Spoiler z názvu zprávy: "Využití silné autentizace se zvyšuje kvůli hrozbě nových rizik a regulačním požadavkům."
Výzkumná společnost „Javelin Strategy & Research“ zveřejnila zprávu „The State of Strong Authentication 2019“ (). Tato zpráva říká: jaké procento amerických a evropských společností používá hesla (a proč nyní hesla používá jen málo lidí); proč používání dvoufaktorové autentizace založené na kryptografických tokenech tak rychle roste; Proč jednorázové kódy zaslané prostřednictvím SMS nejsou bezpečné.
Každý, kdo se zajímá o současnost, minulost a budoucnost autentizace v podnicích a spotřebitelských aplikacích, je vítán.
Od překladatele
Bohužel, jazyk, ve kterém je tato zpráva napsána, je poměrně „suchý“ a formální. A pětkrát použití slova „autentizace“ v jedné krátké větě není křivé ruce (nebo mozek) překladatele, ale rozmar autorů. Při překladu ze dvou možností – dát čtenářům text bližší originálu, nebo zajímavější, jsem někdy volil první a někdy druhou. Buďte však trpěliví, milí čtenáři, obsah zprávy stojí za to.
Některé pro příběh nedůležité a nepotřebné kousky byly odstraněny, jinak by se většina nedokázala prokousat celým textem. Ti, kteří si přejí číst zprávu „nestřiženou“, tak mohou učinit v původním jazyce kliknutím na odkaz.
Bohužel ne vždy jsou autoři opatrní s terminologií. Jednorázová hesla (One Time Password - OTP) se tedy někdy nazývají „hesla“ a někdy „kódy“. Ještě horší je to s autentizačními metodami. Pro netrénovaného čtenáře není vždy snadné uhodnout, že „autentizace pomocí kryptografických klíčů“ a „silná autentizace“ jsou totéž. Snažil jsem se termíny co nejvíce sjednotit a v samotné zprávě je fragment s jejich popisem.
Zpráva je však vysoce doporučenou četbou, protože obsahuje jedinečné výsledky výzkumu a správné závěry.
Všechna čísla a fakta jsou uváděna bez sebemenších změn a pokud s nimi nesouhlasíte, pak je lepší polemizovat ne s překladatelem, ale s autory zprávy. A zde jsou mé komentáře (uvedené jako citace a označené v textu italština) jsou mým hodnotovým soudem a o každém z nich (stejně jako o kvalitě překladu) se rád poperu.
Recenze
V dnešní době jsou digitální kanály komunikace se zákazníky pro podniky důležitější než kdy jindy. A v rámci společnosti je komunikace mezi zaměstnanci více digitálně orientovaná než kdykoli předtím. A jak bezpečné tyto interakce budou, závisí na zvoleném způsobu autentizace uživatele. Útočníci využívají slabou autentizaci k masivnímu hackování uživatelských účtů. Regulátoři v reakci na to zpřísňují standardy, aby přinutili podniky lépe chránit uživatelské účty a data.
Hrozby související s autentizací přesahují spotřebitelské aplikace; útočníci mohou také získat přístup k aplikacím běžícím uvnitř podniku. Tato operace jim umožňuje vydávat se za firemní uživatele. Útočníci využívající přístupové body se slabou autentizací mohou krást data a provádět další podvodné aktivity. Naštěstí existují opatření, jak proti tomu bojovat. Silná autentizace pomůže výrazně snížit riziko útoku ze strany útočníka, a to jak na spotřebitelské aplikace, tak na podnikové podnikové systémy.
Tato studie zkoumá: jak podniky implementují autentizaci k ochraně aplikací koncových uživatelů a podnikových obchodních systémů; faktory, které berou v úvahu při výběru autentizačního řešení; roli, kterou v jejich organizacích hraje silná autentizace; výhody, které tyto organizace získávají.
Shrnutí
Klíčová zjištění
Od roku 2017 prudce vzrostlo používání silné autentizace. S rostoucím počtem zranitelností ovlivňujících tradiční autentizační řešení organizace posilují své autentizační schopnosti pomocí silné autentizace. Počet organizací využívajících kryptografické vícefaktorové ověřování (MFA) se od roku 2017 u spotřebitelských aplikací ztrojnásobil a u podnikových aplikací vzrostl téměř o 50 %. Nejrychlejší růst zaznamenává mobilní autentizace díky rostoucí dostupnosti biometrické autentizace.
Zde vidíme ilustraci rčení „dokud neudeří hrom, člověk se nepokřižuje“. Když odborníci varovali před nezabezpečeností hesel, nikdo nespěchal s implementací dvoufaktorové autentizace. Jakmile hackeři začali krást hesla, lidé začali implementovat dvoufaktorovou autentizaci.
Pravda, jednotlivci mnohem aktivněji implementují 2FA. Za prvé, je pro ně snazší uklidnit své obavy tím, že se budou spoléhat na biometrické ověřování zabudované v chytrých telefonech, které je ve skutečnosti velmi nespolehlivé. Organizace musí utrácet peníze za nákup tokenů a provádět práci (ve skutečnosti velmi jednoduchou) na jejich implementaci. A za druhé, jen líní lidé nepsali o úniku hesel ze služeb jako Facebook a Dropbox, ale za žádných okolností nebudou CIO těchto organizací sdílet příběhy o tom, jak byla hesla v organizacích ukradena (a co se stalo potom).
Ti, kteří nepoužívají silnou autentizaci, podceňují svá rizika pro své podnikání a zákazníky. Některé organizace, které v současné době nepoužívají silnou autentizaci, mají tendenci vnímat přihlášení a hesla jako jednu z nejúčinnějších a nejsnáze použitelných metod ověřování uživatelů. Jiní nevidí hodnotu digitálních aktiv, která vlastní. Ostatně stojí za zvážení, že kyberzločinci se zajímají o jakékoli spotřebitelské a obchodní informace. Dvě třetiny společností, které k ověření svých zaměstnanců používají pouze hesla, tak činí, protože věří, že hesla jsou dostatečně dobrá pro typ informací, které chrání.
Hesla jsou však na cestě do hrobu. Závislost na heslech za poslední rok výrazně klesla jak u spotřebitelských, tak u podnikových aplikací (ze 44 % na 31 % a z 56 % na 47 %), protože organizace stále více využívají tradiční MFA a silnou autentizaci.
Pokud se ale na situaci podíváme jako na celek, stále převažují zranitelné autentizační metody. Pro ověřování uživatelů zhruba čtvrtina organizací používá SMS OTP (jednorázové heslo) spolu s bezpečnostními otázkami. V důsledku toho musí být implementována další bezpečnostní opatření na ochranu před zranitelností, což zvyšuje náklady. Použití mnohem bezpečnějších metod ověřování, jako jsou hardwarové kryptografické klíče, se používá mnohem méně často, přibližně v 5 % organizací.
Vyvíjející se regulační prostředí slibuje urychlení zavádění silné autentizace pro spotřebitelské aplikace. Se zavedením PSD2 a novými pravidly ochrany údajů v EU a několika státech USA, jako je Kalifornie, společnosti pociťují horko. Téměř 70 % společností souhlasí s tím, že čelí silnému regulačnímu tlaku na poskytování silné autentizace svým zákazníkům. Více než polovina podniků se domnívá, že během několika let nebudou jejich autentizační metody dostatečné ke splnění regulačních standardů.
Rozdíl v přístupech ruských a americko-evropských zákonodárců k ochraně osobních údajů uživatelů programů a služeb je jasně patrný. Rusové říkají: milí majitelé služeb, dělejte si co chcete a jak chcete, ale pokud váš admin sloučí databázi, potrestáme vás. V zahraničí říkají: musíte zavést soubor opatření, která nedovolí vypusťte základnu. Proto se tam zavádějí požadavky na přísnou dvoufaktorovou autentizaci.
Pravda, zdaleka není pravdou, že naše legislativní mašinérie jednoho dne nepřijde k rozumu a nevezme v potaz západní zkušenosti. Pak se ukáže, že každý potřebuje implementovat 2FA, které vyhovuje ruským kryptografickým standardům, a to naléhavě.
Vytvoření silného rámce ověřování umožňuje společnostem přesunout své zaměření od plnění regulačních požadavků k plnění potřeb zákazníků. Pro organizace, které stále používají jednoduchá hesla nebo přijímají kódy prostřednictvím SMS, bude nejdůležitějším faktorem při výběru metody ověřování soulad s regulačními požadavky. Ale společnosti, které již používají silnou autentizaci, se mohou zaměřit na výběr těch metod ověřování, které zvyšují loajalitu zákazníků.
Při výběru podnikové autentizační metody v rámci podniku již nejsou regulační požadavky významným faktorem. V tomto případě je mnohem důležitější snadnost integrace (32 %) a cena (26 %).
V éře phishingu mohou útočníci využít firemní e-mail k podvodům podvodně získat přístup k datům, účtům (s příslušnými přístupovými právy) a dokonce přesvědčit zaměstnance, aby provedli převod peněz na jeho účet. Firemní e-mailové a portálové účty proto musí být zvláště dobře chráněny.
Google posílil své zabezpečení implementací silné autentizace. Před více než dvěma lety Google zveřejnil zprávu o implementaci dvoufaktorové autentizace založené na kryptografických bezpečnostních klíčích pomocí standardu FIDO U2F, která přináší působivé výsledky. Podle společnosti nebyl proveden jediný phishingový útok proti více než 85 000 zaměstnanců.
Doporučení
Implementujte silnou autentizaci pro mobilní a online aplikace. Vícefaktorové ověřování založené na kryptografických klíčích poskytuje mnohem lepší ochranu proti hackerům než tradiční metody MFA. Použití kryptografických klíčů je navíc mnohem pohodlnější, protože není potřeba používat a přenášet další informace – hesla, jednorázová hesla nebo biometrická data ze zařízení uživatele na autentizační server. Standardizace autentizačních protokolů navíc výrazně usnadňuje implementaci nových autentizačních metod, jakmile budou k dispozici, sníží náklady na implementaci a ochrání před sofistikovanějšími podvodnými schématy.
Připravte se na zánik jednorázových hesel (OTP). Slabiny spojené s OTP jsou stále zjevnější, protože kyberzločinci používají sociální inženýrství, klonování chytrých telefonů a malware ke kompromitaci těchto prostředků autentizace. A pokud mají OTP v některých případech určité výhody, pak pouze z pohledu univerzální dostupnosti pro všechny uživatele, nikoli však z hlediska bezpečnosti.
Není možné si nevšimnout, že přijímání kódů prostřednictvím SMS nebo Push notifikací, stejně jako generování kódů pomocí programů pro chytré telefony, je použití stejných jednorázových hesel (OTP), u kterých jsme požádáni, abychom se připravili na odmítnutí. Z technického hlediska je řešení velmi správné, protože jde o ojedinělého podvodníka, který se nesnaží zjistit jednorázové heslo od důvěřivého uživatele. Ale myslím si, že výrobci takových systémů budou lpět na umírající technologii do posledního.
Použijte silnou autentizaci jako marketingový nástroj ke zvýšení důvěry zákazníků. Silná autentizace dokáže více než jen zlepšit skutečné zabezpečení vašeho podnikání. Informování zákazníků o tom, že vaše firma používá silnou autentizaci, může posílit veřejné vnímání bezpečnosti této firmy – což je důležitý faktor, když existuje značná poptávka zákazníků po silných metodách autentizace.
Proveďte důkladnou inventuru a posouzení kritičnosti podnikových dat a chraňte je podle důležitosti. Dokonce i data s nízkým rizikem, jako jsou kontaktní údaje zákazníka (ne, opravdu, zpráva říká „nízké riziko“, je velmi zvláštní, že podceňují důležitost těchto informací), může přinést podvodníkům významnou hodnotu a způsobit společnosti problémy.
Používejte silné podnikové ověřování. Řada systémů je pro zločince nejatraktivnějším cílem. Patří mezi ně interní systémy a systémy propojené s internetem, jako je účetní program nebo podnikový datový sklad. Silná autentizace brání útočníkům v získání neoprávněného přístupu a také umožňuje přesně určit, který zaměstnanec se škodlivé činnosti dopustil.
Co je silná autentizace?
Při použití silné autentizace se k ověření pravosti uživatele používá několik metod nebo faktorů:
- Faktor znalostí: sdílené tajemství mezi uživatelem a ověřeným subjektem uživatele (jako jsou hesla, odpovědi na bezpečnostní otázky atd.)
- Faktor vlastnictví: zařízení, které má pouze uživatel (například mobilní zařízení, kryptografický klíč atd.)
- Faktor integrity: fyzické (často biometrické) vlastnosti uživatele (například otisk prstu, vzor duhovky, hlas, chování atd.)
Potřeba hackovat více faktorů výrazně zvyšuje pravděpodobnost selhání útočníků, protože obcházení nebo klamání různých faktorů vyžaduje použití více typů taktik hackerů, pro každý faktor zvlášť.
Například pomocí 2FA „heslo + smartphone“ může útočník provést ověření tak, že se podívá na heslo uživatele a vytvoří přesnou kopii softwaru jeho smartphonu. A to je mnohem obtížnější než jednoduše ukrást heslo.
Pokud se ale pro 2FA používá heslo a kryptografický token, pak zde možnost kopírování nefunguje - duplikovat token není možné. Podvodník bude muset uživateli tajně ukrást token. Pokud si uživatel všimne ztráty včas a upozorní administrátora, bude token zablokován a podvodníkovo úsilí bude marné. To je důvod, proč faktor vlastnictví vyžaduje použití specializovaných bezpečných zařízení (tokenů) spíše než zařízení pro obecné použití (chytré telefony).
Použití všech tří faktorů způsobí, že implementace této metody autentizace bude poměrně nákladná a její použití bude docela nepohodlné. Proto se obvykle používají dva ze tří faktorů.
Podrobněji jsou popsány principy dvoufaktorové autentizace , v bloku „Jak funguje dvoufaktorová autentizace“.
Je důležité si uvědomit, že alespoň jeden z autentizačních faktorů používaných při silné autentizaci musí používat kryptografii veřejného klíče.
Silná autentizace poskytuje mnohem silnější ochranu než jednofaktorová autentizace založená na klasických heslech a tradičních MFA. Hesla mohou být špehována nebo zachycena pomocí keyloggerů, phishingových stránek nebo útoků sociálního inženýrství (kdy je oběť podvedena, aby prozradila své heslo). Majitel hesla se navíc o krádeži nic nedozví. Tradiční MFA (včetně OTP kódů, vazby na smartphone nebo SIM kartu) lze také poměrně snadno hacknout, protože není založeno na kryptografii veřejného klíče (Mimochodem, existuje mnoho příkladů, kdy podvodníci pomocí stejných technik sociálního inženýrství přesvědčili uživatele, aby jim dali jednorázové heslo).
Naštěstí se používání silné autentizace a tradičního MFA od minulého roku prosazuje jak ve spotřebitelských, tak v podnikových aplikacích. Zvláště rychle rostlo používání silné autentizace ve spotřebitelských aplikacích. Jestliže v roce 2017 jej využívalo jen 5 % firem, tak v roce 2018 to bylo již třikrát více – 16 %. To lze vysvětlit zvýšenou dostupností tokenů, které podporují algoritmy Public Key Cryptography (PKC). Navíc zvýšený tlak ze strany evropských regulačních orgánů po přijetí nových pravidel ochrany údajů, jako je PSD2 a GDPR, měl silný účinek i mimo Evropu (včetně Ruska).
Pojďme se na tato čísla podívat blíže. Jak vidíme, procento soukromých osob využívajících vícefaktorové ověřování vzrostlo za rok o působivých 11 %. A to se zjevně stalo na úkor milovníků hesel, protože počet těch, kteří věří v bezpečnost Push notifikací, SMS a biometrie, se nezměnil.
Ale s dvoufaktorovou autentizací pro firemní použití to není tak dobré. Za prvé, podle zprávy bylo pouze 5 % zaměstnanců převedeno z ověřování hesel na tokeny. A za druhé, počet těch, kteří využívají alternativní možnosti MFA ve firemním prostředí, se zvýšil o 4 %.
Pokusím se hrát na analytika a podat svůj výklad. V centru digitálního světa jednotlivých uživatelů je chytrý telefon. Není proto divu, že většina využívá schopnosti, které jim zařízení poskytuje – biometrické ověřování, SMS a Push notifikace i jednorázová hesla generovaná aplikacemi na samotném smartphonu. Lidé obvykle nemyslí na bezpečnost a spolehlivost, když používají nástroje, na které jsou zvyklí.
To je důvod, proč procento uživatelů primitivních „tradičních“ autentizačních faktorů zůstává nezměněno. Ale ti, kteří dříve používali hesla, chápou, jak moc riskují, a při výběru nového autentizačního faktoru se rozhodnou pro nejnovější a nejbezpečnější možnost – kryptografický token.
Pokud jde o podnikový trh, je důležité pochopit, do kterého systému se autentizace provádí. Pokud je implementováno přihlášení do domény Windows, použijí se kryptografické tokeny. Možnosti jejich použití pro 2FA jsou již zabudovány do Windows i Linuxu, ale alternativní možnosti jsou dlouhé a obtížně realizovatelné. Tolik k migraci 5 % z hesel na tokeny.
A implementace 2FA do podnikového informačního systému velmi závisí na kvalifikaci vývojářů. A pro vývojáře je mnohem snazší vzít si hotové moduly pro generování jednorázových hesel, než rozumět fungování kryptografických algoritmů. Výsledkem je, že dokonce i neuvěřitelně důležité aplikace, které jsou důležité pro zabezpečení, jako jsou systémy Single Sign-On nebo Privileged Access Management, používají OTP jako druhý faktor.
Mnoho zranitelností v tradičních autentizačních metodách
Zatímco mnoho organizací zůstává závislých na starších jednofaktorových systémech, zranitelnosti tradiční vícefaktorové autentizace jsou stále zjevnější. Nejběžnější formou autentizace (samozřejmě kromě faktoru hesla) zůstávají jednorázová hesla, obvykle šest až osm znaků, doručovaná prostřednictvím SMS. A když se v populárním tisku zmiňují slova „dvoufaktorová autentizace“ nebo „dvoufázové ověření“, téměř vždy se jedná o autentizaci SMS jednorázovým heslem.
Tady se autor trochu mýlí. Doručování jednorázových hesel prostřednictvím SMS nikdy nebylo dvoufaktorové ověřování. Toto je ve své nejčistší podobě druhá fáze dvoufázové autentizace, kde první fází je zadání přihlašovacího jména a hesla.
V roce 2016 aktualizoval Národní institut pro standardy a technologie (NIST) svá autentizační pravidla, aby eliminoval používání jednorázových hesel zasílaných prostřednictvím SMS. Tato pravidla však byla po protestech průmyslu výrazně uvolněna.
Pojďme tedy sledovat zápletku. Americký regulátor správně uznává, že zastaralá technologie není schopna zajistit bezpečnost uživatelů a zavádí nové standardy. Standardy určené k ochraně uživatelů online a mobilních aplikací (včetně bankovních). Průmysl počítá, kolik peněz bude muset utratit za nákup skutečně spolehlivých kryptografických tokenů, přepracování aplikací, nasazení infrastruktury veřejného klíče, a „zvedá se na zadních nohách“. Na jedné straně se uživatelé přesvědčili o spolehlivosti jednorázových hesel a na straně druhé došlo k útokům na NIST. V důsledku toho došlo ke změkčení standardu a prudce vzrostl počet hacků a krádeží hesel (a peněz z bankovních aplikací). Průmysl ale nemusel vyhazovat peníze.
Od té doby se základní slabiny SMS OTP staly zjevnějšími. Podvodníci používají různé metody ke kompromitaci SMS zpráv:
- duplikace SIM karty. Útočníci vytvoří kopii SIM karty (s pomocí zaměstnanců mobilního operátora nebo samostatně, pomocí speciálního softwaru a hardwaru). Výsledkem je, že útočník obdrží SMS s jednorázovým heslem. V jednom zvláště slavném případě byli hackeři dokonce schopni kompromitovat účet AT&T investora do kryptoměn Michaela Turpina a ukrást téměř 24 milionů dolarů v kryptoměnách. V důsledku toho Turpin uvedl, že AT&T byla na vině kvůli slabým ověřovacím opatřením, která vedla k duplikaci SIM karty.
Úžasná logika. Takže je to opravdu jen chyba AT&T? Ne, je nepochybně chybou mobilního operátora, že prodavači v obchodě s komunikací vydali duplikát SIM karty. A co autentizační systém kryptoměnové burzy? Proč nepoužili silné kryptografické tokeny? Byla škoda utrácet peníze za realizaci? Není na vině sám Michael? Proč netrval na změně autentizačního mechanismu nebo nepoužíval pouze ty burzy, které implementují dvoufaktorovou autentizaci založenou na kryptografických tokenech?
Zavedení skutečně spolehlivých autentizačních metod je zpožděno právě proto, že uživatelé prokazují úžasnou neopatrnost před hackováním a poté obviňují své potíže na kohokoli a cokoli jiného než na staré a „děravé“ autentizační technologie.
- Malware. Jednou z prvních funkcí mobilního malwaru bylo zachycení a předání textových zpráv útočníkům. Útoky typu man-in-the-browser a man-in-the-middle mohou také zachytit jednorázová hesla, když jsou zadána na infikovaných laptopech nebo stolních zařízeních.
Když aplikace Sberbank na vašem smartphonu bliká zelenou ikonou ve stavovém řádku, hledá také „malware“ ve vašem telefonu. Cílem této akce je proměnit nedůvěryhodné exekuční prostředí typického smartphonu na, alespoň nějakým způsobem, důvěryhodné.
Mimochodem, smartphone jako zcela nedůvěryhodné zařízení, na kterém lze dělat cokoli, je dalším důvodem, proč jej používat k autentizaci pouze hardwarové tokeny, které jsou chráněny a neobsahují viry a trojské koně. - Sociální inženýrství. Když podvodníci vědí, že oběť má povolená jednorázová hesla prostřednictvím SMS, mohou oběť kontaktovat přímo a vydávat se za důvěryhodnou organizaci, jako je jejich banka nebo družstevní záložna, a oklamat oběť, aby poskytla kód, který právě obdržela.
Osobně jsem se s tímto typem podvodu setkal mnohokrát, například při pokusu něco prodat na oblíbeném internetovém bleším trhu. Sám jsem si dělal legraci z toho podvodníka, který se mě snažil oklamat, jak jsem měl. Ale bohužel, pravidelně čtu ve zprávách, jak další oběť podvodníků „nemyslela“, dala potvrzovací kód a přišla o velkou částku. A to vše proto, že banka jednoduše nechce řešit implementaci kryptografických tokenů do svých aplikací. Koneckonců, pokud se něco stane, klienti si „za to mohou sami“.
Zatímco alternativní metody doručování OTP mohou zmírnit některé zranitelnosti této metody ověřování, jiné zranitelnosti zůstávají. Samostatné aplikace pro generování kódu jsou nejlepší ochranou proti odposlechu, protože i malware může stěží interagovat přímo s generátorem kódu (vážně? Zapomněl autor reportáže na dálkové ovládání?), ale jednorázová hesla mohou být při zadávání do prohlížeče stále zachycena (například pomocí keyloggeru), prostřednictvím napadené mobilní aplikace; a lze je také získat přímo od uživatele pomocí sociálního inženýrství.
Použití více nástrojů pro hodnocení rizik, jako je rozpoznávání zařízení (detekce pokusů o provedení transakcí ze zařízení, která nepatří legálnímu uživateli), geolokace (uživatel, který byl právě v Moskvě, se pokouší provést operaci z Novosibirsku) a behaviorální analýzy jsou důležité pro řešení zranitelností, ale ani jedno řešení není všelékem. Pro každou situaci a typ dat je nutné pečlivě zhodnotit rizika a zvolit, jakou autentizační technologii použít.
Žádné autentizační řešení není všelék
Obrázek 2. Tabulka možností autentizace
| Ověřování | Faktor | popis | Klíčové zranitelnosti |
| Heslo nebo PIN | Znalost | Pevná hodnota, která může obsahovat písmena, čísla a řadu dalších znaků | Může být zachycen, špehován, ukraden, sebrán nebo hacknut |
| Autentizace založená na znalostech | Znalost | Otázky odpovědi, které může znát pouze legální uživatel | Lze jej zachytit, zachytit, získat pomocí metod sociálního inženýrství |
| OTP hardwaru () | Majetek | Speciální zařízení, které generuje jednorázová hesla | Kód může být zachycen a opakován nebo může být zařízení odcizeno |
| Softwarová jednorázová hesla | Majetek | Aplikace (mobilní, přístupná přes prohlížeč nebo zasílání kódů e-mailem), která generuje jednorázová hesla | Kód může být zachycen a opakován nebo může být zařízení odcizeno |
| SMS OTP | Majetek | Jednorázové heslo doručené SMS zprávou | Kód může být zachycen a opakován nebo může být odcizen smartphone nebo SIM karta nebo může být SIM karta duplikována |
| Chytré karty () | Majetek | Karta, která obsahuje kryptografický čip a zabezpečenou paměť klíčů, která k ověřování využívá infrastrukturu veřejných klíčů | Může být fyzicky odcizen (ale útočník nebude moci používat zařízení bez znalosti PIN kódu; v případě několika nesprávných pokusů o zadání bude zařízení zablokováno) |
| Bezpečnostní klíče – tokeny (, ) | Majetek | Zařízení USB, které obsahuje kryptografický čip a zabezpečenou paměť klíčů, která k ověřování využívá infrastrukturu veřejných klíčů | Může být fyzicky ukradeno (útočník však nebude moci zařízení používat bez znalosti PIN kódu, v případě několika chybných pokusů o zadání bude zařízení zablokováno) |
| Propojení se zařízením | Majetek | Proces, který vytváří profil, často pomocí JavaScriptu nebo pomocí značek, jako jsou soubory cookie a sdílené objekty Flash, aby bylo zajištěno, že se používá konkrétní zařízení | Tokeny lze ukrást (zkopírovat) a útočník na jeho zařízení může napodobit vlastnosti legálního zařízení |
| Chování | Inherence | Analyzuje, jak uživatel interaguje se zařízením nebo programem | Chování lze napodobit |
| Otisky prstů | Inherence | Uložené otisky prstů se porovnávají s otisky zachycenými opticky nebo elektronicky | Obraz lze ukrást a použít k ověření |
| Sken oka | Inherence | Porovnává vlastnosti oka, jako je vzor duhovky, s novými optickými skeny | Obraz lze ukrást a použít k ověření |
| Rozpoznávání obličejů | Inherence | Charakteristiky obličeje jsou porovnány s novými optickými skeny | Obraz lze ukrást a použít k ověření |
| Hlasové rozpoznávání | Inherence | Charakteristiky nahraného hlasového vzorku jsou porovnány s novými vzorky | Záznam lze ukrást a použít k ověření nebo emulovat |
V druhé části publikace nás čeká to nejchutnější - čísla a fakta, na kterých jsou založeny závěry a doporučení uvedená v první části. Samostatně bude probrána autentizace v uživatelských aplikacích a v podnikových systémech.
Uvidíme se brzy!
Zdroj: www.habr.com