Spoiler fra titlen på rapporten: "Brugen af stærk autentificering øges på grund af truslen om nye risici og regulatoriske krav."
Analysevirksomheden "Javelin Strategy & Research" udgav rapporten "The State of Strong Authentication 2019" (). Denne rapport siger: hvilken procentdel af amerikanske og europæiske virksomheder bruger adgangskoder (og hvorfor få mennesker bruger adgangskoder nu); hvorfor brugen af tofaktorautentificering baseret på kryptografiske tokens vokser så hurtigt; Hvorfor engangskoder sendt via SMS ikke er sikre.
Enhver, der er interesseret i nutiden, fortiden og fremtiden for autentificering i virksomheder og forbrugerapplikationer er velkomne.
Fra oversætteren
Ak, sproget, som denne rapport er skrevet på, er ret "tørt" og formelt. Og fem ganges brug af ordet "autentificering" i en kort sætning er ikke oversætterens skæve hænder (eller hjerner), men forfatternes lune. Når jeg oversatte fra to muligheder - for at give læserne en tekst tættere på originalen, eller en mere interessant, valgte jeg nogle gange den første og nogle gange den anden. Men hav tålmodighed, kære læsere, indholdet af rapporten er det værd.
Nogle uvæsentlige og unødvendige brikker til historien blev fjernet, ellers havde flertallet ikke kunnet komme igennem hele teksten. De, der ønsker at læse rapporten "uklippet", kan gøre det på originalsproget ved at følge linket.
Desværre er forfattere ikke altid forsigtige med terminologi. Således kaldes engangsadgangskoder (One Time Password - OTP) nogle gange "adgangskoder" og nogle gange "koder". Det er endnu værre med autentificeringsmetoder. Det er ikke altid let for den utrænede læser at gætte, at "godkendelse ved hjælp af kryptografiske nøgler" og "stærk autentificering" er det samme. Jeg forsøgte at forene vilkårene så meget som muligt, og i selve rapporten er der et fragment med deres beskrivelse.
Ikke desto mindre kan rapporten varmt anbefales at læse, fordi den indeholder unikke forskningsresultater og korrekte konklusioner.
Alle tal og fakta præsenteres uden de mindste ændringer, og hvis du ikke er enig i dem, så er det bedre at argumentere ikke med oversætteren, men med rapportens forfattere. Og her er mine kommentarer (udlagt som citater og markeret i teksten italiensk) er min værdivurdering, og jeg vil med glæde argumentere for hver af dem (såvel som om kvaliteten af oversættelsen).
Anmeldelse
I dag er digitale kommunikationskanaler med kunder vigtigere end nogensinde for virksomheder. Og i virksomheden er kommunikationen mellem medarbejdere mere digitalt orienteret end nogensinde før. Og hvor sikre disse interaktioner vil være afhænger af den valgte metode til brugergodkendelse. Angribere bruger svag godkendelse til massivt at hacke brugerkonti. Som svar strammer regulatorer standarderne for at tvinge virksomheder til bedre at beskytte brugerkonti og data.
Godkendelsesrelaterede trusler strækker sig ud over forbrugerapplikationer; angribere kan også få adgang til applikationer, der kører inde i virksomheden. Denne handling giver dem mulighed for at efterligne virksomhedsbrugere. Angribere, der bruger adgangspunkter med svag autentificering, kan stjæle data og udføre andre svigagtige aktiviteter. Heldigvis er der foranstaltninger til at bekæmpe dette. Stærk godkendelse vil bidrage betydeligt til at reducere risikoen for angreb fra en angriber, både på forbrugerapplikationer og på virksomhedens forretningssystemer.
Denne undersøgelse undersøger: hvordan virksomheder implementerer autentificering for at beskytte slutbrugerapplikationer og virksomhedssystemer; faktorer, de overvejer, når de vælger en godkendelsesløsning; den rolle, som stærk autentificering spiller i deres organisationer; fordelene disse organisationer modtager.
Resumé
Vigtige fund
Siden 2017 er brugen af stærk autentificering steget kraftigt. Med det stigende antal sårbarheder, der påvirker traditionelle autentificeringsløsninger, styrker organisationer deres autentificeringskapaciteter med stærk autentificering. Antallet af organisationer, der bruger kryptografisk multi-faktor autentificering (MFA) er tredoblet siden 2017 for forbrugerapplikationer og steget med næsten 50% for virksomhedsapplikationer. Den hurtigste vækst ses inden for mobilgodkendelse på grund af den stigende tilgængelighed af biometrisk autentificering.
Her ser vi en illustration af ordsproget "indtil tordenen slår, vil en mand ikke krydse sig." Da eksperter advarede om usikkerheden ved adgangskoder, havde ingen travlt med at implementere tofaktorautentificering. Så snart hackere begyndte at stjæle adgangskoder, begyndte folk at implementere to-faktor-autentificering.
Det er sandt, at enkeltpersoner implementerer 2FA meget mere aktivt. For det første er det nemmere for dem at dulme deres frygt ved at stole på den biometriske autentificering, der er indbygget i smartphones, som faktisk er meget upålidelig. Organisationer skal bruge penge på at købe tokens og udføre arbejde (faktisk meget enkelt) for at implementere dem. Og for det andet er det kun dovne, der ikke har skrevet om adgangskodelækage fra tjenester som Facebook og Dropbox, men under ingen omstændigheder vil disse organisationers CIO'er dele historier om, hvordan adgangskoder blev stjålet (og hvad der derefter skete) i organisationer.
De, der ikke bruger stærk autentificering, undervurderer deres risiko for deres virksomhed og kunder. Nogle organisationer, der i øjeblikket ikke bruger stærk godkendelse, har en tendens til at se logins og adgangskoder som en af de mest effektive og brugervenlige metoder til brugergodkendelse. Andre kan ikke se værdien af de digitale aktiver, de ejer. Det er trods alt værd at overveje, at cyberkriminelle er interesserede i enhver forbruger- og virksomhedsinformation. To tredjedele af virksomheder, der kun bruger adgangskoder til at autentificere deres medarbejdere, gør det, fordi de mener, at adgangskoderne er gode nok til den type information, de beskytter.
Adgangskoder er dog på vej i graven. Adgangskodeafhængighed er faldet markant i løbet af det seneste år for både forbruger- og virksomhedsapplikationer (fra henholdsvis 44 % til 31 % og fra 56 % til 47 %), efterhånden som organisationer øger deres brug af traditionel MFA og stærk autentificering.
Men hvis vi ser på situationen som helhed, er sårbare autentificeringsmetoder stadig gældende. Til brugergodkendelse bruger omkring en fjerdedel af organisationerne SMS OTP (engangskodeord) sammen med sikkerhedsspørgsmål. Som følge heraf skal der implementeres yderligere sikkerhedsforanstaltninger for at beskytte mod sårbarheden, hvilket øger omkostningerne. Brugen af meget mere sikre autentificeringsmetoder, såsom hardwarekryptografiske nøgler, bruges meget sjældnere, i cirka 5 % af organisationerne.
Det udviklende lovgivningsmiljø lover at fremskynde vedtagelsen af stærk autentificering til forbrugerapplikationer. Med introduktionen af PSD2 samt nye databeskyttelsesregler i EU og flere amerikanske stater såsom Californien mærker virksomheder varmen. Næsten 70 % af virksomhederne er enige om, at de står over for et stærkt regulatorisk pres for at levere stærk autentificering til deres kunder. Mere end halvdelen af virksomhederne mener, at deres autentificeringsmetoder inden for få år ikke vil være tilstrækkelige til at opfylde regulatoriske standarder.
Forskellen i russiske og amerikansk-europæiske lovgiveres tilgange til beskyttelse af personlige data for brugere af programmer og tjenester er tydeligt synlig. Russerne siger: kære tjenesteejere, gør hvad du vil, og hvordan du vil, men hvis din admin slår databasen sammen, vil vi straffe dig. De siger i udlandet: du skal gennemføre en række tiltag, der vil ikke tillade dræn bunden. Derfor implementeres krav til streng to-faktor autentificering der.
Sandt nok er det langt fra et faktum, at vores lovgivningsmaskine en dag ikke vil komme til fornuft og tage hensyn til vestlige erfaringer. Så viser det sig, at alle er nødt til at implementere 2FA, som overholder russiske kryptografiske standarder, og det haster.
Etablering af en stærk autentificeringsramme giver virksomheder mulighed for at flytte deres fokus fra at opfylde regulatoriske krav til at opfylde kundernes behov. For de organisationer, der stadig bruger simple adgangskoder eller modtager koder via SMS, vil den vigtigste faktor ved valg af godkendelsesmetode være overholdelse af lovkrav. Men de virksomheder, der allerede bruger stærk autentificering, kan fokusere på at vælge de autentificeringsmetoder, der øger kundeloyaliteten.
Når du vælger en virksomhedsgodkendelsesmetode inden for en virksomhed, er regulatoriske krav ikke længere en væsentlig faktor. I dette tilfælde er nem integration (32%) og omkostninger (26%) meget vigtigere.
I phishing-æraen kan angribere bruge firma-e-mail til at snyde at svigagtigt få adgang til data, konti (med passende adgangsrettigheder) og endda for at overbevise medarbejdere om at foretage en pengeoverførsel til hans konto. Derfor skal virksomhedens e-mail- og portalkonti være særligt godt beskyttet.
Google har styrket sin sikkerhed ved at implementere stærk godkendelse. For mere end to år siden offentliggjorde Google en rapport om implementeringen af tofaktorautentificering baseret på kryptografiske sikkerhedsnøgler ved hjælp af FIDO U2F-standarden, hvilket rapporterede imponerende resultater. Ifølge virksomheden blev der ikke udført et eneste phishing-angreb mod mere end 85 ansatte.
Anbefalinger
Implementer stærk autentificering til mobil- og onlineapplikationer. Multi-faktor autentificering baseret på kryptografiske nøgler giver meget bedre beskyttelse mod hacking end traditionelle MFA-metoder. Derudover er brugen af kryptografiske nøgler meget mere bekvem, fordi der ikke er behov for at bruge og overføre yderligere oplysninger - adgangskoder, engangsadgangskoder eller biometriske data fra brugerens enhed til godkendelsesserveren. Derudover gør standardisering af godkendelsesprotokoller det meget nemmere at implementere nye godkendelsesmetoder, efterhånden som de bliver tilgængelige, hvilket reducerer implementeringsomkostningerne og beskytter mod mere sofistikerede svindelordninger.
Forbered dig på bortfaldet af engangsadgangskoder (OTP). De sårbarheder, der er iboende i OTP'er, bliver mere og mere tydelige, efterhånden som cyberkriminelle bruger social engineering, smartphonekloning og malware til at kompromittere disse autentificeringsmetoder. Og hvis OTP'er i nogle tilfælde har visse fordele, så kun ud fra et synspunkt om universel tilgængelighed for alle brugere, men ikke ud fra et sikkerhedssynspunkt.
Det er umuligt ikke at bemærke, at modtagelse af koder via SMS eller Push-meddelelser, samt generering af koder ved hjælp af programmer til smartphones, er brugen af de samme engangskodeord (OTP), som vi bliver bedt om at forberede os på tilbagegangen til. Fra et teknisk synspunkt er løsningen meget korrekt, for det er en sjælden bedrager, der ikke forsøger at finde frem til engangskodeordet fra en godtroende bruger. Men jeg tror, at producenter af sådanne systemer vil klamre sig til uddøende teknologi til det sidste.
Brug stærk autentificering som et marketingværktøj til at øge kundernes tillid. Stærk autentificering kan gøre mere end blot at forbedre den faktiske sikkerhed i din virksomhed. At informere kunder om, at din virksomhed bruger stærk autentificering, kan styrke offentlighedens opfattelse af sikkerheden i den pågældende virksomhed – en vigtig faktor, når der er betydelig kundeefterspørgsel efter stærke autentificeringsmetoder.
Foretag en grundig opgørelse og kritikalitetsvurdering af virksomhedsdata og beskyt dem efter vigtighed. Selv lavrisikodata såsom kundekontaktoplysninger (nej, virkelig, rapporten siger "lav risiko", det er meget mærkeligt, at de undervurderer vigtigheden af denne information), kan tilføre svindlere betydelig værdi og skabe problemer for virksomheden.
Brug stærk virksomhedsgodkendelse. En række systemer er de mest attraktive mål for kriminelle. Disse omfatter interne og internetforbundne systemer såsom et regnskabsprogram eller et virksomhedsdatavarehus. Stærk autentificering forhindrer angribere i at få uautoriseret adgang, og gør det også muligt præcist at bestemme, hvilken medarbejder der begik den ondsindede aktivitet.
Hvad er stærk godkendelse?
Når du bruger stærk autentificering, bruges flere metoder eller faktorer til at verificere brugerens ægthed:
- Vidensfaktor: delt hemmelighed mellem brugeren og brugerens autentificerede emne (såsom adgangskoder, svar på sikkerhedsspørgsmål osv.)
- Ejerskabsfaktor: en enhed, som kun brugeren har (f.eks. en mobilenhed, en kryptografisk nøgle osv.)
- Integritetsfaktor: fysiske (ofte biometriske) karakteristika hos brugeren (f.eks. fingeraftryk, irismønster, stemme, adfærd osv.)
Behovet for at hacke flere faktorer øger i høj grad sandsynligheden for fejl for angribere, da omgåelse eller bedrageri af forskellige faktorer kræver brug af flere typer hacking-taktikker, for hver faktor separat.
For eksempel, med 2FA "adgangskode + smartphone", kan en angriber udføre godkendelse ved at se på brugerens adgangskode og lave en nøjagtig softwarekopi af sin smartphone. Og det er meget sværere end blot at stjæle en adgangskode.
Men hvis et kodeord og et kryptografisk token bruges til 2FA, så virker kopieringsmuligheden ikke her - det er umuligt at duplikere tokenet. Svindleren bliver nødt til snigende at stjæle tokenet fra brugeren. Hvis brugeren bemærker tabet i tide og underretter administratoren, vil tokenet blive blokeret, og bedragerens indsats vil være forgæves. Dette er grunden til, at ejerskabsfaktoren kræver brug af specialiserede sikre enheder (tokens) frem for generelle enheder (smartphones).
Brug af alle tre faktorer vil gøre denne godkendelsesmetode ret dyr at implementere og ret ubelejlig at bruge. Derfor bruges normalt to ud af tre faktorer.
Principperne for to-faktor autentificering er beskrevet mere detaljeret , i blokken "Sådan fungerer tofaktorgodkendelse".
Det er vigtigt at bemærke, at mindst én af de godkendelsesfaktorer, der bruges i stærk godkendelse, skal bruge offentlig nøglekryptering.
Stærk autentificering giver meget stærkere beskyttelse end enkeltfaktorgodkendelse baseret på klassiske adgangskoder og traditionel MFA. Adgangskoder kan spioneres på eller opsnappes ved hjælp af keyloggere, phishing-sider eller social engineering-angreb (hvor offeret bliver narret til at afsløre deres adgangskode). Desuden vil ejeren af adgangskoden ikke vide noget om tyveriet. Traditionel MFA (herunder OTP-koder, binding til en smartphone eller SIM-kort) kan også hackes ret nemt, da den ikke er baseret på offentlig nøglekryptering (Der er i øvrigt mange eksempler på, at svindlere ved hjælp af de samme social engineering-teknikker overtalte brugere til at give dem et engangskodeord).
Heldigvis har brugen af stærk autentificering og traditionel MFA vundet indpas i både forbruger- og virksomhedsapplikationer siden sidste år. Brugen af stærk autentificering i forbrugerapplikationer er vokset særligt hurtigt. Hvis kun 2017 % af virksomhederne brugte det i 5, så var det i 2018 allerede tre gange mere – 16 %. Dette kan forklares med den øgede tilgængelighed af tokens, der understøtter Public Key Cryptography (PKC) algoritmer. Derudover har øget pres fra europæiske tilsynsmyndigheder efter vedtagelsen af nye databeskyttelsesregler som PSD2 og GDPR haft en stærk effekt selv uden for Europa (herunder i Rusland).
Lad os se nærmere på disse tal. Som vi kan se, er procentdelen af privatpersoner, der bruger multi-faktor autentificering, vokset med imponerende 11% i løbet af året. Og dette skete tydeligvis på bekostning af adgangskodeelskere, da antallet af dem, der tror på sikkerheden ved Push-meddelelser, SMS og biometri, ikke har ændret sig.
Men med to-faktor-godkendelse til virksomhedsbrug er tingene ikke så gode. For det første blev kun 5 % af medarbejderne ifølge rapporten overført fra adgangskodegodkendelse til tokens. Og for det andet er antallet af dem, der bruger alternative MFA-muligheder i et virksomhedsmiljø, steget med 4 %.
Jeg vil prøve at spille analytiker og give min fortolkning. I centrum af den enkelte brugers digitale verden er smartphonen. Derfor er det ikke underligt, at flertallet bruger de muligheder, som enheden giver dem – biometrisk autentificering, SMS- og Push-beskeder samt engangsadgangskoder genereret af applikationer på selve smartphonen. Folk tænker normalt ikke på sikkerhed og pålidelighed, når de bruger de værktøjer, de er vant til.
Dette er grunden til, at procentdelen af brugere af primitive "traditionelle" autentificeringsfaktorer forbliver uændret. Men de, der tidligere har brugt adgangskoder, forstår, hvor meget de risikerer, og når de skal vælge en ny autentificeringsfaktor, vælger de den nyeste og sikreste mulighed - et kryptografisk token.
Hvad angår erhvervsmarkedet, er det vigtigt at forstå, i hvilket system autentificering udføres. Hvis login til et Windows-domæne er implementeret, bruges kryptografiske tokens. Mulighederne for at bruge dem til 2FA er allerede indbygget i både Windows og Linux, men alternative muligheder er lange og svære at implementere. Så meget for migreringen på 5 % fra adgangskoder til tokens.
Og implementeringen af 2FA i et virksomhedsinformationssystem afhænger meget af udviklernes kvalifikationer. Og det er meget lettere for udviklere at tage færdige moduler til at generere engangsadgangskoder end at forstå driften af kryptografiske algoritmer. Og som et resultat bruger selv utroligt sikkerhedskritiske applikationer som Single Sign-On eller Privileged Access Management-systemer OTP som en anden faktor.
Mange sårbarheder i traditionelle autentificeringsmetoder
Mens mange organisationer fortsat er afhængige af ældre enkeltfaktorsystemer, bliver sårbarheder i traditionel multifaktorautentificering stadig mere tydelige. Engangsadgangskoder, typisk seks til otte tegn lange, leveret via SMS, forbliver den mest almindelige form for autentificering (udover adgangskodefaktoren, selvfølgelig). Og når ordene "to-faktor-godkendelse" eller "to-trinsbekræftelse" er nævnt i den populære presse, refererer de næsten altid til SMS engangs-adgangskodegodkendelse.
Her tager forfatteren lidt fejl. At levere engangsadgangskoder via SMS har aldrig været to-faktor-godkendelse. Dette er i sin reneste form den anden fase af to-trins autentificering, hvor den første fase er at indtaste dit login og din adgangskode.
I 2016 opdaterede National Institute of Standards and Technology (NIST) sine autentificeringsregler for at eliminere brugen af engangsadgangskoder sendt via SMS. Disse regler blev dog lempet betydeligt efter industriens protester.
Så lad os følge plottet. Den amerikanske tilsynsmyndighed erkender med rette, at forældet teknologi ikke er i stand til at sikre brugersikkerheden og introducerer nye standarder. Standarder designet til at beskytte brugere af online- og mobilapplikationer (inklusive banker). Industrien beregner, hvor mange penge den skal bruge på at købe virkelig pålidelige kryptografiske tokens, redesigne applikationer, implementere en offentlig nøgleinfrastruktur og "rejser sig på bagbenene." På den ene side var brugerne overbevist om pålideligheden af engangskodeord, og på den anden side var der angreb på NIST. Som et resultat blev standarden blødgjort, og antallet af hacks og tyveri af adgangskoder (og penge fra bankapplikationer) steg kraftigt. Men industrien behøvede ikke at punge ud.
Siden da er de iboende svagheder ved SMS OTP blevet mere tydelige. Svindlere bruger forskellige metoder til at kompromittere SMS-beskeder:
- Duplikering af SIM-kort. Angribere opretter en kopi af SIM-kortet (med hjælp fra mobiloperatørens medarbejdere eller uafhængigt ved hjælp af speciel software og hardware). Som et resultat modtager angriberen en SMS med en engangsadgangskode. I et særligt berømt tilfælde var hackere endda i stand til at kompromittere AT&T-kontoen til cryptocurrency-investor Michael Turpin og stjæle næsten 24 millioner dollars i cryptocurrencies. Som et resultat udtalte Turpin, at AT&T var skyld på grund af svage verifikationsforanstaltninger, der førte til duplikering af SIM-kort.
Fantastisk logik. Så det er egentlig kun AT&T's skyld? Nej, det er uden tvivl mobiloperatørens skyld, at sælgerne i kommunikationsbutikken har udstedt et dublet-SIM-kort. Hvad med cryptocurrency-udvekslingsgodkendelsessystemet? Hvorfor brugte de ikke stærke kryptografiske tokens? Var det ærgerligt at bruge penge på implementering? Har Michael ikke selv skylden? Hvorfor insisterede han ikke på at ændre godkendelsesmekanismen eller kun bruge de børser, der implementerer tofaktorautentificering baseret på kryptografiske tokens?
Introduktionen af virkelig pålidelige autentificeringsmetoder er forsinket, netop fordi brugerne udviser en fantastisk skødesløshed før hacking, og bagefter giver de skylden for deres problemer på alle andre end gamle og "utætte" autentificeringsteknologier
- Malware. En af de tidligste funktioner ved mobil malware var at opsnappe og videresende tekstbeskeder til angribere. Man-in-the-browser og man-in-the-middle-angreb kan også opsnappe engangsadgangskoder, når de indtastes på inficerede bærbare computere eller stationære enheder.
Når Sberbank-applikationen på din smartphone blinker med et grønt ikon i statuslinjen, leder den også efter "malware" på din telefon. Målet med denne begivenhed er at gøre det upålidelige eksekveringsmiljø på en typisk smartphone til, i det mindste på en eller anden måde, et betroet miljø.
Forresten, en smartphone, som en fuldstændig upålidelig enhed, hvor alt kan gøres, er endnu en grund til at bruge den til godkendelse kun hardware-tokens, som er beskyttet og fri for virus og trojanske heste. - Social ingeniørkunst. Når svindlere ved, at et offer har OTP'er aktiveret via SMS, kan de kontakte offeret direkte og udgive sig for at være en betroet organisation, såsom deres bank eller kreditforening, for at narre offeret til at give den kode, de lige har modtaget.
Jeg er personligt stødt på denne form for svindel mange gange, for eksempel når jeg forsøgte at sælge noget på et populært online loppemarked. Jeg gjorde selv grin med svindleren, der forsøgte at narre mig til mit hjerte. Men ak, jeg læste jævnligt i nyhederne, hvordan endnu et offer for svindlere "ikke tænkte", gav bekræftelseskoden og mistede en stor sum. Og alt dette skyldes, at banken simpelthen ikke ønsker at beskæftige sig med implementeringen af kryptografiske tokens i sine applikationer. Når alt kommer til alt, hvis der sker noget, så "har klienterne sig selv at bebrejde."
Mens alternative OTP-leveringsmetoder kan afbøde nogle af sårbarhederne i denne godkendelsesmetode, er der stadig andre sårbarheder. Uafhængige kodegenereringsapplikationer er den bedste beskyttelse mod aflytning, da selv malware næppe kan interagere direkte med kodegeneratoren (helt seriøst? Glemte forfatteren af rapporten fjernbetjeningen?), men OTP'er kan stadig opsnappes, når de indtastes i browseren (for eksempel ved hjælp af en keylogger), gennem en hacket mobilapplikation; og kan også fås direkte fra brugeren ved hjælp af social engineering.
Brug af flere risikovurderingsværktøjer såsom enhedsgenkendelse (registrering af forsøg på at udføre transaktioner fra enheder, der ikke tilhører en lovlig bruger), geoplacering (en bruger, der lige har været i Moskva, forsøger at udføre en operation fra Novosibirsk) og adfærdsanalyser er vigtige for at adressere sårbarheder, men ingen af løsningerne er et vidundermiddel. For hver situation og type data er det nødvendigt nøje at vurdere risiciene og vælge, hvilken autentificeringsteknologi der skal bruges.
Ingen autentificeringsløsning er et vidundermiddel
Figur 2. Tabel med godkendelsesindstillinger
| autentificering | Faktor | beskrivelse | Nøgle sårbarheder |
| Adgangskode eller pinkode | Viden | Fast værdi, som kan indeholde bogstaver, tal og en række andre tegn | Kan opsnappes, udspioneres, stjæles, samles op eller hackes |
| Vidensbaseret autentificering | Viden | Sætter spørgsmålstegn ved de svar, som kun en lovlig bruger kan vide | Kan opsnappes, samles op, fås ved hjælp af social engineering metoder |
| Hardware OTP () | Besiddelse | En speciel enhed, der genererer engangsadgangskoder | Koden kan blive opsnappet og gentaget, eller enheden kan blive stjålet |
| Software OTP'er | Besiddelse | En applikation (mobil, tilgængelig via en browser eller sender koder via e-mail), der genererer engangsadgangskoder | Koden kan blive opsnappet og gentaget, eller enheden kan blive stjålet |
| SMS OTP | Besiddelse | Engangsadgangskode leveret via SMS-besked | Koden kan blive opsnappet og gentaget, eller smartphonen eller SIM-kortet kan blive stjålet, eller SIM-kortet kan være duplikeret |
| Smartkort () | Besiddelse | Et kort, der indeholder en kryptografisk chip og en sikker nøglehukommelse, der bruger en offentlig nøgleinfrastruktur til godkendelse | Kan være fysisk stjålet (men en hacker vil ikke være i stand til at bruge enheden uden at kende PIN-koden; i tilfælde af flere forkerte indtastningsforsøg, vil enheden blive blokeret) |
| Sikkerhedsnøgler - tokens (, ) | Besiddelse | En USB-enhed, der indeholder en kryptografisk chip og sikker nøglehukommelse, der bruger en offentlig nøgleinfrastruktur til godkendelse | Kan stjæles fysisk (men en angriber vil ikke være i stand til at bruge enheden uden at kende PIN-koden; i tilfælde af flere forkerte indtastningsforsøg vil enheden blive blokeret) |
| Linker til en enhed | Besiddelse | Processen, der opretter en profil, ofte ved hjælp af JavaScript, eller ved hjælp af markører såsom cookies og Flash Shared Objects for at sikre, at en bestemt enhed bliver brugt | Tokens kan stjæles (kopieres), og karakteristika for en lovlig enhed kan efterlignes af en angriber på sin enhed |
| adfærd | Iboende | Analyserer, hvordan brugeren interagerer med en enhed eller et program | Adfærd kan efterlignes |
| Fingeraftryk | Iboende | Lagrede fingeraftryk sammenlignes med dem, der optages optisk eller elektronisk | Billedet kan stjæles og bruges til godkendelse |
| Øjenscanning | Iboende | Sammenligner øjenegenskaber, såsom irismønster, med nye optiske scanninger | Billedet kan stjæles og bruges til godkendelse |
| Ansigtsgenkendelse | Iboende | Ansigtsegenskaber sammenlignes med nye optiske scanninger | Billedet kan stjæles og bruges til godkendelse |
| Stemmegenkendelse | Iboende | Karakteristikaene for den optagede stemmeprøve sammenlignes med nye prøver | Posten kan stjæles og bruges til godkendelse eller emuleres |
I anden del af publikationen venter de lækreste ting - tal og fakta, som konklusionerne og anbefalingerne i første del er baseret på. Autentificering i brugerapplikationer og i virksomhedssystemer vil blive diskuteret separat.
Vi ses snart!
Kilde: www.habr.com