Spoiler da u titulu di u rapportu: "L'usu di l'autentificazione forte aumenta per via di a minaccia di novi risichi è esigenze regulatorie".
A cumpagnia di ricerca "Javelin Strategy & Research" hà publicatu u rapportu "U Statu di Strong Authentication 2019" (). Stu rapportu dice: chì percentuale di l'imprese americane è europee utilizanu password (è perchè pocu persone utilizanu password avà); perchè l'usu di l'autentificazione à dui fattori basati nantu à i tokens criptografici cresce cusì rapidamente; Perchè i codici una volta mandati via SMS ùn sò micca sicuri.
Qualchidunu interessatu in u presente, u passatu è u futuru di l'autentificazione in l'imprese è l'applicazioni di i cunsumatori hè benvenutu.
Da u traduttore
Alas, a lingua in quale stu rapportu hè scrittu hè abbastanza "secca" è formale. E cinque volte l'usu di a parolla "autentificazione" in una frase corta ùn hè micca e mani storte (o cervelli) di u traduttore, ma u capriccio di l'autori. Quandu si traduce da duie opzioni - per dà à i lettori un testu più vicinu à l'uriginale, o un più interessante, qualchì volta hà sceltu u primu, è qualchì volta u sicondu. Ma siate pazienti, cari lettori, u cuntenutu di u rapportu vale a pena.
Certi pezzi senza impurtanza è innecessarii per a storia sò stati eliminati, altrimenti a maiuranza ùn saria micca pussutu passà per tuttu u testu. Quelli chì vulianu leghje u rapportu "uncut" ponu fà in a lingua originale seguitendu u ligame.
Sfortunatamente, l'autori ùn sò micca sempre attenti à a terminologia. Cusì, e password una volta (One Time Password - OTP) sò qualchì volta chjamati "password", è à volte "codici". Hè ancu peggiu cù i metudi di autentificazione. Ùn hè micca sempre faciule per u lettore senza furmazione per invintà chì "autentificazione cù chjavi criptografici" è "autentificazione forte" sò a stessa cosa. Aghju pruvatu à unificà i termini quantu pussibule, è in u rapportu stessu ci hè un fragmentu cù a so descrizzione.
Tuttavia, u rapportu hè assai cunsigliatu di lettura perchè cuntene risultati di ricerca unichi è cunclusioni currette.
Tutti i figuri è i fatti sò presentati senza i più minimi cambiamenti, è se ùn avete micca d'accordu cun elli, allora hè megliu discutiri micca cù u traduttore, ma cù l'autori di u rapportu. È quì sò i mo cumenti (disposti cum'è citazioni, è marcati in u testu Talianu) sò u mo ghjudiziu di valore è seraghju cuntentu di argumentà nantu à ognuna di elli (in quantu à a qualità di a traduzzione).
riassuntu
Oghje, i canali digitale di cumunicazione cù i clienti sò più impurtanti chè mai per l'imprese. È in a cumpagnia, e cumunicazioni trà l'impiegati sò più orientate digitalmente chè mai. E quantu sicure queste interazzione seranu dipende da u metudu sceltu di l'autentificazione di l'utilizatori. L'attaccanti utilizanu l'autentificazione debule per pirate in massa i cunti d'utilizatori. In risposta, i regulatori stringenu i normi per furzà l'imprese à prutege megliu i cunti di l'utilizatori è e dati.
E minacce legate à l'autenticazione si estendenu oltre l'applicazioni di i cunsumatori, l'attaccanti ponu ancu accede à l'applicazioni in esecuzione in l'impresa. Questa operazione li permette di impersonà l'utilizatori corporativi. L'attaccanti chì utilizanu punti d'accessu cù autentificazione debule ponu arrubbari dati è eseguisce altre attività fraudulente. Fortunatamente, ci sò misure per cumbatte questu. L'autenticazione forte aiuterà à riduce significativamente u risicu di l'attaccu da un attaccu, sia nantu à l'applicazioni di i cunsumatori sia in i sistemi di l'impresa di l'impresa.
Stu studiu esamina: cumu l'imprese implementanu l'autentificazione per prutege l'applicazioni di l'utilizatori finali è i sistemi di cummerciale di l'impresa; fattori chì cunsidereghjanu quandu sceglie una suluzione di autentificazione; u rolu chì l'autentificazione forte ghjoca in e so urganisazione; i benefici chì queste urganisazioni ricevenu.
Resumen
Risultati chjave
Dapoi u 2017, l'usu di l'autentificazione forte hè aumentatu drasticamente. Cù u crescente numeru di vulnerabilità chì afectanu e soluzioni di autentificazione tradiziunali, l'urganisazioni rinfurzanu e so capacità di autentificazione cù una forte autentificazione. U numaru d'urganisazioni chì utilizanu l'autenticazione multifattore criptografica (MFA) hà triplicatu da 2017 per l'applicazioni di i cunsumatori è aumentatu da quasi 50% per l'applicazioni di l'impresa. A crescita più veloce hè vistu in l'autentificazione mobile per via di a crescente dispunibilità di l'autentificazione biometrica.
Quì vedemu un'illustrazione di u dittu "finu à u tronu, un omu ùn si cruciera". Quandu l'esperti anu avvistatu annantu à l'insicurità di e password, nimu era in furia per implementà l'autentificazione à dui fattori. Appena i pirate anu cuminciatu à arrubbari password, a ghjente hà cuminciatu à implementà l'autentificazione à dui fattori.
Hè veru, l'individui sò assai più attivamente implementendu 2FA. Prima, hè più faciule per elli à calmà e so paure cunfidendu à l'autentificazione biometrica integrata in i smartphones, chì hè in fattu assai inaffidabile. L'urganisazioni anu bisognu di gastru soldi per cumprà tokens è fà u travagliu (in fatti, assai simplice) per implementà. E in segundu, solu i pigri ùn anu micca scrittu annantu à e fughe di password da servizii cum'è Facebook è Dropbox, ma in nisuna circustanza i CIO di queste urganisazioni sparteranu storie nantu à cumu i password sò stati arrubati (è ciò chì successe dopu) in l'urganisazione.
Quelli chì ùn utilizanu micca autentificazione forte sò sottovalutendu u so risicu per i so affari è i clienti. Alcune urganisazioni chì ùn anu micca aduprà autentificazione forte tendenu à vede logins è password cum'è unu di i metudi più efficaci è faciuli di l'autentificazione di l'utilizatori. L'altri ùn vedenu micca u valore di l'assi digitale chì pussede. Dopu tuttu, vale a pena cunsiderà chì i cibercriminali sò interessate in ogni infurmazione di u cunsumadore è di l'affari. Dui terzi di l'imprese chì utilizanu solu password per autentificà i so impiegati facenu cusì perchè crede chì e password sò abbastanza boni per u tipu d'infurmazione chì prutegge.
Tuttavia, i password sò in strada per a tomba. A dependenza di password hè diminuita significativamente in l'ultimu annu per l'applicazioni di u cunsumadore è di l'imprese (da 44% à 31%, è da 56% à 47%, rispettivamente) postu chì l'urganisazioni aumentanu u so usu di MFA tradiziunale è autentificazione forte.
Ma se guardemu a situazione in tuttu, i metudi di autentificazione vulnerabili prevalenu sempre. Per l'autentificazione di l'utilizatori, circa un quartu di l'urganisazioni utilizanu SMS OTP (password unica) cù e dumande di sicurezza. In u risultatu, misure di sicurezza supplementari devenu esse implementate per pruteggiri contra a vulnerabilità, chì aumenta i costi. L'usu di metudi d'autentificazione assai più sicuri, cum'è e chjave di criptografia di hardware, hè utilizatu assai menu freti, in circa 5% di l'urganisazione.
L'ambienti regulatori in evoluzione prumesse di accelerà l'adopzione di autentificazione forte per l'applicazioni di i cunsumatori. Cù l'intruduzioni di PSD2, è dinò novi regule di prutezzione di dati in l'UE è parechji stati di i Stati Uniti, cum'è California, l'imprese si sentenu u calore. Quasi 70% di l'imprese accunsenu chì affruntà una forte pressione regulatoria per furnisce una forte autentificazione à i so clienti. Più di a mità di l'imprese crede chì in pochi anni i so metudi di autentificazione ùn saranu micca abbastanza per risponde à i normi regulatori.
A diferenza in l'approcciu di i legislaturi russi è americani-europei à a prutezzione di e dati persunali di l'utilizatori di prugrammi è servizii hè chjaramente visibile. I Russi dicenu: caru patroni di serviziu, fate ciò chì vulete è cumu vulete, ma se u vostru amministratore unisce a basa di dati, vi puniremu. Dicenu à l'esteru: duvete implementà un inseme di misure chì ùn permetterà scorri a basa. Hè per quessa chì i requisiti per l'autentificazione stretta à dui fattori sò implementati quì.
True, hè luntanu da un fattu chì a nostra macchina legislativa un ghjornu ùn vene micca à i so sensi è piglià in contu l'experientia occidentali. Allora si trova chì ognunu hà bisognu di implementà 2FA, chì cunforma cù i normi criptografici russi, è urgente.
Stabbilimentu di un forte quadru di autentificazione permette à e cumpagnie di trasfurmà u so focus da risponde à i requisiti regulatori à risponde à i bisogni di i clienti. Per quelli urganisazioni chì anu sempre aduprà password simplici o ricevenu codici via SMS, u fattore più impurtante quandu sceglie un metudu di autentificazione serà u rispettu di i requisiti regulatori. Ma quelli cumpagnie chì utilizanu digià autentificazione forte ponu fucalizza nantu à a scelta di quelli metudi di autentificazione chì aumentanu a fidelizazione di i clienti.
Quandu sceglite un metudu di autentificazione corporativa in una impresa, i requisiti regulatori ùn sò più un fattore significativu. In questu casu, a facilità d'integrazione (32%) è u costu (26%) sò assai più impurtanti.
In l'era di u phishing, l'attaccanti ponu aduprà email corporativu per scam à accede fraudulently à dati, cunti (cù i dritti d'accessu apprupriati), è ancu per cunvince l'impiegati à fà un trasferimentu di soldi à u so contu. Dunque, i cunti di e-mail corporativi è portali devenu esse particularmente bè prutetti.
Google hà rinfurzatu a so sicurità implementendu una autentificazione forte. Più di dui anni fà, Google hà publicatu un rapportu nantu à l'implementazione di l'autentificazione à dui fatturi basata nantu à e chjavi di sicurezza criptografiche chì utilizanu u standard FIDO U2F, riportendu risultati impressiunanti. Sicondu a cumpagnia, micca un attaccu di phishing hè statu fattu contr'à più di 85 000 impiegati.
ci voli
Implementa autentificazione forte per applicazioni mobili è in linea. L'autenticazione multifattoria basata nantu à e chjave criptografiche furnisce una prutezzione assai megliu contr'à i pirate di i metudi MFA tradiziunali. Inoltre, l'usu di chjavi criptografici hè assai più còmuda perchè ùn ci hè micca bisognu di utilizà è trasferisce infurmazioni supplementari - password, password una volta o dati biometrici da u dispositivu di l'utilizatore à u servitore d'autentificazione. Inoltre, a standardizazione di i protokolli di autentificazione rende assai più faciule l'implementazione di novi metudi d'autentificazione à u mumentu chì sò dispunibili, riducendu i costi di implementazione è prutegge contra schemi di frode più sofisticati.
Preparate per a morte di password una volta (OTP). E vulnerabilità inerenti à l'OTP sò diventate sempre più evidenti cum'è i cibercriminali utilizanu l'ingegneria suciale, a clonazione di smartphone è u malware per cumprumette questi mezi di autentificazione. E se l'OTP in certi casi anu certi vantaghji, allora solu da u puntu di vista di a dispunibilità universale per tutti l'utilizatori, ma micca da u puntu di vista di a sicurità.
Hè impussibile micca di nutà chì riceve codici via SMS o notificazioni Push, è ancu di generazione di codici utilizendu prugrammi per smartphones, hè l'usu di quelli stessi password una volta (OTP) per quale ci hè dumandatu di preparà per u declinu. Da un puntu di vista tecnicu, a suluzione hè assai curretta, perchè hè un fraudster raru chì ùn prova micca di truvà a password di una sola volta da un usu gullible. Ma pensu chì i pruduttori di tali sistemi si appiccicaranu à a tecnulugia di morte finu à l'ultimu.
Aduprate autentificazione forte cum'è strumentu di marketing per aumentà a fiducia di i clienti. L'autentificazione forte pò fà più cà solu migliurà a sicurezza attuale di a vostra attività. Infurmà à i clienti chì a vostra attività usa autentificazione forte pò rinfurzà a percepzione publica di a sicurità di quella attività - un fattore impurtante quandu ci hè una dumanda significativa di i clienti per metudi di autentificazione forte.
Realizà un inventariu approfonditu è una valutazione di criticità di e dati corporativi è pruteggelu secondu l'impurtanza. Ancu dati à pocu risicu, cum'è l'infurmazioni di cuntattu di i clienti (no, veramente, u rapportu dice "bassu risicu", hè assai stranu chì sottovalutà l'impurtanza di sta informazione), pò purtà un valore significativu à i fraudsters è causanu prublemi per a cumpagnia.
Aduprate una forte autentificazione di l'impresa. Una quantità di sistemi sò i miri più attraenti per i criminali. Questi includenu sistemi interni è cunnessi à Internet, cum'è un prugramma di cuntabilità o un magazzinu di dati corporativu. L'autentificazione forte impedisce à l'attaccanti di ottene un accessu micca autorizatu, è permette ancu di determinà cù precisione quale impiegatu hà fattu l'attività maliziosa.
Cos'è l'autenticazione forte?
Quandu si usa l'autentificazione forte, parechji metudi o fatturi sò usati per verificà l'autenticità di l'utilizatore:
- Fattore di cunniscenza: sicretu spartutu trà l'utilizatore è u sughjettu di autentificazione di l'utilizatore (cum'è password, risposte à e dumande di sicurezza, etc.)
- Fattore di pruprietà: un dispositivu chì solu l'utilizatore hà (per esempiu, un dispositivu mobile, una chjave criptografica, etc.)
- Fattore di integrità: caratteristiche fisiche (spessu biometriche) di l'utilizatore (per esempiu, impronta digitale, mudellu di iris, voce, cumpurtamentu, etc.)
A necessità di pirate parechji fattori aumenta assai a probabilità di fallimentu per l'attaccanti, postu chì l'annullamentu o l'ingannimentu di diversi fattori richiede l'usu di parechji tippi di tattiche di pirate, per ogni fattore separatamente.
Per esempiu, cù 2FA "password + smartphone", un attaccu pò realizà l'autentificazione fighjendu a password di l'utilizatore è facendu una copia di software esatta di u so smartphone. È questu hè assai più difficiuli cà solu arrubbatu una password.
Ma se una password è un token criptograficu sò usati per 2FA, allora l'opzione di copia ùn viaghja micca quì - hè impussibile di duplicà u token. U fraudster hà bisognu di arrubbatu furtivamente u token da l'utilizatore. Se l'utilizatore nota a perdita in u tempu è notifica à l'amministratore, u token serà bluccatu è i sforzi di u fraudster seranu in vain. Hè per quessa chì u fattore di pruprietà esige l'usu di dispusitivi sicuri specializati (tokens) piuttostu cà di dispusitivi generale (smartphones).
L'usu di tutti i trè fattori farà stu metudu di autentificazione abbastanza caru per implementà è abbastanza sconveniente per aduprà. Dunque, dui di trè fattori sò generalmente usati.
I principii di l'autentificazione à dui fattori sò descritti in più detail , in u bloccu "Cumu funziona l'autentificazione à dui fattori".
Hè impurtante di nutà chì almenu unu di i fatturi di autentificazione utilizati in l'autentificazione forte deve aduprà a criptografia di chjave publica.
L'autentificazione forte furnisce una prutezzione assai più forte cà l'autentificazione à un fattore basatu nantu à password classiche è MFA tradiziunale. I password ponu esse spiati o interceptati usendu keylogger, siti di phishing, o attacchi di l'ingegneria suciale (induve a vittima hè ingannata per revelà a so password). Inoltre, u pruprietariu di a password ùn saperà nunda di u furtu. MFA tradiziunale (inclusi i codici OTP, ubligatoriu à un smartphone o carta SIM) pò ancu esse pirateatu abbastanza facilmente, postu chì ùn hè micca basatu annantu à a criptografia di chjave publica (Per via, ci sò parechji esempii quandu, utilizendu e stesse tecniche di l'ingegneria suciale, i scammers persuadevanu l'utilizatori per dà li una password unica.).
Fortunatamente, l'usu di autentificazione forte è MFA tradiziunale hà guadagnatu trazione in l'applicazioni di u cunsumadore è di l'impresa da l'annu passatu. L'usu di l'autentificazione forte in l'applicazioni di i cunsumatori hè cresciutu particularmente rapidamente. Se in 2017 solu 5% di l'imprese l'utilizanu, allora in 2018 era digià trè volte più - 16%. Questu pò esse spiegatu da a dispunibilità aumentata di tokens chì supportanu l'algoritmi di Criptografia di Chjave Pubblica (PKC). Inoltre, a pressione aumentata da i regulatori europei dopu l'adopzione di novi regule di prutezzione di dati cum'è PSD2 è GDPR hà avutu un forte effettu ancu fora di l'Europa (cumpresi in Russia).
Fighjemu un ochju più vicinu à questi numeri. Comu pudemu vede, u percentualità di l'individui privati chì utilizanu l'autentificazione multifattore hè cresciutu da un 11% impressiunanti annantu à l'annu. E questu hè accadutu chjaramente à a spesa di l'amatori di password, postu chì i numeri di quelli chì crèdenu in a sicurità di e notificazioni Push, SMS è biometrics ùn anu micca cambiatu.
Ma cù l'autentificazione di dui fattori per l'usu corporativu, e cose ùn sò micca cusì bè. Prima, secondu u rapportu, solu 5% di l'impiegati sò stati trasferiti da l'autentificazione di password à i tokens. E in segundu, u numeru di quelli chì utilizanu opzioni MFA alternative in un ambiente corporativu hà aumentatu da 4%.
Pruvaraghju di ghjucà analista è dà a mo interpretazione. À u centru di u mondu digitale di l'utilizatori individuali hè u smartphone. Per quessa, ùn hè micca maravigghiusu chì a maiuranza utilizeghja e capacità chì u dispusitivu li furnisce - autentificazione biometrica, notificazioni SMS è Push, è ancu password una volta generate da l'applicazioni nantu à u smartphone stessu. A ghjente di solitu ùn pensa micca à a sicurità è a affidabilità quandu usanu l'arnesi chì sò abituati.
Hè per quessa chì u percentualità di l'utilizatori di i fatturi di autentificazione "tradiziunali" primitivi resta invariatu. Ma quelli chì anu utilizatu prima password capiscenu quantu risichi, è quandu sceglienu un novu fattore di autentificazione, optanu per l'opzione più nova è sicura - un token criptograficu.
In quantu à u mercatu corporativu, hè impurtante capisce in quale l'autentificazione di u sistema hè realizatu. Se u login à un duminiu Windows hè implementatu, allora i tokens criptografici sò usati. E pussibulità di usà per 2FA sò digià integrate in Windows è Linux, ma l'opzioni alternative sò longu è difficili da implementà. Tantu per a migrazione di 5% da password à tokens.
È l'implementazione di 2FA in un sistema d'informazione corporativu dipende assai di e qualificazioni di i sviluppatori. È hè assai più faciule per i sviluppatori di piglià moduli pronti per a generazione di password una volta chì per capiscenu l'operazione di l'algoritmi criptografici. È in u risultatu, ancu l'applicazioni incredibbilmente critiche per a sicurezza, cum'è Single Sign-On o Sistemi di Gestione di Accessu Privilegiatu utilizanu OTP cum'è un secondu fattore.
Molte vulnerabilità in i metudi di autentificazione tradiziunali
Mentre chì parechje urganisazioni restanu dipendenu da i sistemi legacy à un fattore unicu, e vulnerabilità in l'autentificazione multifattore tradiziunale diventanu sempre più evidenti. E password una volta, tipicamente da sei à ottu caratteri, mandate via SMS, restanu a forma più cumuna di autentificazione (oltre u fattore di password, sicuru). È quandu e parolle "autentificazione in dui fattori" o "verificazione in dui passi" sò citati in a stampa populari, quasi sempre si riferiscenu à l'autentificazione di password una volta SMS.
Quì l'autore hè un pocu sbagliatu. A consegna di password una volta via SMS ùn hè mai stata una autenticazione à dui fattori. Questu hè in a so forma più pura a seconda tappa di l'autentificazione in dui passi, induve a prima tappa hè inserita u vostru login è password.
In 2016, l'Istitutu Naziunale di Norme è Tecnulugia (NIST) hà aghjurnatu e so regule d'autentificazione per eliminà l'usu di password una volta mandate via SMS. Tuttavia, queste regule sò state significativamente rilassate dopu à e prutestazioni di l'industria.
Allora, seguitemu a trama. U regulatore americanu ricunnosce bè chì a tecnulugia obsoleta ùn hè micca capace di assicurà a sicurità di l'utilizatori è introduce novi standard. Norme pensate per prutege l'utilizatori di l'applicazioni in linea è mobile (cumprese quelle bancarie). L'industria hè calculata quanti soldi duverà spende per l'acquistu di tokens criptografici veramente affidabili, riprogettazione di l'applicazioni, implementà una infrastruttura di chjave publica, è hè "alzata nantu à e so zampe posteriori". Da una banda, l'utilizatori eranu cunvinti di l'affidabilità di e password una volta, è da l'altra banda, ci sò stati attacchi à NIST. In u risultatu, u standard hè stata ammorbidita, è u nùmeru di pirate è robba di password (è soldi da l'applicazioni bancarie) aumentanu assai. Ma l'industria ùn hà micca bisognu di scaccià soldi.
Da tandu, i punti debuli inerenti di SMS OTP sò diventati più evidenti. I truffatori utilizanu diversi metudi per cumprumette i missaghji SMS:
- Duplicazione di a carta SIM. L'attaccanti creanu una copia di a SIM (cù l'aiutu di l'impiegati di l'operatore mobile, o indipindentamente, utilizendu software è hardware speciale). In u risultatu, l'attaccante riceve un SMS cù una password unica. In un casu particularmente famosu, i pirate sò ancu capaci di cumprumette u contu AT & T di l'investitore di criptu di munita Michael Turpin, è arrubbanu quasi $ 24 milioni in criptu di munita. In u risultatu, Turpin hà dichjaratu chì AT & T era in culpa per via di e misure di verificazione debbuli chì anu purtatu à a duplicazione di a carta SIM.
Lògica stupente. Allora hè veramente solu a culpa di AT&T? Innò, hè senza dubbitu a culpa di l'operatore mobile chì i venditori in a tenda di cumunicazione anu emessu una carta SIM duplicata. Chì ci hè u sistema di autentificazione di u scambiu di criptocurrency? Perchè ùn anu micca usatu tokens criptografici forti? Era una pena di spende soldi in implementazione? Ùn hè micca Michael stessu à culpa ? Perchè ùn hà micca insistitu à cambià u mecanismu d'autentificazione o utilizate solu quelli scambii chì implementanu l'autentificazione à dui fattori basati in tokens criptografici?
L'intruduzioni di metudi d'autentificazione veramente affidabili hè ritardata precisamente perchè l'utilizatori mostranu una incredibile trascuratezza prima di pirate, è dopu culpiscenu i so prublemi à qualcunu è qualcosa altru ch'è tecnulugii di autentificazione antichi è "leaky".
- Malware. Una di e prime funzioni di u malware mobile era di intercepte è trasmette missaghji di testu à l'attaccanti. Inoltre, l'attacchi man-in-the-browser è man-in-the-middle ponu interceptà e password una volta quandu sò inseriti in laptops o dispositivi desktop infettati.
Quandu l'applicazione Sberbank in u vostru smartphone lampeghja un icona verde in a barra di statutu, cerca ancu "malware" in u vostru telefunu. L'obiettivu di questu avvenimentu hè di trasfurmà l'ambiente di esecuzione micca fiduciale di un smartphone tipicu in, almenu in qualchì modu, un di fiducia.
A propositu, un smartphone, cum'è un dispositivu completamente micca fiduciale nantu à quale qualcosa pò esse fattu, hè un altru mutivu per aduprà per l'autentificazione. solu tokens hardware, chì sò prutetti è liberi di virus è troiani. - Ingegneria suciale. Quandu i scammers sapemu chì una vittima hà l'OTP attivati via SMS, ponu cuntattà a vittima direttamente, pusendu cum'è una urganizazione di fiducia cum'è a so banca o unione di creditu, per ingannà a vittima per furnisce u codice chì ghjustu ricevutu.
Aghju personalmente scontru stu tipu di fraudulente parechje volte, per esempiu, quandu pruvate di vende qualcosa in un mercatu di pulci in linea populari. Eiu stessu mi sò scherzatu di u schernu chì hà pruvatu à ingannà mi à u mo core. Ma sfurtunatamenti, aghju lettu regularmente in a nutizia cumu una altra vittima di i scammers "ùn pensava micca", hà datu u codice di cunferma è persu una grande somma. È tuttu questu hè chì u bancu ùn vole micca solu trattà cù l'implementazione di tokens criptografici in e so applicazioni. Dopu tuttu, s'ellu succede qualcosa, i clienti "s'hanu culpèvule".
Mentre i metudi di consegna OTP alternativi ponu mitigà alcune di e vulnerabilità in stu metudu di autentificazione, altre vulnerabili restanu. L'applicazioni autonome di generazione di codice sò a megliu prutezzione contra l'eavesdropping, postu chì ancu i malware ùn ponu interagisce direttamente direttamente cù u generatore di codice (seriamente? L'autore di u rapportu hà scurdatu di u cuntrollu remoto?), ma l'OTP pò ancu esse interceptatu quandu entra in u navigatore (per esempiu usendu un keylogger), attraversu una applicazione mobile piratata; è pò ancu esse acquistatu direttamente da l'utilizatore cù l'ingegneria suciale.
Utilizà parechji strumenti di valutazione di risicu cum'è a ricunniscenza di u dispositivu (rilevazione di tentativi di fà transazzione da i dispositi chì ùn appartenenu micca à un utilizatore legale), geolocalizzazione (un utilizatore chì hè ghjustu in Mosca prova à fà una operazione da Novosibirsk) è l'analisi di cumportamentu sò impurtanti per affruntà i vulnerabili, ma nè solu suluzione hè una panacea. Per ogni situazione è tipu di dati, hè necessariu di valutà currettamente i risichi è sceglie quale tecnulugia di autentificazione deve esse usata.
Nisuna soluzione di autentificazione hè una panacea
Figura 2. Tavola d'opzioni di autentificazione
| Autenticazione | Fattore | discrizzione | Vulnerabilità chjave |
| Password o PIN | Cunniscenza | Valore fissu, chì pò include lettere, numeri è una quantità di altri caratteri | Pò esse interceptatu, spiatu, arrubatu, pigliatu o pirate |
| Autentificazione basata nantu à a cunniscenza | Cunniscenza | Quistioni e risposte à quale solu un utilizatore legale pò sapè | Pò esse interceptatu, pigliatu, ottenutu cù metudi di ingegneria suciale |
| Hardware OTP () | Pussidu | Un dispositivu speciale chì genera password una volta | U codice pò esse interceptatu è ripetutu, o u dispusitivu pò esse arrubatu |
| OTP di u software | Pussidu | Una applicazione (mobile, accessibile attraversu un navigatore, o inviendu codici per e-mail) chì genera password una volta | U codice pò esse interceptatu è ripetutu, o u dispusitivu pò esse arrubatu |
| SMS OTP | Pussidu | Una sola password mandata via SMS | U codice pò esse interceptatu è ripetutu, o u smartphone o a carta SIM pò esse arrubatu, o a carta SIM pò esse duplicata |
| carte intelligenti () | Pussidu | Una carta chì cuntene un chip criptograficu è una memoria di chjave sicura chì usa una infrastruttura di chjave publica per l'autentificazione | Pò esse arrubatu fisicamente (ma un attaccu ùn serà micca capaci di aduprà u dispusitivu senza cunnosce u codice PIN; in casu di parechji tentativi di input incorrect, u dispusitivu serà bluccatu) |
| Chjavi di sicurità - tokens (, ) | Pussidu | Un dispositivu USB chì cuntene un chip criptograficu è una memoria di chjave sicura chì usa una infrastruttura di chjave publica per l'autentificazione | Pò esse arrubatu fisicamenti (ma un attaccu ùn puderà micca aduprà u dispositivu senza cunnosce u codice PIN; in casu di parechji tentativi di ingressu sbagliati, u dispusitivu serà bluccatu) |
| Ligame à un dispositivu | Pussidu | U prucessu chì crea un prufilu, spessu usendu JavaScript, o utilizendu marcatori cum'è cookies è Flash Shared Objects per assicurà chì un dispositivu specificu hè adupratu. | I tokens ponu esse arrubati (copiati), è e caratteristiche di un dispositivu legale ponu esse imitate da un attaccante nantu à u so dispusitivu |
| Cumpurtamentu | Inerenza | Analizà cumu l'utilizatore interagisce cù un dispositivu o prugramma | U cumpurtamentu pò esse imitatu |
| impronte digitali | Inerenza | L'impronte digitali salvate sò paragunate cù quelli catturati otticu o elettronicu | L'imaghjini pò esse arrubati è utilizati per l'autentificazione |
| Scansione di l'ochji | Inerenza | Compara e caratteristiche di l'ochji, cum'è u mudellu di l'iris, cù novi scansi ottici | L'imaghjini pò esse arrubati è utilizati per l'autentificazione |
| Ricunniscenza faccia | Inerenza | E caratteristiche faciale sò paragunate cù novi scans ottici | L'imaghjini pò esse arrubati è utilizati per l'autentificazione |
| Ricunniscenza di voce | Inerenza | E caratteristiche di a mostra di voce registrata sò paragunate cù novi campioni | U registru pò esse arrubati è utilizatu per autentificazione, o emulatu |
In a seconda parte di a publicazione, e cose più diliziosi ci aspettanu - numeri è fatti, nantu à quale sò basati i cunclusioni è i cunsiglii dati in a prima parte. L'autentificazione in l'applicazioni di l'utilizatori è in i sistemi corporativi serà discutitu separatamente.
Per vede!
Source: www.habr.com