Spoiler aus dem Titel des Berichts: „Der Einsatz starker Authentifizierung nimmt aufgrund drohender neuer Risiken und regulatorischer Anforderungen zu.“
Das Forschungsunternehmen „Javelin Strategy & Research“ veröffentlichte den Bericht „The State of Strong Authentication 2019“ (). In diesem Bericht heißt es: Wie viel Prozent der amerikanischen und europäischen Unternehmen verwenden Passwörter (und warum verwenden derzeit nur wenige Menschen Passwörter); warum der Einsatz der Zwei-Faktor-Authentifizierung auf Basis kryptografischer Token so schnell zunimmt; Warum per SMS versendete Einmalcodes nicht sicher sind.
Jeder, der sich für die Gegenwart, Vergangenheit und Zukunft der Authentifizierung in Unternehmen und Verbraucheranwendungen interessiert, ist willkommen.
Vom Übersetzer
Leider ist die Sprache, in der dieser Bericht verfasst ist, recht „trocken“ und formell. Und die fünfmalige Verwendung des Wortes „Authentifizierung“ in einem kurzen Satz ist nicht die krumme Hand (oder der Verstand) des Übersetzers, sondern die Laune der Autoren. Beim Übersetzen habe ich zwei Möglichkeiten – um den Lesern einen Text zu bieten, der näher am Original liegt oder einen interessanteren –, manchmal habe ich mich für die erste und manchmal für die zweite entschieden. Aber haben Sie Geduld, liebe Leserinnen und Leser, der Inhalt des Berichts lohnt sich.
Einige für die Geschichte unwichtige und unnötige Teile wurden entfernt, sonst wäre der Großteil nicht in der Lage gewesen, den gesamten Text durchzuarbeiten. Wer den Bericht „ungekürzt“ lesen möchte, kann dies in der Originalsprache tun, indem er dem Link folgt.
Leider gehen Autoren nicht immer sorgfältig mit der Terminologie um. Daher werden Einmalpasswörter (One Time Password – OTP) manchmal „Passwörter“ und manchmal „Codes“ genannt. Noch schlimmer ist es bei Authentifizierungsmethoden. Für den ungeübten Leser ist es nicht immer leicht zu erraten, dass „Authentifizierung mithilfe kryptografischer Schlüssel“ und „starke Authentifizierung“ dasselbe sind. Ich habe versucht, die Begriffe so weit wie möglich zu vereinheitlichen, und im Bericht selbst gibt es ein Fragment mit ihrer Beschreibung.
Dennoch ist die Lektüre des Berichts sehr empfehlenswert, da er einzigartige Forschungsergebnisse und korrekte Schlussfolgerungen enthält.
Alle Zahlen und Fakten werden ohne die geringsten Änderungen dargestellt. Wenn Sie damit nicht einverstanden sind, argumentieren Sie besser nicht mit dem Übersetzer, sondern mit den Autoren des Berichts. Und hier sind meine Kommentare (als Zitate dargestellt und im Text markiert). Italienisch) sind mein Werturteil und ich werde gerne zu jedem einzelnen davon (sowie zur Qualität der Übersetzung) argumentieren.
Beschreibung
Heutzutage sind digitale Kanäle der Kommunikation mit Kunden für Unternehmen wichtiger denn je. Und innerhalb des Unternehmens ist die Kommunikation zwischen den Mitarbeitern stärker digital ausgerichtet als je zuvor. Und wie sicher diese Interaktionen sein werden, hängt von der gewählten Methode der Benutzerauthentifizierung ab. Angreifer nutzen eine schwache Authentifizierung, um Benutzerkonten massiv zu hacken. Als Reaktion darauf verschärfen die Regulierungsbehörden die Standards, um Unternehmen zu einem besseren Schutz von Benutzerkonten und -daten zu zwingen.
Authentifizierungsbezogene Bedrohungen gehen über Verbraucheranwendungen hinaus; Angreifer können sich auch Zugriff auf Anwendungen verschaffen, die innerhalb des Unternehmens ausgeführt werden. Dieser Vorgang ermöglicht es ihnen, sich als Unternehmensbenutzer auszugeben. Angreifer, die Zugangspunkte mit schwacher Authentifizierung nutzen, können Daten stehlen und andere betrügerische Aktivitäten durchführen. Glücklicherweise gibt es Maßnahmen, um dem entgegenzuwirken. Eine starke Authentifizierung trägt dazu bei, das Risiko eines Angriffs durch einen Angreifer sowohl auf Verbraucheranwendungen als auch auf Geschäftssysteme von Unternehmen erheblich zu verringern.
Diese Studie untersucht: Wie Unternehmen Authentifizierung implementieren, um Endbenutzeranwendungen und Unternehmensgeschäftssysteme zu schützen; Faktoren, die sie bei der Auswahl einer Authentifizierungslösung berücksichtigen; die Rolle, die starke Authentifizierung in ihren Organisationen spielt; welche Vorteile diese Organisationen erhalten.
Zusammenfassung
Die wichtigsten Ergebnisse
Seit 2017 hat der Einsatz starker Authentifizierung stark zugenommen. Angesichts der zunehmenden Anzahl von Schwachstellen bei herkömmlichen Authentifizierungslösungen verstärken Unternehmen ihre Authentifizierungsfähigkeiten durch starke Authentifizierung. Die Zahl der Organisationen, die kryptografische Multi-Faktor-Authentifizierung (MFA) nutzen, hat sich seit 2017 für Verbraucheranwendungen verdreifacht und ist bei Unternehmensanwendungen um fast 50 % gestiegen. Das stärkste Wachstum ist aufgrund der zunehmenden Verfügbarkeit biometrischer Authentifizierung bei der mobilen Authentifizierung zu verzeichnen.
Hier sehen wir eine Veranschaulichung des Sprichworts „Bis der Donner schlägt, wird sich ein Mann nicht bekreuzigen.“ Als Experten vor der Unsicherheit von Passwörtern warnten, hatte es niemand eilig, die Zwei-Faktor-Authentifizierung einzuführen. Sobald Hacker begannen, Passwörter zu stehlen, begannen die Menschen mit der Einführung der Zwei-Faktor-Authentifizierung.
Es stimmt, dass Einzelpersonen 2FA viel aktiver implementieren. Erstens können sie ihre Ängste leichter zerstreuen, indem sie sich auf die in Smartphones integrierte biometrische Authentifizierung verlassen, die tatsächlich sehr unzuverlässig ist. Organisationen müssen Geld für den Kauf von Token ausgeben und (eigentlich sehr einfache) Arbeiten zu deren Implementierung durchführen. Und zweitens haben nur faule Leute nicht über Passwortlecks von Diensten wie Facebook und Dropbox geschrieben, aber die CIOs dieser Organisationen werden unter keinen Umständen Geschichten darüber erzählen, wie Passwörter in Organisationen gestohlen wurden (und was als nächstes geschah).
Wer keine starke Authentifizierung nutzt, unterschätzt sein Risiko für sein Unternehmen und seine Kunden. Einige Organisationen, die derzeit keine starke Authentifizierung verwenden, neigen dazu, Anmeldungen und Passwörter als eine der effektivsten und benutzerfreundlichsten Methoden der Benutzerauthentifizierung zu betrachten. Andere erkennen den Wert der digitalen Vermögenswerte, die sie besitzen, nicht. Schließlich ist zu bedenken, dass Cyberkriminelle an jeglichen Verbraucher- und Unternehmensinformationen interessiert sind. Zwei Drittel der Unternehmen, die zur Authentifizierung ihrer Mitarbeiter ausschließlich Passwörter verwenden, tun dies, weil sie glauben, dass die Passwörter für die Art der zu schützenden Informationen gut genug sind.
Allerdings sind Passwörter auf dem Weg ins Grab. Die Passwortabhängigkeit ist im vergangenen Jahr sowohl bei Verbraucher- als auch bei Unternehmensanwendungen erheblich gesunken (von 44 % auf 31 % bzw. von 56 % auf 47 %), da Unternehmen verstärkt auf traditionelle MFA und starke Authentifizierung zurückgreifen.
Betrachtet man die Situation jedoch insgesamt, überwiegen immer noch anfällige Authentifizierungsmethoden. Für die Benutzerauthentifizierung verwenden etwa ein Viertel der Unternehmen SMS OTP (Einmalpasswort) zusammen mit Sicherheitsfragen. Infolgedessen müssen zusätzliche Sicherheitsmaßnahmen zum Schutz vor der Schwachstelle implementiert werden, was die Kosten erhöht. Die Verwendung wesentlich sichererer Authentifizierungsmethoden, wie z. B. kryptografischer Hardwareschlüssel, wird in etwa 5 % der Unternehmen deutlich seltener eingesetzt.
Das sich weiterentwickelnde regulatorische Umfeld verspricht, die Einführung einer starken Authentifizierung für Verbraucheranwendungen zu beschleunigen. Mit der Einführung der PSD2 sowie neuen Datenschutzregeln in der EU und mehreren US-Bundesstaaten wie Kalifornien geraten Unternehmen in Bedrängnis. Fast 70 % der Unternehmen stimmen zu, dass sie einem starken regulatorischen Druck ausgesetzt sind, ihren Kunden eine starke Authentifizierung zu bieten. Mehr als die Hälfte der Unternehmen geht davon aus, dass ihre Authentifizierungsmethoden in einigen Jahren nicht mehr ausreichen werden, um regulatorische Standards zu erfüllen.
Der Unterschied in den Ansätzen russischer und amerikanisch-europäischer Gesetzgeber zum Schutz personenbezogener Daten von Nutzern von Programmen und Diensten ist deutlich sichtbar. Die Russen sagen: Liebe Servicebesitzer, machen Sie, was Sie wollen und wie Sie wollen, aber wenn Ihr Administrator die Datenbank zusammenführt, werden wir Sie bestrafen. Im Ausland heißt es: Da muss man ein Maßnahmenpaket umsetzen wird nicht zulassen Lassen Sie die Basis abtropfen. Deshalb werden dort Vorgaben zur strikten Zwei-Faktor-Authentifizierung umgesetzt.
Es ist zwar keineswegs eine Tatsache, dass unsere Gesetzgebungsmaschinerie eines Tages nicht zur Besinnung kommen und die Erfahrungen des Westens berücksichtigen wird. Dann stellt sich heraus, dass jeder 2FA implementieren muss, das den russischen kryptografischen Standards entspricht, und zwar dringend.
Durch die Einrichtung eines starken Authentifizierungsrahmens können Unternehmen ihren Fokus von der Erfüllung gesetzlicher Anforderungen auf die Erfüllung von Kundenbedürfnissen verlagern. Für Organisationen, die immer noch einfache Passwörter verwenden oder Codes per SMS erhalten, ist die Einhaltung gesetzlicher Vorschriften der wichtigste Faktor bei der Wahl einer Authentifizierungsmethode. Doch Unternehmen, die bereits eine starke Authentifizierung nutzen, können sich auf die Auswahl derjenigen Authentifizierungsmethoden konzentrieren, die die Kundenbindung erhöhen.
Bei der Auswahl einer unternehmensinternen Authentifizierungsmethode innerhalb eines Unternehmens spielen regulatorische Anforderungen keine wesentliche Rolle mehr. In diesem Fall sind die einfache Integration (32 %) und die Kosten (26 %) viel wichtiger.
Im Zeitalter des Phishing können Angreifer Unternehmens-E-Mails zum Betrügen nutzen sich auf betrügerische Weise Zugang zu Daten und Konten (mit entsprechenden Zugriffsrechten) zu verschaffen und sogar Mitarbeiter dazu zu überreden, Geld auf sein Konto zu überweisen. Daher müssen Firmen-E-Mail- und Portalkonten besonders gut geschützt werden.
Google hat seine Sicherheit durch die Implementierung einer starken Authentifizierung erhöht. Vor mehr als zwei Jahren veröffentlichte Google einen Bericht über die Implementierung der Zwei-Faktor-Authentifizierung auf Basis kryptografischer Sicherheitsschlüssel mithilfe des FIDO-U2F-Standards und berichtete von beeindruckenden Ergebnissen. Nach Angaben des Unternehmens wurde kein einziger Phishing-Angriff gegen mehr als 85 Mitarbeiter durchgeführt.
Empfehlungen
Implementieren Sie eine starke Authentifizierung für mobile und Online-Anwendungen. Die auf kryptografischen Schlüsseln basierende Multi-Faktor-Authentifizierung bietet einen deutlich besseren Schutz vor Hacking als herkömmliche MFA-Methoden. Darüber hinaus ist die Verwendung kryptografischer Schlüssel wesentlich komfortabler, da keine zusätzlichen Informationen – Passwörter, Einmalpasswörter oder biometrische Daten – vom Gerät des Benutzers an den Authentifizierungsserver verwendet und übertragen werden müssen. Darüber hinaus erleichtert die Standardisierung von Authentifizierungsprotokollen die Implementierung neuer Authentifizierungsmethoden erheblich, sobald diese verfügbar sind, was die Implementierungskosten senkt und Schutz vor ausgefeilteren Betrugsmethoden bietet.
Bereiten Sie sich auf das Ende der Einmalpasswörter (OTP) vor. Die mit OTPs verbundenen Schwachstellen werden immer offensichtlicher, da Cyberkriminelle Social Engineering, Smartphone-Klonen und Malware nutzen, um diese Authentifizierungsmittel zu gefährden. Und wenn OTPs in manchen Fällen gewisse Vorteile haben, dann nur unter dem Gesichtspunkt der universellen Verfügbarkeit für alle Benutzer, nicht jedoch unter dem Gesichtspunkt der Sicherheit.
Es ist nicht zu übersehen, dass der Empfang von Codes per SMS oder Push-Benachrichtigungen sowie die Generierung von Codes mithilfe von Programmen für Smartphones die Verwendung derselben Einmalpasswörter (OTP) darstellt, auf deren Niedergang wir uns vorbereiten müssen. Aus technischer Sicht ist die Lösung sehr korrekt, da es sich um einen seltenen Betrüger handelt, der nicht versucht, das Einmalpasswort eines leichtgläubigen Benutzers herauszufinden. Aber ich denke, dass die Hersteller solcher Systeme bis zuletzt an der aussterbenden Technologie festhalten werden.
Nutzen Sie eine starke Authentifizierung als Marketinginstrument, um das Vertrauen Ihrer Kunden zu stärken. Eine starke Authentifizierung kann mehr als nur die tatsächliche Sicherheit Ihres Unternehmens verbessern. Kunden darüber zu informieren, dass Ihr Unternehmen eine starke Authentifizierung verwendet, kann die öffentliche Wahrnehmung der Sicherheit dieses Unternehmens stärken – ein wichtiger Faktor, wenn eine große Kundennachfrage nach starken Authentifizierungsmethoden besteht.
Führen Sie eine gründliche Bestandsaufnahme und Kritikalitätsbewertung der Unternehmensdaten durch und schützen Sie diese entsprechend ihrer Wichtigkeit. Sogar Daten mit geringem Risiko wie Kundenkontaktinformationen (Nein, wirklich, im Bericht heißt es „geringes Risiko“. Es ist sehr seltsam, dass sie die Bedeutung dieser Informationen unterschätzen), kann für Betrüger einen erheblichen Mehrwert darstellen und dem Unternehmen Probleme bereiten.
Verwenden Sie eine starke Unternehmensauthentifizierung. Eine Reihe von Systemen sind die attraktivsten Ziele für Kriminelle. Dazu gehören interne und mit dem Internet verbundene Systeme wie ein Buchhaltungsprogramm oder ein unternehmensweites Data Warehouse. Eine starke Authentifizierung verhindert, dass Angreifer unbefugten Zugriff erhalten, und ermöglicht außerdem die genaue Bestimmung, welcher Mitarbeiter die böswillige Aktivität begangen hat.
Was ist starke Authentifizierung?
Bei der Verwendung einer starken Authentifizierung werden mehrere Methoden oder Faktoren verwendet, um die Authentizität des Benutzers zu überprüfen:
- Wissensfaktor: Gemeinsames Geheimnis zwischen dem Benutzer und dem authentifizierten Subjekt des Benutzers (z. B. Passwörter, Antworten auf Sicherheitsfragen usw.)
- Eigentumsfaktor: ein Gerät, das nur der Benutzer besitzt (z. B. ein mobiles Gerät, ein kryptografischer Schlüssel usw.)
- Integritätsfaktor: physische (häufig biometrische) Merkmale des Benutzers (z. B. Fingerabdruck, Irismuster, Stimme, Verhalten usw.)
Die Notwendigkeit, mehrere Faktoren zu hacken, erhöht die Wahrscheinlichkeit eines Scheiterns für Angreifer erheblich, da die Umgehung oder Täuschung verschiedener Faktoren den Einsatz mehrerer Arten von Hacking-Taktiken erfordert, und zwar für jeden Faktor separat.
Mit 2FA „Passwort + Smartphone“ kann ein Angreifer beispielsweise eine Authentifizierung durchführen, indem er sich das Passwort des Benutzers ansieht und eine exakte Softwarekopie seines Smartphones erstellt. Und das ist viel schwieriger, als einfach ein Passwort zu stehlen.
Wenn jedoch für 2FA ein Passwort und ein kryptografischer Token verwendet werden, funktioniert die Kopieroption hier nicht – es ist unmöglich, den Token zu duplizieren. Der Betrüger muss dem Benutzer heimlich den Token stehlen. Wenn der Benutzer den Verlust rechtzeitig bemerkt und den Administrator benachrichtigt, wird der Token gesperrt und die Bemühungen des Betrügers sind vergeblich. Aus diesem Grund erfordert der Eigentumsfaktor die Verwendung spezieller sicherer Geräte (Tokens) anstelle von Allzweckgeräten (Smartphones).
Die Verwendung aller drei Faktoren macht die Implementierung dieser Authentifizierungsmethode recht kostspielig und die Verwendung recht unpraktisch. Daher werden in der Regel zwei von drei Faktoren verwendet.
Die Prinzipien der Zwei-Faktor-Authentifizierung werden ausführlicher beschrieben , im Block „So funktioniert die Zwei-Faktor-Authentifizierung“.
Es ist wichtig zu beachten, dass mindestens einer der Authentifizierungsfaktoren, die bei der starken Authentifizierung verwendet werden, die Kryptografie mit öffentlichen Schlüsseln verwenden muss.
Eine starke Authentifizierung bietet einen viel stärkeren Schutz als die Ein-Faktor-Authentifizierung auf Basis klassischer Passwörter und herkömmlicher MFA. Passwörter können mithilfe von Keyloggern, Phishing-Seiten oder Social-Engineering-Angriffen (bei denen das Opfer dazu verleitet wird, sein Passwort preiszugeben) ausspioniert oder abgefangen werden. Darüber hinaus erfährt der Inhaber des Passworts nichts vom Diebstahl. Herkömmliche MFA (einschließlich OTP-Codes, Bindung an ein Smartphone oder eine SIM-Karte) kann ebenfalls recht leicht gehackt werden, da sie nicht auf Public-Key-Kryptographie basiert (Übrigens gibt es viele Beispiele, bei denen Betrüger mit denselben Social-Engineering-Techniken Benutzer dazu verleiteten, ihnen ein Einmalpasswort zu geben).
Glücklicherweise hat der Einsatz von starker Authentifizierung und traditioneller MFA seit letztem Jahr sowohl in Verbraucher- als auch in Unternehmensanwendungen an Bedeutung gewonnen. Der Einsatz starker Authentifizierung in Verbraucheranwendungen hat besonders stark zugenommen. Während es 2017 nur 5 % der Unternehmen nutzten, waren es 2018 bereits dreimal mehr – 16 %. Dies kann durch die erhöhte Verfügbarkeit von Token erklärt werden, die PKC-Algorithmen (Public Key Cryptography) unterstützen. Darüber hinaus hat der erhöhte Druck europäischer Regulierungsbehörden nach der Verabschiedung neuer Datenschutzvorschriften wie PSD2 und DSGVO auch außerhalb Europas starke Auswirkungen gehabt (auch in Russland).
Schauen wir uns diese Zahlen genauer an. Wie wir sehen, ist der Anteil der Privatpersonen, die die Multi-Faktor-Authentifizierung nutzen, im Laufe des Jahres um beeindruckende 11 % gestiegen. Und dies geschah eindeutig auf Kosten der Passwort-Liebhaber, denn die Zahl derer, die an die Sicherheit von Push-Benachrichtigungen, SMS und Biometrie glauben, hat sich nicht verändert.
Doch mit der Zwei-Faktor-Authentifizierung für den Unternehmenseinsatz sieht es nicht so gut aus. Erstens wurden dem Bericht zufolge nur 5 % der Mitarbeiter von der Passwortauthentifizierung auf Token umgestellt. Und zweitens ist die Zahl derjenigen, die alternative MFA-Optionen im Unternehmensumfeld nutzen, um 4 % gestiegen.
Ich werde versuchen, den Analytiker zu spielen und meine Interpretation zu geben. Im Zentrum der digitalen Welt des einzelnen Nutzers steht das Smartphone. Daher ist es kein Wunder, dass die Mehrheit die Funktionen nutzt, die ihnen das Gerät bietet – biometrische Authentifizierung, SMS- und Push-Benachrichtigungen sowie Einmalpasswörter, die von Anwendungen auf dem Smartphone selbst generiert werden. Beim Umgang mit gewohnten Werkzeugen denkt man meist nicht an Sicherheit und Zuverlässigkeit.
Aus diesem Grund bleibt der Anteil der Nutzer primitiver „traditioneller“ Authentifizierungsfaktoren unverändert. Aber diejenigen, die zuvor Passwörter verwendet haben, wissen, wie viel sie riskieren, und entscheiden sich bei der Wahl eines neuen Authentifizierungsfaktors für die neueste und sicherste Option – einen kryptografischen Token.
Für den Unternehmensmarkt ist es wichtig zu verstehen, in welchem System die Authentifizierung durchgeführt wird. Wenn die Anmeldung an einer Windows-Domäne implementiert ist, werden kryptografische Token verwendet. Die Möglichkeiten, sie für 2FA zu nutzen, sind sowohl in Windows als auch in Linux bereits integriert, alternative Optionen sind jedoch langwierig und schwierig zu implementieren. So viel zur Migration von 5 % von Passwörtern auf Token.
Und die Implementierung von 2FA in einem Unternehmensinformationssystem hängt sehr stark von der Qualifikation der Entwickler ab. Und für Entwickler ist es viel einfacher, vorgefertigte Module zum Generieren von Einmalkennwörtern zu verwenden, als die Funktionsweise kryptografischer Algorithmen zu verstehen. Infolgedessen nutzen selbst äußerst sicherheitskritische Anwendungen wie Single Sign-On oder Privileged Access Management-Systeme OTP als zweiten Faktor.
Viele Schwachstellen in herkömmlichen Authentifizierungsmethoden
Während viele Unternehmen weiterhin auf veraltete Ein-Faktor-Systeme angewiesen sind, werden Schwachstellen in der herkömmlichen Multi-Faktor-Authentifizierung immer offensichtlicher. Einmalpasswörter, typischerweise sechs bis acht Zeichen lang, die per SMS übermittelt werden, sind nach wie vor die häufigste Form der Authentifizierung (neben dem Passwortfaktor natürlich). Und wenn in der Fachpresse die Worte „Zwei-Faktor-Authentifizierung“ oder „Zwei-Schritt-Verifizierung“ fallen, beziehen sie sich fast immer auf die SMS-Einmalpasswort-Authentifizierung.
Hier irrt sich der Autor ein wenig. Die Übermittlung von Einmalpasswörtern per SMS war noch nie eine Zwei-Faktor-Authentifizierung. Dies ist in seiner reinsten Form die zweite Stufe der zweistufigen Authentifizierung, bei der die erste Stufe die Eingabe Ihres Benutzernamens und Passworts ist.
Im Jahr 2016 hat das National Institute of Standards and Technology (NIST) seine Authentifizierungsregeln aktualisiert, um die Verwendung von per SMS gesendeten Einmalkennwörtern zu verhindern. Nach Protesten der Branche wurden diese Regeln jedoch deutlich gelockert.
Verfolgen wir also die Handlung. Die amerikanische Regulierungsbehörde erkennt zu Recht an, dass veraltete Technologie nicht in der Lage ist, die Sicherheit der Benutzer zu gewährleisten, und führt neue Standards ein. Standards zum Schutz von Benutzern von Online- und mobilen Anwendungen (einschließlich Bankanwendungen). Die Branche berechnet, wie viel Geld sie für den Kauf wirklich zuverlässiger kryptografischer Token, die Neugestaltung von Anwendungen und die Bereitstellung einer Public-Key-Infrastruktur ausgeben muss, und „steht auf den Hinterbeinen“. Einerseits waren die Nutzer von der Zuverlässigkeit von Einmalpasswörtern überzeugt, andererseits kam es zu Angriffen auf NIST. Infolgedessen wurde der Standard abgeschwächt und die Zahl der Hacks und des Diebstahls von Passwörtern (und Geldern aus Bankanwendungen) stieg stark an. Aber die Branche musste kein Geld berappen.
Seitdem sind die inhärenten Schwächen von SMS OTP immer offensichtlicher geworden. Betrüger nutzen verschiedene Methoden, um SMS-Nachrichten zu kompromittieren:
- Duplizierung der SIM-Karte. Angreifer erstellen eine Kopie der SIM-Karte (mit Hilfe von Mitarbeitern des Mobilfunkbetreibers oder selbstständig unter Verwendung spezieller Soft- und Hardware). Als Ergebnis erhält der Angreifer eine SMS mit einem Einmalpasswort. In einem besonders berühmten Fall gelang es Hackern sogar, das AT&T-Konto des Kryptowährungsinvestors Michael Turpin zu kompromittieren und Kryptowährungen im Wert von fast 24 Millionen US-Dollar zu stehlen. Infolgedessen gab Turpin an, dass AT&T aufgrund schwacher Verifizierungsmaßnahmen, die zur Vervielfältigung der SIM-Karte führten, schuld sei.
Erstaunliche Logik. Es ist also wirklich nur die Schuld von AT&T? Nein, es ist zweifellos die Schuld des Mobilfunkbetreibers, dass die Verkäufer im Kommunikationsgeschäft eine doppelte SIM-Karte ausgestellt haben. Was ist mit dem Authentifizierungssystem für Kryptowährungsbörsen? Warum haben sie keine starken kryptografischen Token verwendet? War es schade, Geld für die Umsetzung auszugeben? Ist Michael nicht selbst schuld? Warum bestand er nicht darauf, den Authentifizierungsmechanismus zu ändern oder nur Börsen zu verwenden, die eine Zwei-Faktor-Authentifizierung auf Basis kryptografischer Token implementieren?
Die Einführung wirklich zuverlässiger Authentifizierungsmethoden verzögert sich genau deshalb, weil Benutzer vor dem Hacken eine erstaunliche Nachlässigkeit an den Tag legen und ihre Probleme anschließend irgendjemandem und allem anderen als alten und „undichten“ Authentifizierungstechnologien in die Schuhe schieben
- Schadsoftware. Eine der frühesten Funktionen mobiler Malware bestand darin, Textnachrichten abzufangen und an Angreifer weiterzuleiten. Außerdem können Man-in-the-Browser- und Man-in-the-Middle-Angriffe Einmalkennwörter abfangen, wenn diese auf infizierten Laptops oder Desktop-Geräten eingegeben werden.
Wenn die Sberbank-Anwendung auf Ihrem Smartphone ein grünes Symbol in der Statusleiste blinkt, sucht sie auch nach „Malware“ auf Ihrem Telefon. Ziel dieser Veranstaltung ist es, die nicht vertrauenswürdige Ausführungsumgebung eines typischen Smartphones zumindest in gewisser Weise in eine vertrauenswürdige Umgebung zu verwandeln.
Übrigens ist ein Smartphone als völlig unvertrauenswürdiges Gerät, auf dem alles möglich ist, ein weiterer Grund, es zur Authentifizierung zu verwenden Nur Hardware-Token, die geschützt und frei von Viren und Trojanern sind. - Soziale Entwicklung. Wenn Betrüger per SMS erfahren, dass ein Opfer OTPs aktiviert hat, können sie das Opfer direkt kontaktieren und sich als vertrauenswürdige Organisation wie ihre Bank oder Kreditgenossenschaft ausgeben, um das Opfer dazu zu bringen, den soeben erhaltenen Code anzugeben.
Persönlich bin ich schon oft mit dieser Art von Betrug konfrontiert worden, zum Beispiel beim Versuch, etwas auf einem beliebten Online-Flohmarkt zu verkaufen. Ich selbst habe mich nach Herzenslust über den Betrüger lustig gemacht, der versucht hat, mich zu täuschen. Aber leider lese ich regelmäßig in den Nachrichten, dass ein weiteres Opfer von Betrügern „nicht nachgedacht“ hat, den Bestätigungscode angegeben und eine große Summe verloren hat. Und das alles, weil sich die Bank einfach nicht mit der Implementierung kryptografischer Token in ihren Anwendungen befassen möchte. Denn wenn etwas passiert, sind die Kunden „selbst schuld“.
Während alternative OTP-Übermittlungsmethoden einige der Schwachstellen dieser Authentifizierungsmethode abschwächen können, bleiben andere Schwachstellen bestehen. Standalone-Anwendungen zur Codegenerierung sind der beste Schutz vor Abhöraktionen, da selbst Malware kaum direkt mit dem Codegenerator interagieren kann (ernsthaft? Hat der Autor des Berichts die Fernbedienung vergessen?), aber OTPs können weiterhin abgefangen werden, wenn sie in den Browser eingegeben werden (zum Beispiel mit einem Keylogger), durch eine gehackte mobile Anwendung; und können auch mittels Social Engineering direkt vom Nutzer bezogen werden.
Verwendung mehrerer Risikobewertungstools wie der Geräteerkennung (Erkennung von Versuchen, Transaktionen von Geräten durchzuführen, die keinem rechtmäßigen Benutzer gehören), Geolokalisierung (Ein Benutzer, der gerade in Moskau war, versucht, eine Operation von Nowosibirsk aus durchzuführen) und Verhaltensanalysen sind wichtig für die Behebung von Schwachstellen, aber keine der beiden Lösungen ist ein Allheilmittel. Für jede Situation und Art von Daten ist es notwendig, die Risiken sorgfältig abzuschätzen und auszuwählen, welche Authentifizierungstechnologie verwendet werden soll.
Keine Authentifizierungslösung ist ein Allheilmittel
Abbildung 2. Tabelle der Authentifizierungsoptionen
| Authentifizierung | Faktor | Beschreibung | Wichtigste Schwachstellen |
| Passwort oder PIN | Wissen | Fester Wert, der Buchstaben, Zahlen und eine Reihe anderer Zeichen umfassen kann | Können abgefangen, ausspioniert, gestohlen, abgeholt oder gehackt werden |
| Wissensbasierte Authentifizierung | Wissen | Stellt Fragen, deren Antworten nur ein legaler Benutzer kennen kann | Kann mithilfe von Social-Engineering-Methoden abgefangen, erfasst und beschafft werden |
| Hardware-OTP () | Besitz | Ein spezielles Gerät, das Einmalpasswörter generiert | Der Code könnte abgefangen und wiederholt werden oder das Gerät könnte gestohlen werden |
| Software-OTPs | Besitz | Eine Anwendung (mobil, über einen Browser zugänglich oder zum Versenden von Codes per E-Mail), die Einmalpasswörter generiert | Der Code könnte abgefangen und wiederholt werden oder das Gerät könnte gestohlen werden |
| SMS OTP | Besitz | Einmalpasswort per SMS-Nachricht zugestellt | Der Code kann abgefangen und wiederholt werden, das Smartphone oder die SIM-Karte gestohlen werden oder die SIM-Karte dupliziert werden |
| Smartcards () | Besitz | Eine Karte, die einen kryptografischen Chip und einen sicheren Schlüsselspeicher enthält, der zur Authentifizierung eine öffentliche Schlüsselinfrastruktur nutzt | Kann physisch gestohlen werden (Ein Angreifer kann das Gerät jedoch nicht verwenden, ohne den PIN-Code zu kennen. Bei mehreren falschen Eingabeversuchen wird das Gerät gesperrt) |
| Sicherheitsschlüssel – Token (, ) | Besitz | Ein USB-Gerät, das einen kryptografischen Chip und einen sicheren Schlüsselspeicher enthält, der zur Authentifizierung eine öffentliche Schlüsselinfrastruktur verwendet | Kann physisch gestohlen werden (ein Angreifer kann das Gerät jedoch ohne Kenntnis des PIN-Codes nicht verwenden; bei mehreren falschen Eingabeversuchen wird das Gerät gesperrt) |
| Verknüpfung mit einem Gerät | Besitz | Der Prozess, bei dem ein Profil erstellt wird, häufig unter Verwendung von JavaScript oder mithilfe von Markierungen wie Cookies und Flash Shared Objects, um sicherzustellen, dass ein bestimmtes Gerät verwendet wird | Token können gestohlen (kopiert) werden und die Eigenschaften eines legalen Geräts können von einem Angreifer auf seinem Gerät nachgeahmt werden |
| Verhalten | Inhärenz | Analysiert, wie der Benutzer mit einem Gerät oder Programm interagiert | Verhalten kann nachgeahmt werden |
| Fingerabdrücke | Inhärenz | Gespeicherte Fingerabdrücke werden mit optisch oder elektronisch erfassten Fingerabdrücken verglichen | Das Bild kann gestohlen und zur Authentifizierung verwendet werden |
| Augenscan | Inhärenz | Vergleicht Augenmerkmale wie das Irismuster mit neuen optischen Scans | Das Bild kann gestohlen und zur Authentifizierung verwendet werden |
| Gesichtserkennung | Inhärenz | Gesichtsmerkmale werden mit neuen optischen Scans verglichen | Das Bild kann gestohlen und zur Authentifizierung verwendet werden |
| Spracherkennung | Inhärenz | Die Eigenschaften der aufgezeichneten Sprachprobe werden mit neuen Proben verglichen | Der Datensatz kann gestohlen und zur Authentifizierung verwendet oder emuliert werden |
Im zweiten Teil der Publikation erwartet uns das Köstlichste – Zahlen und Fakten, auf denen die Schlussfolgerungen und Empfehlungen des ersten Teils basieren. Auf die Authentifizierung in Benutzeranwendungen und in Unternehmenssystemen wird gesondert eingegangen.
Wir sehen uns dort!
Source: habr.com