimo ang bisan unsang butang, usa pa nga hinungdan nga gamiton kini alang sa pag-authenticate. hardware token lang, nga gipanalipdan ug walay mga virus ug Trojans. - Social engineering. Kung nahibal-an sa mga scammers nga ang usa ka biktima adunay mga OTP nga gipagana pinaagi sa SMS, mahimo nilang kontakon ang biktima direkta, nga nagpakaaron-ingnon nga usa ka kasaligan nga organisasyon sama sa ilang bangko o credit union, aron linglahon ang biktima sa paghatag sa code nga bag-o lang nila nadawat.
Ako personal nga nakasugat niini nga matang sa pagpanglimbong sa daghang mga higayon, pananglitan, sa dihang misulay sa pagbaligya sa usa ka butang sa usa ka popular nga online nga pulgas nga merkado. Ako mismo nagbiaybiay sa mangingilad nga misulay sa pagbinuang kanako sa akong kasingkasing. Apan alaot, kanunay kong nagbasa sa balita kung giunsa ang usa pa nga biktima sa mga scammers "wala maghunahuna," naghatag sa code sa pagkumpirma ug nawala ang usa ka dako nga kantidad. Ug kining tanan tungod kay ang bangko dili gusto nga atubangon ang pagpatuman sa mga cryptographic token sa mga aplikasyon niini. Pagkahuman, kung adunay mahitabo, ang mga kliyente "adunay ilang kaugalingon nga mabasol."
Samtang ang mga alternatibong pamaagi sa paghatod sa OTP mahimong makapakunhod sa pipila ka mga kahuyangan niining pamaagi sa pag-authenticate, ang ubang mga kahuyangan nagpabilin. Ang standalone code generation applications mao ang pinakamaayong proteksyon batok sa eavesdropping, tungod kay bisan ang malware halos dili direktang makig-interact sa code generator (seryoso? Nakalimot ba ang tagsulat sa taho bahin sa remote control?), apan ang mga OTP mahimo gihapon nga ma-intercept kon mosulod sa browser (pananglitan gamit ang keylogger), pinaagi sa gi-hack nga mobile application; ug mahimo usab nga makuha direkta gikan sa tiggamit gamit ang social engineering.
Paggamit sa daghang mga himan sa pagsusi sa peligro sama sa pag-ila sa aparato (detection sa mga pagsulay sa pagbuhat sa mga transaksyon gikan sa mga himan nga dili iya sa usa ka legal nga user), geolocation (ang usa ka user nga bag-o lang nakaadto sa Moscow misulay sa paghimo sa usa ka operasyon gikan sa Novosibirsk) ug pag-analisa sa pamatasan hinungdanon alang sa pagsulbad sa mga kahuyangan, apan walay solusyon nga usa ka panacea. Alang sa matag sitwasyon ug matang sa datos, gikinahanglan ang pag-usisa pag-ayo sa mga risgo ug pagpili kung unsang teknolohiya sa pag-authenticate ang angay gamiton.
Walay authentication solution kay usa ka panacea
Figure 2. Authentication nga mga kapilian sa lamesa
| Pagpanghimatuud | Hinungdan | paghulagway | Pangunang kahuyang |
| Password o PIN | Ang kahibalo | Naayo nga kantidad, nga mahimong maglakip sa mga letra, numero ug daghang uban pang mga karakter | Mahimong ma-intercept, maniid, makawat, mapunit o ma-hack |
| Panghimatuud nga nakabase sa kahibalo | Ang kahibalo | Gipangutana ang mga tubag nga nahibal-an ra sa usa ka ligal nga tiggamit | Mahimong ma-intercept, mapunit, makuha gamit ang mga pamaagi sa social engineering |
| Hardware OTP () | Pagpanag-iya | Usa ka espesyal nga aparato nga nagmugna usa ka higayon nga mga password | Ang code mahimong ma-intercept ug masubli, o ang device mahimong kawaton |
| Mga OTP sa software | Pagpanag-iya | Usa ka aplikasyon (mobile, ma-access pinaagi sa browser, o pagpadala og mga code pinaagi sa e-mail) nga makamugna og usa ka higayon nga mga password | Ang code mahimong ma-intercept ug masubli, o ang device mahimong kawaton |
| SMS OTP | Pagpanag-iya | Usa ka higayon nga password nga gihatag pinaagi sa SMS text message | Ang code mahimong ma-intercept ug masubli, o ang smartphone o SIM card mahimong kawaton, o ang SIM card mahimong doblehon |
| Mga smart card () | Pagpanag-iya | Usa ka kard nga adunay sulud nga cryptographic chip ug usa ka luwas nga yawe nga panumduman nga naggamit usa ka publiko nga yawe nga imprastraktura alang sa pag-authenticate | Mahimong pisikal nga gikawat (apan ang usa ka tig-atake dili makagamit sa aparato nga wala nahibal-an ang PIN code; sa kaso sa daghang sayop nga mga pagsulay sa pag-input, ang aparato ma-block) |
| Mga yawe sa seguridad - mga token (, ) | Pagpanag-iya | Usa ka USB device nga adunay usa ka cryptographic chip ug luwas nga key memory nga naggamit sa usa ka public key infrastructure para sa authentication | Mahimong pisikal nga kawaton (apan ang tig-atake dili makagamit sa device nga wala mahibalo sa PIN code; sa kaso sa daghang sayop nga pagsulay sa pagsulod, ang device ma-block) |
| Pag-link sa usa ka aparato | Pagpanag-iya | Ang proseso nga nagmugna og profile, kasagaran naggamit sa JavaScript, o naggamit og mga marker sama sa cookies ug Flash Shared Objects aron masiguro nga ang usa ka piho nga device gigamit | Ang mga token mahimong kawaton (kopyahan), ug ang mga kinaiya sa usa ka legal nga himan mahimong masundog sa usa ka tig-atake sa iyang device |
| Paggawi | Kabilin | Pag-analisar kung giunsa ang user makig-uban sa usa ka aparato o programa | Mahimong masundog ang pamatasan |
| Mga fingerprint | Kabilin | Ang gitipigan nga mga fingerprint gitandi sa mga nakuha sa optical o elektronik nga paagi | Mahimong kawaton ang imahe ug gamiton alang sa pag-authenticate |
| Pag-scan sa mata | Kabilin | Itandi ang mga kinaiya sa mata, sama sa pattern sa iris, nga adunay bag-ong optical scan | Mahimong kawaton ang imahe ug gamiton alang sa pag-authenticate |
| Pag-ila sa nawong | Kabilin | Ang mga kinaiya sa nawong gitandi sa bag-ong optical scan | Mahimong kawaton ang imahe ug gamiton alang sa pag-authenticate |
| Pag-ila sa tingog | Kabilin | Ang mga kinaiya sa narekord nga sample sa tingog gitandi sa bag-ong mga sample | Ang rekord mahimong kawaton ug gamiton alang sa pag-authenticate, o sundogon |
Sa ikaduhang bahin sa publikasyon, ang labing lamian nga mga butang naghulat kanato - mga numero ug mga kamatuoran, diin ang mga konklusyon ug rekomendasyon nga gihatag sa unang bahin gibase. Ang pag-authenticate sa mga aplikasyon sa gumagamit ug sa mga sistema sa korporasyon hisgutan nga gilain.
Makita nimo sa dili madugay!
Source: www.habr.com