Spoiler o deitl yr adroddiad: “Mae defnydd o ddilysu cryf yn cynyddu oherwydd bygythiadau o risgiau newydd a gofynion rheoleiddio.”
Cyhoeddodd y cwmni ymchwil "Javelin Strategy & Research" yr adroddiad "The State of Strong Authentication 2019" (). Dywed yr adroddiad hwn: pa ganran o gwmnïau Americanaidd ac Ewropeaidd sy'n defnyddio cyfrineiriau (a pham mai ychydig o bobl sy'n defnyddio cyfrineiriau nawr); pam mae'r defnydd o ddilysu dau ffactor yn seiliedig ar docynnau cryptograffig yn tyfu mor gyflym; Pam nad yw codau un-amser a anfonir trwy SMS yn ddiogel.
Mae croeso i unrhyw un sydd â diddordeb yn y presennol, y gorffennol, a dyfodol dilysu mewn mentrau a cheisiadau defnyddwyr.
Oddiwrth y cyfieithydd
Ysywaeth, mae iaith ysgrifennu'r adroddiad hwn yn eithaf “sych” a ffurfiol. Ac nid dwylaw cam (neu ymennydd) y cyfieithydd yw’r defnydd pum gwaith o’r gair “dilysiad” mewn un frawddeg fer, ond mympwy yr awduron. Wrth gyfieithu o ddau opsiwn - i roi testun yn nes at y gwreiddiol, neu un mwy diddorol i'r darllenwyr, weithiau dewisais y cyntaf, ac weithiau'r ail. Ond byddwch yn amyneddgar, ddarllenwyr annwyl, mae cynnwys yr adroddiad yn werth chweil.
Tynnwyd rhai darnau dibwys a diangen ar gyfer y stori, fel arall ni fyddai'r mwyafrif wedi gallu mynd trwy'r testun cyfan. Gall y rhai sydd am ddarllen yr adroddiad “heb ei dorri” wneud hynny yn yr iaith wreiddiol drwy ddilyn y ddolen.
Yn anffodus, nid yw awduron bob amser yn ofalus gyda therminoleg. Felly, weithiau gelwir cyfrineiriau un-amser (Cyfrinair Un Amser - OTP) yn “gyfrineiriau”, ac weithiau yn “godau”. Mae hyd yn oed yn waeth gyda dulliau dilysu. Nid yw bob amser yn hawdd i’r darllenydd heb ei hyfforddi ddyfalu mai’r un peth yw “dilysu gan ddefnyddio allweddi cryptograffig” a “dilysu cryf”. Ceisiais uno’r termau cymaint â phosibl, ac yn yr adroddiad ei hun mae darn o’u disgrifiad.
Serch hynny, argymhellir darllen yr adroddiad yn fawr oherwydd ei fod yn cynnwys canlyniadau ymchwil unigryw a chasgliadau cywir.
Cyflwynir yr holl ffigurau a ffeithiau heb y newidiadau lleiaf, ac os nad ydych yn cytuno â hwy, yna gwell dadlau nid â’r cyfieithydd, ond ag awduron yr adroddiad. A dyma fy sylwadau (wedi eu gosod allan fel dyfyniadau, ac wedi eu nodi yn y testyn Eidaleg) yw fy marn gwerth a byddaf yn hapus i ddadlau ar bob un ohonynt (yn ogystal ag ar ansawdd y cyfieithiad).
Adolygu
Y dyddiau hyn, mae sianeli digidol o gyfathrebu â chwsmeriaid yn bwysicach nag erioed i fusnesau. Ac o fewn y cwmni, mae cyfathrebu rhwng gweithwyr yn fwy digidol nag erioed o'r blaen. Ac mae pa mor ddiogel fydd y rhyngweithiadau hyn yn dibynnu ar y dull dilysu defnyddiwr a ddewiswyd. Mae ymosodwyr yn defnyddio dilysiad gwan i hacio cyfrifon defnyddwyr yn aruthrol. Mewn ymateb, mae rheolyddion yn tynhau safonau i orfodi busnesau i ddiogelu cyfrifon defnyddwyr a data yn well.
Mae bygythiadau sy'n gysylltiedig â dilysu yn ymestyn y tu hwnt i gymwysiadau defnyddwyr; gall ymosodwyr hefyd gael mynediad at gymwysiadau sy'n rhedeg y tu mewn i'r fenter. Mae'r gweithrediad hwn yn caniatáu iddynt ddynwared defnyddwyr corfforaethol. Gall ymosodwyr sy'n defnyddio pwyntiau mynediad â dilysiad gwan ddwyn data a pherfformio gweithgareddau twyllodrus eraill. Yn ffodus, mae yna fesurau i frwydro yn erbyn hyn. Bydd dilysu cryf yn helpu i leihau'n sylweddol y risg o ymosodiad gan ymosodwr, ar geisiadau defnyddwyr ac ar systemau busnes menter.
Mae'r astudiaeth hon yn archwilio: sut mae mentrau'n gweithredu dilysu i ddiogelu cymwysiadau defnyddwyr terfynol a systemau busnes menter; ffactorau y maent yn eu hystyried wrth ddewis datrysiad dilysu; y rôl y mae dilysu cryf yn ei chwarae yn eu sefydliadau; y manteision a gaiff y sefydliadau hyn.
Crynodeb
Canfyddiadau Allweddol
Ers 2017, mae'r defnydd o ddilysu cryf wedi cynyddu'n sydyn. Gyda'r nifer cynyddol o wendidau sy'n effeithio ar atebion dilysu traddodiadol, mae sefydliadau'n cryfhau eu galluoedd dilysu gyda dilysiad cryf. Mae nifer y sefydliadau sy'n defnyddio dilysiad cryptograffig aml-ffactor (MFA) wedi treblu ers 2017 ar gyfer cymwysiadau defnyddwyr ac wedi cynyddu bron i 50% ar gyfer cymwysiadau menter. Mae'r twf cyflymaf i'w weld mewn dilysu symudol oherwydd bod mwy o ddilysu biometrig ar gael.
Gwelwn yma ddarluniad o’r dywediad “hyd nes taranu, ni chroes dyn ei hun.” Pan rybuddiodd arbenigwyr am ansicrwydd cyfrineiriau, nid oedd unrhyw un ar frys i weithredu dilysiad dau ffactor. Cyn gynted ag y dechreuodd hacwyr ddwyn cyfrineiriau, dechreuodd pobl weithredu dilysiad dau ffactor.
Yn wir, mae unigolion yn gweithredu 2FA yn llawer mwy gweithredol. Yn gyntaf, mae'n haws iddynt dawelu eu hofnau trwy ddibynnu ar y dilysiad biometrig sydd wedi'i ymgorffori mewn ffonau smart, sydd mewn gwirionedd yn annibynadwy iawn. Mae angen i sefydliadau wario arian ar brynu tocynnau a gwneud gwaith (mewn gwirionedd, syml iawn) i'w gweithredu. Ac yn ail, dim ond pobl ddiog sydd heb ysgrifennu am ollyngiadau cyfrinair o wasanaethau fel Facebook a Dropbox, ond ni fydd CIOs y sefydliadau hyn o dan unrhyw amgylchiadau yn rhannu straeon am sut y cafodd cyfrineiriau eu dwyn (a beth ddigwyddodd nesaf) mewn sefydliadau.
Mae'r rhai nad ydynt yn defnyddio dilysiad cryf yn tanamcangyfrif eu risg i'w busnes a'u cwsmeriaid. Mae rhai sefydliadau nad ydynt yn defnyddio dilysiad cryf ar hyn o bryd yn tueddu i weld mewngofnodi a chyfrineiriau fel un o'r dulliau mwyaf effeithiol a hawdd ei ddefnyddio o ddilysu defnyddwyr. Nid yw eraill yn gweld gwerth yr asedau digidol y maent yn berchen arnynt. Wedi'r cyfan, mae'n werth ystyried bod gan seiberdroseddwyr ddiddordeb mewn unrhyw wybodaeth am ddefnyddwyr a busnes. Mae dwy ran o dair o gwmnïau sy'n defnyddio cyfrineiriau yn unig i ddilysu eu gweithwyr yn gwneud hynny oherwydd eu bod yn credu bod y cyfrineiriau'n ddigon da ar gyfer y math o wybodaeth y maent yn ei hamddiffyn.
Fodd bynnag, mae cyfrineiriau ar eu ffordd i'r bedd. Mae dibyniaeth ar gyfrineiriau wedi gostwng yn sylweddol dros y flwyddyn ddiwethaf ar gyfer cymwysiadau defnyddwyr a menter (o 44% i 31%, ac o 56% i 47%, yn y drefn honno) wrth i sefydliadau gynyddu eu defnydd o MFA traddodiadol a dilysu cryf.
Ond os edrychwn ar y sefyllfa yn ei chyfanrwydd, mae dulliau dilysu bregus yn dal i fodoli. Ar gyfer dilysu defnyddwyr, mae tua chwarter y sefydliadau yn defnyddio SMS OTP (cyfrinair un-amser) ynghyd â chwestiynau diogelwch. O ganlyniad, rhaid gweithredu mesurau diogelwch ychwanegol i amddiffyn rhag y bregusrwydd, sy'n cynyddu costau. Mae'r defnydd o ddulliau dilysu llawer mwy diogel, megis allweddi cryptograffig caledwedd, yn cael ei ddefnyddio'n llawer llai aml, mewn tua 5% o sefydliadau.
Mae'r amgylchedd rheoleiddio esblygol yn addo cyflymu'r broses o fabwysiadu dilysiad cryf ar gyfer cymwysiadau defnyddwyr. Gyda chyflwyniad PSD2, yn ogystal â rheolau diogelu data newydd yn yr UE a sawl talaith yn yr UD fel California, mae cwmnïau'n teimlo'r gwres. Mae bron i 70% o gwmnïau'n cytuno eu bod yn wynebu pwysau rheoleiddio cryf i ddarparu dilysiad cryf i'w cwsmeriaid. Mae mwy na hanner y mentrau o'r farn na fydd eu dulliau dilysu yn ddigon i fodloni safonau rheoleiddio o fewn ychydig flynyddoedd.
Mae'r gwahaniaeth yn ymagweddau deddfwyr Rwsiaidd ac America-Ewropeaidd at ddiogelu data personol defnyddwyr rhaglenni a gwasanaethau i'w weld yn glir. Mae'r Rwsiaid yn dweud: annwyl berchnogion gwasanaethau, gwnewch yr hyn rydych chi ei eisiau a sut rydych chi ei eisiau, ond os bydd eich gweinyddwr yn uno'r gronfa ddata, byddwn yn eich cosbi. Maen nhw'n dweud dramor: rhaid ichi weithredu set o fesurau sy'n ni fydd yn caniatáu draeniwch y sylfaen. Dyna pam mae gofynion ar gyfer dilysu dau ffactor llym yn cael eu gweithredu yno.
Gwir, mae'n bell o fod yn ffaith na fydd ein peiriant deddfwriaethol un diwrnod yn dod i'w synhwyrau ac yn cymryd i ystyriaeth profiad y Gorllewin. Yna mae'n ymddangos bod angen i bawb weithredu 2FA, sy'n cydymffurfio â safonau cryptograffig Rwsia, ac ar frys.
Mae sefydlu fframwaith dilysu cryf yn caniatáu i gwmnïau symud eu ffocws o fodloni gofynion rheoleiddiol i ddiwallu anghenion cwsmeriaid. Ar gyfer y sefydliadau hynny sy'n dal i ddefnyddio cyfrineiriau syml neu dderbyn codau trwy SMS, y ffactor pwysicaf wrth ddewis dull dilysu fydd cydymffurfio â gofynion rheoliadol. Ond gall y cwmnïau hynny sydd eisoes yn defnyddio dilysiad cryf ganolbwyntio ar ddewis y dulliau dilysu hynny sy'n cynyddu teyrngarwch cwsmeriaid.
Wrth ddewis dull dilysu corfforaethol o fewn menter, nid yw gofynion rheoleiddiol bellach yn ffactor arwyddocaol. Yn yr achos hwn, mae rhwyddineb integreiddio (32%) a chost (26%) yn bwysicach o lawer.
Yn oes gwe-rwydo, gall ymosodwyr ddefnyddio e-bost corfforaethol i dwyllo i gael mynediad twyllodrus at ddata, cyfrifon (gyda hawliau mynediad priodol), a hyd yn oed i argyhoeddi gweithwyr i wneud trosglwyddiad arian i'w gyfrif. Felly, rhaid diogelu cyfrifon e-bost corfforaethol a phorth yn arbennig o dda.
Mae Google wedi cryfhau ei ddiogelwch trwy weithredu dilysiad cryf. Fwy na dwy flynedd yn ôl, cyhoeddodd Google adroddiad ar weithrediad dilysu dau ffactor yn seiliedig ar allweddi diogelwch cryptograffig gan ddefnyddio safon FIDO U2F, gan adrodd canlyniadau trawiadol. Yn ôl y cwmni, ni chynhaliwyd un ymosodiad gwe-rwydo yn erbyn mwy na 85 o weithwyr.
Argymhellion
Gweithredu dilysiad cryf ar gyfer cymwysiadau symudol ac ar-lein. Mae dilysu aml-ffactor yn seiliedig ar allweddi cryptograffig yn darparu amddiffyniad llawer gwell rhag hacio na dulliau MFA traddodiadol. Yn ogystal, mae'r defnydd o allweddi cryptograffig yn llawer mwy cyfleus oherwydd nid oes angen defnyddio a throsglwyddo gwybodaeth ychwanegol - cyfrineiriau, cyfrineiriau un-amser neu ddata biometrig o ddyfais y defnyddiwr i'r gweinydd dilysu. Yn ogystal, mae safoni protocolau dilysu yn ei gwneud yn llawer haws gweithredu dulliau dilysu newydd wrth iddynt ddod ar gael, gan leihau costau gweithredu a diogelu rhag cynlluniau twyll mwy soffistigedig.
Paratoi ar gyfer tranc cyfrineiriau un-amser (OTP). Mae’r gwendidau sy’n gynhenid mewn OTPs yn dod yn fwyfwy amlwg wrth i seiberdroseddwyr ddefnyddio peirianneg gymdeithasol, clonio ffonau clyfar a meddalwedd faleisus i beryglu’r dulliau dilysu hyn. Ac os oes gan OTPs rai manteision mewn rhai achosion, yna dim ond o safbwynt argaeledd cyffredinol i bob defnyddiwr, ond nid o safbwynt diogelwch.
Mae'n amhosibl peidio â sylwi bod derbyn codau trwy hysbysiadau SMS neu Push, yn ogystal â chynhyrchu codau gan ddefnyddio rhaglenni ar gyfer ffonau smart, yn golygu defnyddio'r un cyfrineiriau un-amser (OTP) y gofynnir i ni baratoi ar gyfer y dirywiad ar eu cyfer. O safbwynt technegol, mae'r ateb yn gywir iawn, oherwydd ei fod yn dwyllwr prin nad yw'n ceisio darganfod y cyfrinair un-amser gan ddefnyddiwr hygoelus. Ond credaf y bydd gweithgynhyrchwyr systemau o'r fath yn glynu wrth dechnoleg marw i'r olaf.
Defnyddio dilysiad cryf fel arf marchnata i gynyddu ymddiriedaeth cwsmeriaid. Gall dilysu cryf wneud mwy na dim ond gwella diogelwch gwirioneddol eich busnes. Gall hysbysu cwsmeriaid bod eich busnes yn defnyddio dilysiad cryf gryfhau canfyddiad y cyhoedd o ddiogelwch y busnes hwnnw - ffactor pwysig pan fo galw sylweddol gan gwsmeriaid am ddulliau dilysu cryf.
Cynnal rhestr eiddo ac asesiad beirniadol o ddata corfforaethol a'i ddiogelu yn ôl pwysigrwydd. Hyd yn oed data risg isel fel gwybodaeth cyswllt cwsmeriaid (na, mewn gwirionedd, mae’r adroddiad yn dweud “risg isel”, mae’n rhyfedd iawn eu bod yn tanamcangyfrif pwysigrwydd y wybodaeth hon), yn gallu dod â gwerth sylweddol i dwyllwyr ac achosi problemau i'r cwmni.
Defnyddiwch ddilysiad menter cryf. Nifer o systemau yw'r targedau mwyaf deniadol i droseddwyr. Mae'r rhain yn cynnwys systemau mewnol a systemau sy'n gysylltiedig â'r Rhyngrwyd megis rhaglen gyfrifo neu warws data corfforaethol. Mae dilysu cryf yn atal ymosodwyr rhag cael mynediad heb awdurdod, a hefyd yn ei gwneud hi'n bosibl pennu'n gywir pa weithiwr a gyflawnodd y gweithgaredd maleisus.
Beth yw Dilysu Cryf?
Wrth ddefnyddio dilysiad cryf, defnyddir sawl dull neu ffactor i wirio dilysrwydd y defnyddiwr:
- Ffactor Gwybodaeth: cyfrinach a rennir rhwng y defnyddiwr a phwnc dilys y defnyddiwr (fel cyfrineiriau, atebion i gwestiynau diogelwch, ac ati)
- Ffactor perchnogaeth: dyfais sydd gan y defnyddiwr yn unig (er enghraifft, dyfais symudol, allwedd cryptograffig, ac ati)
- Ffactor uniondeb: nodweddion corfforol (biometrig yn aml) y defnyddiwr (er enghraifft, olion bysedd, patrwm iris, llais, ymddygiad, ac ati)
Mae'r angen i hacio ffactorau lluosog yn cynyddu'r tebygolrwydd o fethiant i ymosodwyr yn fawr, gan fod osgoi neu dwyllo ffactorau amrywiol yn gofyn am ddefnyddio sawl math o dactegau hacio, ar gyfer pob ffactor ar wahân.
Er enghraifft, gyda “cyfrinair + ffôn clyfar” 2FA, gall ymosodwr berfformio dilysiad trwy edrych ar gyfrinair y defnyddiwr a gwneud union gopi meddalwedd o'i ffôn clyfar. Ac mae hyn yn llawer anoddach na dim ond dwyn cyfrinair.
Ond os defnyddir cyfrinair a thocyn cryptograffig ar gyfer 2FA, yna nid yw'r opsiwn copïo yn gweithio yma - mae'n amhosibl dyblygu'r tocyn. Bydd angen i'r twyllwr ddwyn y tocyn yn llechwraidd oddi wrth y defnyddiwr. Os bydd y defnyddiwr yn sylwi ar y golled mewn amser ac yn hysbysu'r gweinyddwr, bydd y tocyn yn cael ei rwystro a bydd ymdrechion y twyllwr yn ofer. Dyna pam mae'r ffactor perchnogaeth yn gofyn am ddefnyddio dyfeisiau diogel arbenigol (tocynnau) yn hytrach na dyfeisiau pwrpas cyffredinol (ffonau clyfar).
Bydd defnyddio'r tri ffactor yn gwneud y dull dilysu hwn yn eithaf drud i'w weithredu ac yn eithaf anghyfleus i'w ddefnyddio. Felly, mae dau o bob tri ffactor yn cael eu defnyddio fel arfer.
Disgrifir egwyddorion dilysu dau ffactor yn fanylach , yn y bloc “Sut mae dilysu dau ffactor yn gweithio”.
Mae'n bwysig nodi bod yn rhaid i o leiaf un o'r ffactorau dilysu a ddefnyddir mewn dilysu cryf ddefnyddio cryptograffeg allwedd gyhoeddus.
Mae dilysu cryf yn darparu amddiffyniad llawer cryfach na dilysu un ffactor yn seiliedig ar gyfrineiriau clasurol a MFA traddodiadol. Gellir ysbïo neu ryng-gipio cyfrineiriau gan ddefnyddio keyloggers, gwefannau gwe-rwydo, neu ymosodiadau peirianneg gymdeithasol (lle mae'r dioddefwr yn cael ei dwyllo i ddatgelu ei gyfrinair). Ar ben hynny, ni fydd perchennog y cyfrinair yn gwybod unrhyw beth am y lladrad. Gellir hacio MFA traddodiadol (gan gynnwys codau OTP, rhwymo ffôn clyfar neu gerdyn SIM) yn eithaf hawdd hefyd, gan nad yw'n seiliedig ar cryptograffeg allwedd gyhoeddus (Gyda llaw, mae yna lawer o enghreifftiau pan oedd sgamwyr, gan ddefnyddio'r un technegau peirianneg gymdeithasol, wedi perswadio defnyddwyr i roi cyfrinair un-amser iddynt).
Yn ffodus, mae'r defnydd o ddilysu cryf a MFA traddodiadol wedi bod yn ennill tyniant mewn cymwysiadau defnyddwyr a menter ers y llynedd. Mae'r defnydd o ddilysu cryf mewn cymwysiadau defnyddwyr wedi tyfu'n arbennig o gyflym. Os mai dim ond 2017% o gwmnïau oedd yn ei ddefnyddio yn 5, yna yn 2018 roedd eisoes deirgwaith yn fwy - 16%. Gellir esbonio hyn gan y cynnydd yn argaeledd tocynnau sy'n cefnogi algorithmau Cryptograffeg Allwedd Gyhoeddus (PKC). Yn ogystal, mae pwysau cynyddol gan reoleiddwyr Ewropeaidd yn dilyn mabwysiadu rheolau diogelu data newydd fel PSD2 a GDPR wedi cael effaith gref hyd yn oed y tu allan i Ewrop (gan gynnwys yn Rwsia).
Gadewch i ni edrych yn agosach ar y niferoedd hyn. Fel y gallwn weld, mae canran yr unigolion preifat sy'n defnyddio dilysu aml-ffactor wedi cynyddu 11% trawiadol dros y flwyddyn. Ac mae hyn yn amlwg wedi digwydd ar draul cariadon cyfrinair, gan nad yw niferoedd y rhai sy'n credu yn niogelwch hysbysiadau gwthio, SMS a biometreg wedi newid.
Ond gyda dilysu dau ffactor ar gyfer defnydd corfforaethol, nid yw pethau cystal. Yn gyntaf, yn ôl yr adroddiad, dim ond 5% o weithwyr a drosglwyddwyd o ddilysu cyfrinair i docynnau. Ac yn ail, mae nifer y rhai sy'n defnyddio opsiynau MFA amgen mewn amgylchedd corfforaethol wedi cynyddu 4%.
Byddaf yn ceisio chwarae dadansoddwr a rhoi fy nehongliad. Yng nghanol byd digidol defnyddwyr unigol mae'r ffôn clyfar. Felly, nid yw'n syndod bod y mwyafrif yn defnyddio'r galluoedd y mae'r ddyfais yn eu darparu - dilysu biometrig, hysbysiadau SMS a Gwthio, yn ogystal â chyfrineiriau un-amser a gynhyrchir gan gymwysiadau ar y ffôn clyfar ei hun. Fel arfer nid yw pobl yn meddwl am ddiogelwch a dibynadwyedd wrth ddefnyddio'r offer y maent yn gyfarwydd â nhw.
Dyma pam mae canran defnyddwyr ffactorau dilysu “traddodiadol” cyntefig yn aros yr un fath. Ond mae'r rhai sydd wedi defnyddio cyfrineiriau o'r blaen yn deall faint maen nhw'n ei beryglu, ac wrth ddewis ffactor dilysu newydd, maen nhw'n dewis yr opsiwn mwyaf newydd a mwyaf diogel - tocyn cryptograffig.
O ran y farchnad gorfforaethol, mae'n bwysig deall i ba system ddilysu a wneir. Os gweithredir mewngofnodi i barth Windows, yna defnyddir tocynnau cryptograffig. Mae'r posibiliadau ar gyfer eu defnyddio ar gyfer 2FA eisoes wedi'u cynnwys yn Windows a Linux, ac mae opsiynau amgen yn hir ac yn anodd eu gweithredu. Cymaint am fudo 5% o gyfrineiriau i docynnau.
Ac mae gweithredu 2FA mewn system wybodaeth gorfforaethol yn dibynnu'n fawr ar gymwysterau'r datblygwyr. Ac mae'n llawer haws i ddatblygwyr gymryd modiwlau parod ar gyfer cynhyrchu cyfrineiriau un-amser nag i ddeall gweithrediad algorithmau cryptograffig. Ac o ganlyniad, mae hyd yn oed cymwysiadau hynod hanfodol i ddiogelwch fel systemau Sign-On Sengl neu Reoli Mynediad Breintiedig yn defnyddio OTP fel ail ffactor.
Mae llawer o wendidau mewn dulliau dilysu traddodiadol
Er bod llawer o sefydliadau'n parhau i ddibynnu ar systemau un ffactor etifeddol, mae gwendidau o ran dilysu aml-ffactor traddodiadol yn dod yn fwyfwy amlwg. Mae cyfrineiriau un-amser, fel arfer chwech i wyth nod o hyd, wedi'u dosbarthu trwy SMS, yn parhau i fod y math mwyaf cyffredin o ddilysu (ar wahân i'r ffactor cyfrinair, wrth gwrs). A phan sonnir am y geiriau “dilysu dau ffactor” neu “dilysu dau gam” yn y wasg boblogaidd, maen nhw bron bob amser yn cyfeirio at ddilysu cyfrinair un-amser SMS.
Yma mae'r awdur ychydig yn anghywir. Nid yw cyflwyno cyfrineiriau un-amser trwy SMS erioed wedi bod yn ddilysiad dau ffactor. Yn ei ffurf buraf, dyma ail gam dilysu dau gam, lle mae'r cam cyntaf yn mynd i mewn i'ch mewngofnodi a'ch cyfrinair.
Yn 2016, diweddarodd y Sefydliad Cenedlaethol Safonau a Thechnoleg (NIST) ei reolau dilysu i ddileu'r defnydd o gyfrineiriau un-amser a anfonwyd trwy SMS. Fodd bynnag, cafodd y rheolau hyn eu llacio'n sylweddol yn dilyn protestiadau'r diwydiant.
Felly, gadewch i ni ddilyn y plot. Mae'r rheolydd Americanaidd yn cydnabod yn gywir nad yw technoleg hen ffasiwn yn gallu sicrhau diogelwch defnyddwyr ac mae'n cyflwyno safonau newydd. Safonau a gynlluniwyd i ddiogelu defnyddwyr cymwysiadau ar-lein a symudol (gan gynnwys rhai bancio). Mae’r diwydiant yn cyfrifo faint o arian y bydd yn rhaid iddo ei wario ar brynu tocynnau cryptograffig gwirioneddol ddibynadwy, ailgynllunio cymwysiadau, defnyddio seilwaith allweddol cyhoeddus, ac mae’n “codi ar ei goesau ôl.” Ar y naill law, roedd defnyddwyr yn argyhoeddedig o ddibynadwyedd cyfrineiriau un-amser, ac ar y llaw arall, roedd ymosodiadau ar NIST. O ganlyniad, meddalwyd y safon, a chynyddodd nifer yr haciau a dwyn cyfrineiriau (ac arian o geisiadau bancio) yn sydyn. Ond nid oedd yn rhaid i'r diwydiant gragen allan arian.
Ers hynny, mae gwendidau cynhenid SMS OTP wedi dod yn fwy amlwg. Mae twyllwyr yn defnyddio gwahanol ddulliau i gyfaddawdu negeseuon SMS:
- Dyblygu cerdyn SIM. Mae ymosodwyr yn creu copi o'r SIM (gyda chymorth gweithwyr gweithredwyr ffonau symudol, neu'n annibynnol, gan ddefnyddio meddalwedd a chaledwedd arbennig). O ganlyniad, mae'r ymosodwr yn derbyn SMS gyda chyfrinair un-amser. Mewn un achos arbennig o enwog, roedd hacwyr hyd yn oed yn gallu peryglu cyfrif AT&T y buddsoddwr arian cyfred digidol Michael Turpin, a dwyn bron i $24 miliwn mewn arian cyfred digidol. O ganlyniad, dywedodd Turpin fod AT&T ar fai oherwydd mesurau gwirio gwan a arweiniodd at ddyblygu cerdyn SIM.
Rhesymeg anhygoel. Felly dim ond bai AT&T ydyw mewn gwirionedd? Na, heb os, bai'r gweithredwr ffôn symudol yw bod y gwerthwyr yn y siop gyfathrebu wedi cyhoeddi cerdyn SIM dyblyg. Beth am y system ddilysu cyfnewid arian cyfred digidol? Pam na wnaethant ddefnyddio tocynnau cryptograffig cryf? A oedd yn drueni gwario arian ar weithredu? Onid Michael ei hun sydd ar fai? Pam na fynnodd newid y mecanwaith dilysu neu ddefnyddio dim ond y cyfnewidfeydd hynny sy'n gweithredu dilysiad dau ffactor yn seiliedig ar docynnau cryptograffig?
Mae cyflwyno dulliau dilysu gwirioneddol ddibynadwy yn cael ei ohirio yn union oherwydd bod defnyddwyr yn dangos diofalwch anhygoel cyn hacio, ac wedi hynny maent yn beio eu trafferthion ar unrhyw un ac unrhyw beth heblaw technolegau dilysu hynafol a “gollwng”
- Malware. Un o swyddogaethau cynharaf malware symudol oedd rhyng-gipio ac anfon negeseuon testun at ymosodwyr. Hefyd, gall ymosodiadau dyn-yn-y-porwr a dyn-yn-y-canol ryng-gipio cyfrineiriau un-amser pan gânt eu nodi ar liniaduron neu ddyfeisiau bwrdd gwaith heintiedig.
Pan fydd cymhwysiad Sberbank ar eich ffôn clyfar yn blincio eicon gwyrdd yn y bar statws, mae hefyd yn edrych am “ddrwgwedd” ar eich ffôn. Nod y digwyddiad hwn yw troi amgylchedd gweithredu di-ymddiried ffôn clyfar nodweddiadol yn un y gellir ymddiried ynddo, mewn rhyw ffordd o leiaf.
Gyda llaw, mae ffôn clyfar, fel dyfais gwbl ddiymddiried y gellir gwneud unrhyw beth arni, yn rheswm arall dros ei ddefnyddio ar gyfer dilysu tocynnau caledwedd yn unig, sydd wedi'u diogelu ac yn rhydd rhag firysau a Trojans. - Peirianneg gymdeithasol. Pan fydd sgamwyr yn gwybod bod gan ddioddefwr OTPs wedi'u galluogi trwy SMS, gallant gysylltu â'r dioddefwr yn uniongyrchol, gan esgusodi fel sefydliad y gellir ymddiried ynddo fel eu banc neu undeb credyd, i dwyllo'r dioddefwr i ddarparu'r cod y mae newydd ei dderbyn.
Rwyf wedi dod ar draws y math hwn o dwyll yn bersonol lawer gwaith, er enghraifft, wrth geisio gwerthu rhywbeth ar farchnad chwain boblogaidd ar-lein. Fe wnes i fy hun hwyl ar y swindler a geisiodd fy twyllo i gynnwys fy nghalon. Ond gwaetha’r modd, roeddwn i’n darllen yn y newyddion yn rheolaidd sut nad oedd dioddefwr arall o sgamwyr “yn meddwl,” wedi rhoi’r cod cadarnhau a cholli swm mawr. Ac mae hyn i gyd oherwydd nad yw'r banc yn syml am ddelio â gweithredu tocynnau cryptograffig yn ei gymwysiadau. Wedi'r cyfan, os bydd rhywbeth yn digwydd, yna mae'r cleientiaid "eu hunain ar fai."
Er y gallai dulliau cyflenwi OTP amgen liniaru rhai o'r gwendidau yn y dull dilysu hwn, mae gwendidau eraill yn parhau. Cymwysiadau cynhyrchu cod annibynnol yw'r amddiffyniad gorau rhag clustfeinio, oherwydd prin y gall hyd yn oed malware ryngweithio'n uniongyrchol â'r generadur cod (o ddifrif? A wnaeth awdur yr adroddiad anghofio am y teclyn rheoli o bell?), ond gellir dal i ryng-gipio OTPs pan gânt eu rhoi yn y porwr (er enghraifft defnyddio keylogger), trwy gymhwysiad symudol wedi'i hacio; a gellir ei gael yn uniongyrchol hefyd gan y defnyddiwr gan ddefnyddio peirianneg gymdeithasol.
Defnyddio offer asesu risg lluosog megis adnabod dyfeisiau (canfod ymdrechion i gyflawni trafodion o ddyfeisiau nad ydynt yn perthyn i ddefnyddiwr cyfreithlon), geoleoliad (mae defnyddiwr sydd newydd fod ym Moscow yn ceisio perfformio llawdriniaeth o Novosibirsk) a dadansoddeg ymddygiadol yn bwysig ar gyfer mynd i'r afael â gwendidau, ond nid yw'r naill ateb na'r llall yn ateb pob problem. Ar gyfer pob sefyllfa a math o ddata, mae angen asesu'r risgiau'n ofalus a dewis pa dechnoleg ddilysu y dylid ei defnyddio.
Nid oes ateb dilysu yn ateb i bob problem
Ffigur 2. Tabl opsiynau dilysu
| Dilysu | Ffactor | Disgrifiad | Gwendidau allweddol |
| Cyfrinair neu PIN | Gwybodaeth | Gwerth sefydlog, a all gynnwys llythrennau, rhifau a nifer o nodau eraill | Gellir ei ryng-gipio, ysbïo arno, ei ddwyn, ei godi neu ei hacio |
| Dilysu ar sail gwybodaeth | Gwybodaeth | Yn cwestiynu'r atebion y gall defnyddiwr cyfreithlon yn unig wybod amdanynt | Gellir ei ryng-gipio, ei godi, ei gael gan ddefnyddio dulliau peirianneg gymdeithasol |
| Caledwedd OTP () | Meddiant | Dyfais arbennig sy'n cynhyrchu cyfrineiriau un-amser | Efallai y bydd y cod yn cael ei ryng-gipio a'i ailadrodd, neu efallai y bydd y ddyfais yn cael ei ddwyn |
| Meddalwedd OTPs | Meddiant | Cais (symudol, hygyrch trwy borwr, neu anfon codau trwy e-bost) sy'n cynhyrchu cyfrineiriau un-amser | Efallai y bydd y cod yn cael ei ryng-gipio a'i ailadrodd, neu efallai y bydd y ddyfais yn cael ei ddwyn |
| SMS OTP | Meddiant | Cyfrinair un-amser wedi'i ddanfon trwy neges destun SMS | Gall y cod gael ei ryng-gipio a'i ailadrodd, neu efallai y bydd y ffôn clyfar neu'r cerdyn SIM yn cael ei ddwyn, neu efallai y bydd y cerdyn SIM yn cael ei ddyblygu |
| Cardiau clyfar () | Meddiant | Cerdyn sy'n cynnwys sglodyn cryptograffig a chof allwedd diogel sy'n defnyddio seilwaith allwedd cyhoeddus ar gyfer dilysu | Gall gael ei ddwyn yn gorfforol (ond ni fydd ymosodwr yn gallu defnyddio'r ddyfais heb wybod y cod PIN; rhag ofn y bydd sawl ymgais mewnbwn anghywir, bydd y ddyfais yn cael ei rhwystro) |
| Allweddi diogelwch - tocynnau (, ) | Meddiant | Dyfais USB sy'n cynnwys sglodyn cryptograffig a chof allwedd diogel sy'n defnyddio seilwaith allwedd cyhoeddus ar gyfer dilysu | Gellir ei ddwyn yn gorfforol (ond ni fydd ymosodwr yn gallu defnyddio'r ddyfais heb wybod y cod PIN; rhag ofn y bydd sawl ymgais anghywir i fynd i mewn, bydd y ddyfais yn cael ei rhwystro) |
| Cysylltu â dyfais | Meddiant | Y broses sy'n creu proffil, gan ddefnyddio JavaScript yn aml, neu ddefnyddio marcwyr fel cwcis a Flash Shared Objects i sicrhau bod dyfais benodol yn cael ei defnyddio | Gellir dwyn (copïo) tocynnau, a gall ymosodwr efelychu nodweddion dyfais gyfreithiol ar ei ddyfais |
| Ymddygiad | Cynhenid | Yn dadansoddi sut mae'r defnyddiwr yn rhyngweithio â dyfais neu raglen | Gellir dynwared ymddygiad |
| Olion bysedd | Cynhenid | Mae olion bysedd wedi'u storio yn cael eu cymharu â'r rhai sy'n cael eu dal yn optegol neu'n electronig | Gellir dwyn y ddelwedd a'i defnyddio ar gyfer dilysu |
| Sgan llygaid | Cynhenid | Yn cymharu nodweddion llygaid, fel patrwm iris, â sganiau optegol newydd | Gellir dwyn y ddelwedd a'i defnyddio ar gyfer dilysu |
| Cydnabod wyneb | Cynhenid | Mae nodweddion wyneb yn cael eu cymharu â sganiau optegol newydd | Gellir dwyn y ddelwedd a'i defnyddio ar gyfer dilysu |
| Adnabod llais | Cynhenid | Mae nodweddion y sampl llais a gofnodwyd yn cael eu cymharu â samplau newydd | Gellir dwyn y cofnod a'i ddefnyddio ar gyfer dilysu, neu ei efelychu |
Yn ail ran y cyhoeddiad, mae'r pethau mwyaf blasus yn ein disgwyl - rhifau a ffeithiau, y mae'r casgliadau a'r argymhellion a roddir yn y rhan gyntaf yn seiliedig arnynt. Bydd dilysu mewn cymwysiadau defnyddwyr ac mewn systemau corfforaethol yn cael ei drafod ar wahân.
Gweler chi yn fuan!
Ffynhonnell: hab.com