ProHoster > Blog > ειδήσεις στο διαδίκτυο > Τι θα συμβεί με τον έλεγχο ταυτότητας και τους κωδικούς πρόσβασης; Μετάφραση της αναφοράς Javelin “State of Strong Authentication” με σχόλια

Τι θα συμβεί με τον έλεγχο ταυτότητας και τους κωδικούς πρόσβασης; Μετάφραση της αναφοράς Javelin “State of Strong Authentication” με σχόλια

Τι θα συμβεί με τον έλεγχο ταυτότητας και τους κωδικούς πρόσβασης; Μετάφραση της αναφοράς Javelin “State of Strong Authentication” με σχόλια

Spoiler από τον τίτλο της αναφοράς: «Η χρήση ισχυρού ελέγχου ταυτότητας αυξάνεται λόγω απειλών νέων κινδύνων και ρυθμιστικών απαιτήσεων».
Η ερευνητική εταιρεία "Javelin Strategy & Research" δημοσίευσε την έκθεση "The State of Strong Authentication 2019" ( Το πρωτότυπο σε μορφή pdf μπορείτε να το κατεβάσετε εδώ). Αυτή η έκθεση λέει: ποιο ποσοστό των αμερικανικών και ευρωπαϊκών εταιρειών χρησιμοποιούν κωδικούς πρόσβασης (και γιατί λίγοι άνθρωποι χρησιμοποιούν κωδικούς τώρα); γιατί η χρήση του ελέγχου ταυτότητας δύο παραγόντων που βασίζεται σε κρυπτογραφικά διακριτικά αυξάνεται τόσο γρήγορα. Γιατί οι κωδικοί μιας χρήσης που αποστέλλονται μέσω SMS δεν είναι ασφαλείς.

Όποιος ενδιαφέρεται για το παρόν, το παρελθόν και το μέλλον του ελέγχου ταυτότητας σε επιχειρήσεις και εφαρμογές καταναλωτών είναι ευπρόσδεκτος.

Από τον μεταφραστή

Δυστυχώς, η γλώσσα στην οποία είναι γραμμένη αυτή η έκθεση είναι αρκετά «στεγνή» και επίσημη. Και η πέντε φορές χρήση της λέξης «αυθεντικοποίηση» σε μια σύντομη πρόταση δεν είναι τα στραβά χέρια (ή τα μυαλά) του μεταφραστή, αλλά η ιδιοτροπία των συγγραφέων. Όταν μεταφράζω από δύο επιλογές - να δώσω στους αναγνώστες ένα κείμενο πιο κοντά στο πρωτότυπο ή πιο ενδιαφέρον, μερικές φορές επέλεξα την πρώτη και μερικές φορές τη δεύτερη. Αλλά να είστε υπομονετικοί, αγαπητοί αναγνώστες, το περιεχόμενο της έκθεσης αξίζει τον κόπο.

Ορισμένα ασήμαντα και περιττά κομμάτια για την ιστορία αφαιρέθηκαν, διαφορετικά η πλειοψηφία δεν θα μπορούσε να περάσει ολόκληρο το κείμενο. Όσοι επιθυμούν να διαβάσουν την αναφορά «άκοπο» μπορούν να το κάνουν στην αρχική γλώσσα ακολουθώντας τον σύνδεσμο.

Δυστυχώς, οι συγγραφείς δεν είναι πάντα προσεκτικοί με την ορολογία. Έτσι, οι κωδικοί πρόσβασης μίας χρήσης (One Time Password - OTP) ονομάζονται μερικές φορές «κωδικοί πρόσβασης» και μερικές φορές «κωδικοί». Είναι ακόμη χειρότερο με τις μεθόδους ελέγχου ταυτότητας. Δεν είναι πάντα εύκολο για τον μη εκπαιδευμένο αναγνώστη να μαντέψει ότι ο «έλεγχος ταυτότητας με χρήση κρυπτογραφικών κλειδιών» και ο «ισχυρός έλεγχος ταυτότητας» είναι το ίδιο πράγμα. Προσπάθησα να ενοποιήσω τους όρους όσο το δυνατόν περισσότερο και στην ίδια την αναφορά υπάρχει ένα απόσπασμα με την περιγραφή τους.

Ωστόσο, συνιστάται ιδιαίτερα η ανάγνωση της έκθεσης επειδή περιέχει μοναδικά ερευνητικά αποτελέσματα και σωστά συμπεράσματα.

Όλα τα στοιχεία και τα γεγονότα παρουσιάζονται χωρίς τις παραμικρές αλλαγές και αν δεν συμφωνείτε με αυτά, τότε είναι καλύτερο να διαφωνήσετε όχι με τον μεταφραστή, αλλά με τους συντάκτες της έκθεσης. Και εδώ είναι τα σχόλιά μου (διατυπωμένα ως εισαγωγικά και σημειωμένα στο κείμενο ιταλικός) είναι η αξιακή μου κρίση και θα χαρώ να επιχειρηματολογήσω για καθένα από αυτά (καθώς και για την ποιότητα της μετάφρασης).

Αναθεώρηση

Στις μέρες μας, τα ψηφιακά κανάλια επικοινωνίας με τους πελάτες είναι πιο σημαντικά από ποτέ για τις επιχειρήσεις. Και εντός της εταιρείας, οι επικοινωνίες μεταξύ των εργαζομένων είναι πιο ψηφιακά προσανατολισμένες από ποτέ. Και το πόσο ασφαλείς θα είναι αυτές οι αλληλεπιδράσεις εξαρτάται από την επιλεγμένη μέθοδο ελέγχου ταυτότητας χρήστη. Οι εισβολείς χρησιμοποιούν αδύναμο έλεγχο ταυτότητας για να παραβιάσουν μαζικά λογαριασμούς χρηστών. Σε απάντηση, οι ρυθμιστικές αρχές αυστηροποιούν τα πρότυπα για να αναγκάσουν τις επιχειρήσεις να προστατεύουν καλύτερα τους λογαριασμούς και τα δεδομένα των χρηστών.

Οι απειλές που σχετίζονται με τον έλεγχο ταυτότητας εκτείνονται πέρα ​​από τις εφαρμογές των καταναλωτών· οι εισβολείς μπορούν επίσης να αποκτήσουν πρόσβαση σε εφαρμογές που εκτελούνται εντός της επιχείρησης. Αυτή η λειτουργία τους επιτρέπει να μιμούνται εταιρικούς χρήστες. Οι εισβολείς που χρησιμοποιούν σημεία πρόσβασης με αδύναμο έλεγχο ταυτότητας μπορούν να κλέψουν δεδομένα και να εκτελέσουν άλλες δόλιες δραστηριότητες. Ευτυχώς, υπάρχουν μέτρα για την καταπολέμηση αυτού. Ο ισχυρός έλεγχος ταυτότητας θα συμβάλει σημαντικά στη μείωση του κινδύνου επίθεσης από έναν εισβολέα, τόσο σε εφαρμογές καταναλωτών όσο και σε επιχειρηματικά συστήματα επιχειρήσεων.

Αυτή η μελέτη εξετάζει: πώς οι επιχειρήσεις εφαρμόζουν τον έλεγχο ταυτότητας για την προστασία των εφαρμογών τελικών χρηστών και των επιχειρηματικών συστημάτων επιχειρήσεων. παράγοντες που λαμβάνουν υπόψη όταν επιλέγουν μια λύση ελέγχου ταυτότητας· ο ρόλος που παίζει ο ισχυρός έλεγχος ταυτότητας στους οργανισμούς τους· τα οφέλη που λαμβάνουν αυτοί οι οργανισμοί.

Περίληψη

Βασικά ευρήματα

Από το 2017, η χρήση ισχυρού ελέγχου ταυτότητας έχει αυξηθεί κατακόρυφα. Με τον αυξανόμενο αριθμό τρωτών σημείων που επηρεάζουν τις παραδοσιακές λύσεις ελέγχου ταυτότητας, οι οργανισμοί ενισχύουν τις δυνατότητες ελέγχου ταυτότητας με ισχυρό έλεγχο ταυτότητας. Ο αριθμός των οργανισμών που χρησιμοποιούν κρυπτογραφικό έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) έχει τριπλασιαστεί από το 2017 για εφαρμογές καταναλωτών και αυξήθηκε κατά σχεδόν 50% για τις εταιρικές εφαρμογές. Η ταχύτερη ανάπτυξη παρατηρείται στον έλεγχο ταυτότητας για κινητά λόγω της αυξανόμενης διαθεσιμότητας βιομετρικού ελέγχου ταυτότητας.

Εδώ βλέπουμε μια απεικόνιση του ρητού «μέχρι να χτυπήσει βροντή, ένας άνθρωπος δεν θα σταυρωθεί». Όταν οι ειδικοί προειδοποίησαν για την ανασφάλεια των κωδικών πρόσβασης, κανείς δεν βιαζόταν να εφαρμόσει έλεγχο ταυτότητας δύο παραγόντων. Μόλις οι χάκερ άρχισαν να κλέβουν κωδικούς πρόσβασης, οι άνθρωποι άρχισαν να εφαρμόζουν έλεγχο ταυτότητας δύο παραγόντων.

Είναι αλήθεια ότι τα άτομα εφαρμόζουν πολύ πιο ενεργά το 2FA. Πρώτον, είναι πιο εύκολο γι 'αυτούς να κατευνάσουν τους φόβους τους βασιζόμενοι στον βιομετρικό έλεγχο ταυτότητας που είναι ενσωματωμένος στα smartphone, ο οποίος είναι στην πραγματικότητα πολύ αναξιόπιστος. Οι οργανισμοί πρέπει να ξοδέψουν χρήματα για την αγορά μάρκες και να εκτελέσουν εργασίες (στην πραγματικότητα, πολύ απλά) για την υλοποίησή τους. Και δεύτερον, μόνο τεμπέληδες δεν έχουν γράψει για διαρροές κωδικών πρόσβασης από υπηρεσίες όπως το Facebook και το Dropbox, αλλά σε καμία περίπτωση οι CIO αυτών των οργανισμών δεν θα μοιραστούν ιστορίες σχετικά με τον τρόπο κλοπής κωδικών πρόσβασης (και τι συνέβη στη συνέχεια) σε οργανισμούς.

Όσοι δεν χρησιμοποιούν ισχυρό έλεγχο ταυτότητας υποτιμούν τον κίνδυνο για την επιχείρηση και τους πελάτες τους. Ορισμένοι οργανισμοί που δεν χρησιμοποιούν επί του παρόντος ισχυρό έλεγχο ταυτότητας τείνουν να βλέπουν τα στοιχεία σύνδεσης και τους κωδικούς πρόσβασης ως μία από τις πιο αποτελεσματικές και εύχρηστες μεθόδους ελέγχου ταυτότητας χρήστη. Άλλοι δεν βλέπουν την αξία των ψηφιακών στοιχείων που κατέχουν. Άλλωστε, αξίζει να ληφθεί υπόψη ότι οι εγκληματίες του κυβερνοχώρου ενδιαφέρονται για οποιαδήποτε καταναλωτική και επιχειρηματική πληροφόρηση. Τα δύο τρίτα των εταιρειών που χρησιμοποιούν μόνο κωδικούς πρόσβασης για τον έλεγχο ταυτότητας των υπαλλήλων τους το κάνουν επειδή πιστεύουν ότι οι κωδικοί πρόσβασης είναι αρκετά καλοί για τον τύπο των πληροφοριών που προστατεύουν.

Ωστόσο, οι κωδικοί πρόσβασης είναι καθ' οδόν προς τον τάφο. Η εξάρτηση από τον κωδικό πρόσβασης μειώθηκε σημαντικά το περασμένο έτος τόσο για εφαρμογές καταναλωτών όσο και για επιχειρήσεις (από 44% σε 31% και από 56% σε 47%, αντίστοιχα) καθώς οι οργανισμοί αυξάνουν τη χρήση του παραδοσιακού MFA και του ισχυρού ελέγχου ταυτότητας.
Αλλά αν δούμε την κατάσταση στο σύνολό της, οι ευάλωτες μέθοδοι ελέγχου ταυτότητας εξακολουθούν να επικρατούν. Για τον έλεγχο ταυτότητας χρήστη, περίπου το ένα τέταρτο των οργανισμών χρησιμοποιούν SMS OTP (εφάπαξ κωδικό πρόσβασης) μαζί με ερωτήσεις ασφαλείας. Ως αποτέλεσμα, πρέπει να εφαρμοστούν πρόσθετα μέτρα ασφαλείας για την προστασία από την ευπάθεια, η οποία αυξάνει το κόστος. Η χρήση πολύ πιο ασφαλών μεθόδων ελέγχου ταυτότητας, όπως κρυπτογραφικά κλειδιά υλικού, χρησιμοποιείται πολύ λιγότερο συχνά, σε περίπου 5% των οργανισμών.

Το εξελισσόμενο ρυθμιστικό περιβάλλον υπόσχεται να επιταχύνει την υιοθέτηση ισχυρού ελέγχου ταυτότητας για εφαρμογές καταναλωτών. Με την εισαγωγή του PSD2, καθώς και με τους νέους κανόνες προστασίας δεδομένων στην ΕΕ και σε αρκετές πολιτείες των ΗΠΑ, όπως η Καλιφόρνια, οι εταιρείες αισθάνονται τον καύσωνα. Σχεδόν το 70% των εταιρειών συμφωνούν ότι αντιμετωπίζουν ισχυρές ρυθμιστικές πιέσεις για να παρέχουν ισχυρό έλεγχο ταυτότητας στους πελάτες τους. Περισσότερες από τις μισές επιχειρήσεις πιστεύουν ότι μέσα σε λίγα χρόνια οι μέθοδοι επαλήθευσης αυθεντικότητάς τους δεν θα επαρκούν για να πληρούν τα ρυθμιστικά πρότυπα.

Η διαφορά στις προσεγγίσεις των Ρώσων και Αμερικανο-Ευρωπαίων νομοθετών για την προστασία των προσωπικών δεδομένων των χρηστών προγραμμάτων και υπηρεσιών είναι σαφώς ορατή. Οι Ρώσοι λένε: αγαπητοί ιδιοκτήτες υπηρεσιών, κάντε ότι θέλετε και όπως θέλετε, αλλά αν ο διαχειριστής σας συγχωνεύσει τη βάση δεδομένων, θα σας τιμωρήσουμε. Λένε στο εξωτερικό: πρέπει να εφαρμόσετε ένα σύνολο μέτρων που δεν θα επιτρέψει στραγγίστε τη βάση. Αυτός είναι ο λόγος για τον οποίο εφαρμόζονται εκεί απαιτήσεις για αυστηρό έλεγχο ταυτότητας δύο παραγόντων.
Είναι αλήθεια ότι κάθε μέρα η νομοθετική μας μηχανή δεν θα συνέλθει και δεν θα λάβει υπόψη της τη δυτική εμπειρία. Στη συνέχεια, αποδεικνύεται ότι όλοι πρέπει να εφαρμόσουν το 2FA, το οποίο συμμορφώνεται με τα ρωσικά κρυπτογραφικά πρότυπα, και επειγόντως.

Η δημιουργία ενός ισχυρού πλαισίου ελέγχου ταυτότητας επιτρέπει στις εταιρείες να μετατοπίσουν το ενδιαφέρον τους από την εκπλήρωση των κανονιστικών απαιτήσεων στην κάλυψη των αναγκών των πελατών. Για εκείνους τους οργανισμούς που εξακολουθούν να χρησιμοποιούν απλούς κωδικούς πρόσβασης ή να λαμβάνουν κωδικούς μέσω SMS, ο πιο σημαντικός παράγοντας κατά την επιλογή μιας μεθόδου ελέγχου ταυτότητας θα είναι η συμμόρφωση με τις κανονιστικές απαιτήσεις. Ωστόσο, οι εταιρείες που χρησιμοποιούν ήδη ισχυρό έλεγχο ταυτότητας μπορούν να επικεντρωθούν στην επιλογή εκείνων των μεθόδων ελέγχου ταυτότητας που αυξάνουν την αφοσίωση των πελατών.

Κατά την επιλογή μιας εταιρικής μεθόδου ελέγχου ταυτότητας σε μια επιχείρηση, οι κανονιστικές απαιτήσεις δεν αποτελούν πλέον σημαντικό παράγοντα. Σε αυτή την περίπτωση, η ευκολία ενσωμάτωσης (32%) και το κόστος (26%) είναι πολύ πιο σημαντικά.

Στην εποχή του phishing, οι εισβολείς μπορούν να χρησιμοποιήσουν το εταιρικό email για απάτη να αποκτήσει δόλια πρόσβαση σε δεδομένα, λογαριασμούς (με κατάλληλα δικαιώματα πρόσβασης), ακόμη και να πείσει τους υπαλλήλους να πραγματοποιήσουν μεταφορά χρημάτων στον λογαριασμό του. Επομένως, οι εταιρικοί λογαριασμοί ηλεκτρονικού ταχυδρομείου και πύλης πρέπει να προστατεύονται ιδιαίτερα καλά.

Η Google έχει ενισχύσει την ασφάλειά της εφαρμόζοντας ισχυρό έλεγχο ταυτότητας. Πριν από περισσότερα από δύο χρόνια, η Google δημοσίευσε μια αναφορά σχετικά με την εφαρμογή ελέγχου ταυτότητας δύο παραγόντων που βασίζεται σε κρυπτογραφικά κλειδιά ασφαλείας χρησιμοποιώντας το πρότυπο FIDO U2F, αναφέροντας εντυπωσιακά αποτελέσματα. Σύμφωνα με την εταιρεία, δεν πραγματοποιήθηκε ούτε μία επίθεση phishing εναντίον περισσότερων από 85 εργαζομένων.

συστάσεις

Εφαρμόστε ισχυρό έλεγχο ταυτότητας για κινητές και διαδικτυακές εφαρμογές. Ο έλεγχος ταυτότητας πολλαπλών παραγόντων που βασίζεται σε κρυπτογραφικά κλειδιά παρέχει πολύ καλύτερη προστασία από το hacking από τις παραδοσιακές μεθόδους MFA. Επιπλέον, η χρήση κρυπτογραφικών κλειδιών είναι πολύ πιο βολική επειδή δεν χρειάζεται να χρησιμοποιήσετε και να μεταφέρετε πρόσθετες πληροφορίες - κωδικούς πρόσβασης, κωδικούς πρόσβασης μίας χρήσης ή βιομετρικά δεδομένα από τη συσκευή του χρήστη στον διακομιστή ελέγχου ταυτότητας. Επιπλέον, η τυποποίηση των πρωτοκόλλων ελέγχου ταυτότητας καθιστά πολύ πιο εύκολη την εφαρμογή νέων μεθόδων ελέγχου ταυτότητας καθώς γίνονται διαθέσιμες, μειώνοντας το κόστος υλοποίησης και προστατεύοντας από πιο εξελιγμένα συστήματα απάτης.

Προετοιμαστείτε για την κατάργηση των κωδικών πρόσβασης μίας χρήσης (OTP). Οι εγγενείς ευπάθειες στα OTP γίνονται όλο και πιο εμφανείς καθώς οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν την κοινωνική μηχανική, την κλωνοποίηση smartphone και το κακόβουλο λογισμικό για να θέσουν σε κίνδυνο αυτά τα μέσα ελέγχου ταυτότητας. Και αν τα OTP σε ορισμένες περιπτώσεις έχουν ορισμένα πλεονεκτήματα, τότε μόνο από την άποψη της καθολικής διαθεσιμότητας για όλους τους χρήστες, αλλά όχι από την άποψη της ασφάλειας.

Είναι αδύνατο να μην παρατηρήσετε ότι η λήψη κωδικών μέσω SMS ή ειδοποιήσεων Push, καθώς και η δημιουργία κωδικών με χρήση προγραμμάτων για smartphone, είναι η χρήση των ίδιων κωδικών πρόσβασης μίας χρήσης (OTP) για τους οποίους καλούμαστε να προετοιμαστούμε για την απόρριψη. Από τεχνικής άποψης, η λύση είναι πολύ σωστή, γιατί είναι ένας σπάνιος απατεώνας που δεν προσπαθεί να βρει τον κωδικό μιας χρήσης από έναν αφελή χρήστη. Αλλά νομίζω ότι οι κατασκευαστές τέτοιων συστημάτων θα προσκολληθούν στην τεχνολογία που πεθαίνει μέχρι το τέλος.

Χρησιμοποιήστε ισχυρό έλεγχο ταυτότητας ως εργαλείο μάρκετινγκ για να αυξήσετε την εμπιστοσύνη των πελατών. Ο ισχυρός έλεγχος ταυτότητας μπορεί να κάνει περισσότερα από απλώς να βελτιώσει την πραγματική ασφάλεια της επιχείρησής σας. Η ενημέρωση των πελατών ότι η επιχείρησή σας χρησιμοποιεί ισχυρό έλεγχο ταυτότητας μπορεί να ενισχύσει την αντίληψη του κοινού για την ασφάλεια αυτής της επιχείρησης—ένας σημαντικός παράγοντας όταν υπάρχει σημαντική ζήτηση πελατών για ισχυρές μεθόδους ελέγχου ταυτότητας.

Πραγματοποιήστε μια ενδελεχή απογραφή και αξιολόγηση της κρισιμότητας των εταιρικών δεδομένων και προστατέψτε τα ανάλογα με τη σημασία τους. Ακόμη και δεδομένα χαμηλού κινδύνου, όπως στοιχεία επικοινωνίας με τον πελάτη (όχι, πραγματικά, η έκθεση λέει "χαμηλού κινδύνου", είναι πολύ περίεργο που υποτιμούν τη σημασία αυτών των πληροφοριών), μπορεί να φέρει σημαντική αξία στους απατεώνες και να προκαλέσει προβλήματα στην εταιρεία.

Χρησιμοποιήστε ισχυρό εταιρικό έλεγχο ταυτότητας. Ορισμένα συστήματα είναι οι πιο ελκυστικοί στόχοι για τους εγκληματίες. Αυτά περιλαμβάνουν εσωτερικά και συνδεδεμένα στο Διαδίκτυο συστήματα, όπως ένα λογιστικό πρόγραμμα ή μια εταιρική αποθήκη δεδομένων. Ο ισχυρός έλεγχος ταυτότητας εμποδίζει τους εισβολείς να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση και επίσης καθιστά δυνατό τον ακριβή προσδιορισμό του υπαλλήλου που διέπραξε την κακόβουλη δραστηριότητα.

Τι είναι ο ισχυρός έλεγχος ταυτότητας;

Όταν χρησιμοποιείτε ισχυρό έλεγχο ταυτότητας, χρησιμοποιούνται διάφορες μέθοδοι ή παράγοντες για την επαλήθευση της αυθεντικότητας του χρήστη:

  • Παράγοντας γνώσης: κοινό μυστικό μεταξύ του χρήστη και του επικυρωμένου θέματος του χρήστη (όπως κωδικοί πρόσβασης, απαντήσεις σε ερωτήσεις ασφαλείας κ.λπ.)
  • Συντελεστής ιδιοκτησίας: μια συσκευή που έχει μόνο ο χρήστης (για παράδειγμα, μια κινητή συσκευή, ένα κρυπτογραφικό κλειδί κ.λπ.)
  • Παράγοντας ακεραιότητας: φυσικά (συχνά βιομετρικά) χαρακτηριστικά του χρήστη (για παράδειγμα, δακτυλικό αποτύπωμα, μοτίβο ίριδας, φωνή, συμπεριφορά κ.λπ.)

Η ανάγκη για χακάρισμα πολλών παραγόντων αυξάνει σημαντικά την πιθανότητα αποτυχίας για τους εισβολείς, καθώς η παράκαμψη ή η εξαπάτηση διάφορων παραγόντων απαιτεί τη χρήση πολλαπλών τύπων τακτικών hacking, για κάθε παράγοντα ξεχωριστά.

Για παράδειγμα, με 2FA "password + smartphone", ένας εισβολέας μπορεί να πραγματοποιήσει έλεγχο ταυτότητας κοιτάζοντας τον κωδικό πρόσβασης του χρήστη και δημιουργώντας ένα ακριβές αντίγραφο λογισμικού του smartphone του. Και αυτό είναι πολύ πιο δύσκολο από την απλή κλοπή ενός κωδικού πρόσβασης.

Αλλά εάν χρησιμοποιείται κωδικός πρόσβασης και κρυπτογραφικό διακριτικό για το 2FA, τότε η επιλογή αντιγραφής δεν λειτουργεί εδώ - είναι αδύνατο να αντιγράψετε το διακριτικό. Ο απατεώνας θα χρειαστεί να κλέψει κρυφά το διακριτικό από τον χρήστη. Εάν ο χρήστης αντιληφθεί έγκαιρα την απώλεια και ειδοποιήσει τον διαχειριστή, το διακριτικό θα αποκλειστεί και οι προσπάθειες του απατεώνα θα είναι μάταιες. Αυτός είναι ο λόγος για τον οποίο ο παράγοντας ιδιοκτησίας απαιτεί τη χρήση εξειδικευμένων ασφαλών συσκευών (tokens) και όχι συσκευών γενικής χρήσης (smartphones).

Η χρήση και των τριών παραγόντων θα κάνει αυτή τη μέθοδο ελέγχου ταυτότητας αρκετά δαπανηρή στην εφαρμογή και αρκετά άβολη στη χρήση. Επομένως, συνήθως χρησιμοποιούνται δύο στους τρεις παράγοντες.

Οι αρχές του ελέγχου ταυτότητας δύο παραγόντων περιγράφονται λεπτομερέστερα εδώ, στο μπλοκ "Πώς λειτουργεί ο έλεγχος ταυτότητας δύο παραγόντων".

Είναι σημαντικό να σημειωθεί ότι τουλάχιστον ένας από τους παράγοντες ελέγχου ταυτότητας που χρησιμοποιούνται στον ισχυρό έλεγχο ταυτότητας πρέπει να χρησιμοποιεί κρυπτογραφία δημόσιου κλειδιού.

Ο ισχυρός έλεγχος ταυτότητας παρέχει πολύ ισχυρότερη προστασία από τον έλεγχο ταυτότητας ενός παράγοντα που βασίζεται σε κλασικούς κωδικούς πρόσβασης και παραδοσιακά MFA. Οι κωδικοί πρόσβασης μπορούν να κατασκοπευτούν ή να υποκλαπούν χρησιμοποιώντας keylogger, ιστότοπους ηλεκτρονικού ψαρέματος ή επιθέσεις κοινωνικής μηχανικής (όπου το θύμα εξαπατάται για να αποκαλύψει τον κωδικό πρόσβασής του). Επιπλέον, ο κάτοχος του κωδικού πρόσβασης δεν θα γνωρίζει τίποτα για την κλοπή. Το παραδοσιακό MFA (συμπεριλαμβανομένων κωδικών OTP, σύνδεσης σε smartphone ή κάρτα SIM) μπορεί επίσης να παραβιαστεί αρκετά εύκολα, καθώς δεν βασίζεται σε κρυπτογραφία δημόσιου κλειδιού (Παρεμπιπτόντως, υπάρχουν πολλά παραδείγματα όταν, χρησιμοποιώντας τις ίδιες τεχνικές κοινωνικής μηχανικής, απατεώνες έπεισαν τους χρήστες να τους δώσουν έναν κωδικό πρόσβασης μίας χρήσης).

Ευτυχώς, η χρήση ισχυρού ελέγχου ταυτότητας και παραδοσιακής MFA κερδίζει έδαφος τόσο σε καταναλωτικές όσο και σε εταιρικές εφαρμογές από πέρυσι. Η χρήση ισχυρού ελέγχου ταυτότητας σε εφαρμογές καταναλωτών έχει αυξηθεί ιδιαίτερα γρήγορα. Αν το 2017 το χρησιμοποιούσε μόνο το 5% των εταιρειών, τότε το 2018 ήταν ήδη τρεις φορές περισσότερο – 16%. Αυτό μπορεί να εξηγηθεί από την αυξημένη διαθεσιμότητα διακριτικών που υποστηρίζουν αλγόριθμους κρυπτογραφίας δημόσιου κλειδιού (PKC). Επιπλέον, η αυξημένη πίεση από τις ευρωπαϊκές ρυθμιστικές αρχές μετά την υιοθέτηση νέων κανόνων προστασίας δεδομένων, όπως το PSD2 και ο GDPR, είχε ισχυρές επιπτώσεις ακόμη και εκτός Ευρώπης (συμπεριλαμβανομένης της Ρωσίας).

Τι θα συμβεί με τον έλεγχο ταυτότητας και τους κωδικούς πρόσβασης; Μετάφραση της αναφοράς Javelin “State of Strong Authentication” με σχόλια

Ας ρίξουμε μια πιο προσεκτική ματιά σε αυτούς τους αριθμούς. Όπως μπορούμε να δούμε, το ποσοστό των ιδιωτών που χρησιμοποιούν έλεγχο ταυτότητας πολλαπλών παραγόντων έχει αυξηθεί κατά ένα εντυπωσιακό 11% κατά τη διάρκεια του έτους. Και αυτό συνέβη ξεκάθαρα σε βάρος των λάτρεις του κωδικού πρόσβασης, αφού οι αριθμοί όσων πιστεύουν στην ασφάλεια των Push notifications, SMS και βιομετρικών στοιχείων δεν έχουν αλλάξει.

Αλλά με τον έλεγχο ταυτότητας δύο παραγόντων για εταιρική χρήση, τα πράγματα δεν είναι τόσο καλά. Πρώτον, σύμφωνα με την έκθεση, μόνο το 5% των εργαζομένων μεταφέρθηκε από τον έλεγχο ταυτότητας με κωδικό πρόσβασης σε διακριτικά. Και δεύτερον, ο αριθμός εκείνων που χρησιμοποιούν εναλλακτικές επιλογές ΜΧΣ σε εταιρικό περιβάλλον έχει αυξηθεί κατά 4%.

Θα προσπαθήσω να παίξω αναλυτής και να δώσω την ερμηνεία μου. Στο κέντρο του ψηφιακού κόσμου των μεμονωμένων χρηστών βρίσκεται το smartphone. Ως εκ τούτου, δεν είναι περίεργο που η πλειοψηφία χρησιμοποιεί τις δυνατότητες που τους παρέχει η συσκευή - βιομετρικό έλεγχο ταυτότητας, ειδοποιήσεις SMS και Push, καθώς και κωδικούς πρόσβασης μιας χρήσης που δημιουργούνται από εφαρμογές στο ίδιο το smartphone. Οι άνθρωποι συνήθως δεν σκέφτονται την ασφάλεια και την αξιοπιστία όταν χρησιμοποιούν τα εργαλεία στα οποία έχουν συνηθίσει.

Αυτός είναι ο λόγος για τον οποίο το ποσοστό των χρηστών πρωτόγονων «παραδοσιακών» παραγόντων ελέγχου ταυτότητας παραμένει αμετάβλητο. Αλλά όσοι έχουν χρησιμοποιήσει στο παρελθόν κωδικούς πρόσβασης καταλαβαίνουν πόσο διακινδυνεύουν και όταν επιλέγουν έναν νέο παράγοντα ελέγχου ταυτότητας, επιλέγουν τη νεότερη και ασφαλέστερη επιλογή - ένα κρυπτογραφικό διακριτικό.

Όσον αφορά την εταιρική αγορά, είναι σημαντικό να κατανοήσουμε σε ποιο σύστημα πραγματοποιείται έλεγχος ταυτότητας. Εάν υλοποιείται η σύνδεση σε έναν τομέα των Windows, τότε χρησιμοποιούνται κρυπτογραφικά διακριτικά. Οι δυνατότητες χρήσης τους για 2FA περιλαμβάνονται ήδη τόσο στα Windows όσο και στα Linux και οι εναλλακτικές επιλογές είναι μεγάλες και δύσκολο να εφαρμοστούν. Τόσο πολύ για τη μετάβαση του 5% από κωδικούς πρόσβασης σε διακριτικά.

Και η εφαρμογή του 2FA σε ένα εταιρικό σύστημα πληροφοριών εξαρτάται σε μεγάλο βαθμό από τα προσόντα των προγραμματιστών. Και είναι πολύ πιο εύκολο για τους προγραμματιστές να πάρουν έτοιμες μονάδες για τη δημιουργία κωδικών πρόσβασης μιας χρήσης παρά να κατανοήσουν τη λειτουργία κρυπτογραφικών αλγορίθμων. Και ως αποτέλεσμα, ακόμη και εφαρμογές απίστευτα κρίσιμες για την ασφάλεια, όπως τα συστήματα Single Sign-On ή Privileged Access Management χρησιμοποιούν το OTP ως δεύτερο παράγοντα.

Πολλά τρωτά σημεία στις παραδοσιακές μεθόδους ελέγχου ταυτότητας

Ενώ πολλοί οργανισμοί εξακολουθούν να εξαρτώνται από παλαιού τύπου συστήματα ενός παράγοντα, οι ευπάθειες στον παραδοσιακό έλεγχο ταυτότητας πολλαπλών παραγόντων γίνονται όλο και πιο εμφανείς. Οι κωδικοί πρόσβασης μιας χρήσης, συνήθως μήκους έξι έως οκτώ χαρακτήρων, που παραδίδονται μέσω SMS, παραμένουν η πιο κοινή μορφή ελέγχου ταυτότητας (εκτός από τον παράγοντα κωδικού πρόσβασης, φυσικά). Και όταν οι λέξεις "έλεγχος ταυτότητας δύο παραγόντων" ή "επαλήθευση δύο βημάτων" αναφέρονται στον δημοφιλή τύπο, σχεδόν πάντα αναφέρονται σε έλεγχο ταυτότητας κωδικού πρόσβασης μίας χρήσης μέσω SMS.

Εδώ ο συγγραφέας κάνει λίγο λάθος. Η παράδοση κωδικών πρόσβασης μίας χρήσης μέσω SMS δεν ήταν ποτέ έλεγχος ταυτότητας δύο παραγόντων. Αυτό είναι στην πιο καθαρή του μορφή το δεύτερο στάδιο του ελέγχου ταυτότητας σε δύο βήματα, όπου το πρώτο στάδιο είναι η εισαγωγή των στοιχείων σύνδεσης και του κωδικού πρόσβασής σας.

Το 2016, το Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας (NIST) ενημέρωσε τους κανόνες ελέγχου ταυτότητας για να εξαλείψει τη χρήση κωδικών πρόσβασης μίας χρήσης που αποστέλλονται μέσω SMS. Ωστόσο, αυτοί οι κανόνες χαλάρωσαν σημαντικά μετά από διαμαρτυρίες του κλάδου.

Λοιπόν, ας ακολουθήσουμε την πλοκή. Η αμερικανική ρυθμιστική αρχή ορθώς αναγνωρίζει ότι η ξεπερασμένη τεχνολογία δεν είναι ικανή να διασφαλίσει την ασφάλεια των χρηστών και εισάγει νέα πρότυπα. Πρότυπα που έχουν σχεδιαστεί για την προστασία των χρηστών διαδικτυακών και φορητών εφαρμογών (συμπεριλαμβανομένων των τραπεζικών εφαρμογών). Η βιομηχανία υπολογίζει πόσα χρήματα θα πρέπει να ξοδέψει για την αγορά πραγματικά αξιόπιστων κρυπτογραφικών μάρκων, τον επανασχεδιασμό εφαρμογών, την ανάπτυξη μιας υποδομής δημόσιου κλειδιού και «ανεβαίνει στα πίσω πόδια της». Από τη μία πλευρά, οι χρήστες ήταν πεπεισμένοι για την αξιοπιστία των κωδικών πρόσβασης μιας χρήσης και, από την άλλη, υπήρξαν επιθέσεις στο NIST. Ως αποτέλεσμα, το πρότυπο μαλακώθηκε και ο αριθμός των εισβολών και της κλοπής κωδικών πρόσβασης (και χρημάτων από τραπεζικές εφαρμογές) αυξήθηκε απότομα. Όμως ο κλάδος δεν χρειάστηκε να ξεπληρώσει χρήματα.

Από τότε, οι εγγενείς αδυναμίες του SMS OTP έχουν γίνει πιο εμφανείς. Οι απατεώνες χρησιμοποιούν διάφορες μεθόδους για να παραβιάσουν τα μηνύματα SMS:

  • Αντιγραφή κάρτας SIM. Οι εισβολείς δημιουργούν ένα αντίγραφο της κάρτας SIM (με τη βοήθεια υπαλλήλων παρόχου κινητής τηλεφωνίας ή ανεξάρτητα, χρησιμοποιώντας ειδικό λογισμικό και υλικό). Ως αποτέλεσμα, ο εισβολέας λαμβάνει ένα SMS με κωδικό πρόσβασης μίας χρήσης. Σε μια ιδιαίτερα διάσημη περίπτωση, οι χάκερ μπόρεσαν ακόμη και να θέσουν σε κίνδυνο τον λογαριασμό AT&T του επενδυτή κρυπτονομισμάτων Michael Turpin και να κλέψουν σχεδόν 24 εκατομμύρια δολάρια σε κρυπτονομίσματα. Ως αποτέλεσμα, ο Turpin δήλωσε ότι η AT&T ήταν υπαίτιος λόγω αδύναμων μέτρων επαλήθευσης που οδήγησαν σε διπλή κάρτα SIM.

    Καταπληκτική λογική. Άρα όντως φταίει μόνο η AT&T; Όχι, αναμφίβολα φταίει η εταιρεία κινητής τηλεφωνίας που οι πωλητές στο κατάστημα επικοινωνίας εξέδωσαν διπλή κάρτα SIM. Τι γίνεται με το σύστημα ελέγχου ταυτότητας ανταλλαγής κρυπτονομισμάτων; Γιατί δεν χρησιμοποίησαν ισχυρά κρυπτογραφικά διακριτικά; Ήταν κρίμα να ξοδέψουμε χρήματα για την υλοποίηση; Δεν φταίει ο ίδιος ο Μάικλ; Γιατί δεν επέμεινε να αλλάξει τον μηχανισμό ελέγχου ταυτότητας ή να χρησιμοποιήσει μόνο εκείνα τα ανταλλακτήρια που εφαρμόζουν έλεγχο ταυτότητας δύο παραγόντων με βάση κρυπτογραφικά διακριτικά;

    Η εισαγωγή πραγματικά αξιόπιστων μεθόδων ελέγχου ταυτότητας καθυστερεί ακριβώς επειδή οι χρήστες δείχνουν εκπληκτική απροσεξία πριν από το hacking και στη συνέχεια κατηγορούν τα προβλήματά τους σε οποιονδήποτε και οτιδήποτε άλλο εκτός από αρχαίες και «διαρροές» τεχνολογίες ελέγχου ταυτότητας

  • Κακόβουλο λογισμικό. Μία από τις πρώτες λειτουργίες του κακόβουλου λογισμικού για κινητά ήταν η υποκλοπή και η προώθηση μηνυμάτων κειμένου στους εισβολείς. Επίσης, οι επιθέσεις man-in-the-browser και man-in-the-middle μπορούν να υποκλέψουν κωδικούς πρόσβασης μίας χρήσης όταν εισάγονται σε μολυσμένους φορητούς υπολογιστές ή επιτραπέζιους υπολογιστές.

    Όταν η εφαρμογή Sberbank στο smartphone σας αναβοσβήνει ένα πράσινο εικονίδιο στη γραμμή κατάστασης, αναζητά επίσης "κακόβουλο λογισμικό" στο τηλέφωνό σας. Ο στόχος αυτής της εκδήλωσης είναι να μετατρέψει το μη αξιόπιστο περιβάλλον εκτέλεσης ενός τυπικού smartphone σε, τουλάχιστον με κάποιο τρόπο, αξιόπιστο.
    Παρεμπιπτόντως, ένα smartphone, ως μια εντελώς αναξιόπιστη συσκευή στην οποία μπορούν να γίνουν τα πάντα, είναι ένας άλλος λόγος για να το χρησιμοποιήσετε για έλεγχο ταυτότητας μόνο μάρκες υλικού, τα οποία είναι προστατευμένα και απαλλαγμένα από ιούς και Trojans.

  • Κοινωνική μηχανική. Όταν οι απατεώνες γνωρίζουν ότι ένα θύμα έχει ενεργοποιημένα τα OTP μέσω SMS, μπορούν να επικοινωνήσουν απευθείας με το θύμα, υποδυόμενοι τον αξιόπιστο οργανισμό, όπως η τράπεζά τους ή η πιστωτική τους ένωση, για να ξεγελάσουν το θύμα ώστε να παράσχει τον κωδικό που μόλις έλαβε.

    Προσωπικά έχω αντιμετωπίσει αυτό το είδος απάτης πολλές φορές, για παράδειγμα, όταν προσπαθώ να πουλήσω κάτι σε μια δημοφιλή διαδικτυακή υπαίθρια αγορά. Εγώ ο ίδιος κορόιδευα τον απατεώνα που προσπάθησε να με κοροϊδέψει. Αλλά δυστυχώς, διάβαζα τακτικά στις ειδήσεις πώς ένα άλλο θύμα απατεώνων «δεν σκέφτηκε», έδωσε τον κωδικό επιβεβαίωσης και έχασε ένα μεγάλο ποσό. Και όλα αυτά γιατί πολύ απλά η τράπεζα δεν θέλει να ασχοληθεί με την εφαρμογή κρυπτογραφικών tokens στις εφαρμογές της. Άλλωστε, αν συμβεί κάτι, τότε οι πελάτες «έχουν ευθύνη».

Ενώ οι εναλλακτικές μέθοδοι παράδοσης OTP ενδέχεται να μετριάσουν ορισμένες από τις ευπάθειες σε αυτήν τη μέθοδο ελέγχου ταυτότητας, άλλες ευπάθειες παραμένουν. Οι αυτόνομες εφαρμογές δημιουργίας κώδικα αποτελούν την καλύτερη προστασία έναντι της υποκλοπής, καθώς ακόμη και το κακόβουλο λογισμικό δύσκολα μπορεί να αλληλεπιδράσει απευθείας με τη γεννήτρια κώδικα (σοβαρά? Μήπως ο συντάκτης της αναφοράς ξέχασε το τηλεχειριστήριο;), αλλά τα OTP εξακολουθούν να μπορούν να υποκλαπούν όταν εισάγονται στο πρόγραμμα περιήγησης (για παράδειγμα χρησιμοποιώντας ένα keylogger), μέσω μιας παραβιασμένης εφαρμογής για κινητά. και μπορεί επίσης να ληφθεί απευθείας από τον χρήστη χρησιμοποιώντας κοινωνική μηχανική.
Χρήση πολλαπλών εργαλείων αξιολόγησης κινδύνου, όπως η αναγνώριση συσκευών (ανίχνευση προσπαθειών εκτέλεσης συναλλαγών από συσκευές που δεν ανήκουν σε νόμιμο χρήστη), γεωγραφική θέση (ένας χρήστης που μόλις βρέθηκε στη Μόσχα προσπαθεί να κάνει μια επέμβαση από το Νοβοσιμπίρσκ) και τα αναλυτικά στοιχεία συμπεριφοράς είναι σημαντικά για την αντιμετώπιση των τρωτών σημείων, αλλά καμία λύση δεν είναι πανάκεια. Για κάθε κατάσταση και τύπο δεδομένων, είναι απαραίτητο να αξιολογηθούν προσεκτικά οι κίνδυνοι και να επιλέξετε ποια τεχνολογία ελέγχου ταυτότητας θα χρησιμοποιηθεί.

Καμία λύση ελέγχου ταυτότητας δεν είναι πανάκεια

Εικόνα 2. Πίνακας επιλογών ελέγχου ταυτότητας

Έλεγχος ταυτότητας Παράγοντας Περιγραφή Βασικά τρωτά σημεία
Κωδικός πρόσβασης ή PIN D нР° ниÐμ Σταθερή τιμή, η οποία μπορεί να περιλαμβάνει γράμματα, αριθμούς και έναν αριθμό άλλων χαρακτήρων Μπορεί να υποκλαπεί, να κατασκοπευθεί, να κλαπεί, να παραληφθεί ή να παραβιαστεί
Έλεγχος ταυτότητας βάσει γνώσης D нР° ниÐμ Ερωτάται τις απαντήσεις στις οποίες μόνο ένας νόμιμος χρήστης μπορεί να γνωρίζει Μπορεί να υποκλαπεί, να παραληφθεί, να ληφθεί χρησιμοποιώντας μεθόδους κοινωνικής μηχανικής
OTP υλικού (παράδειγμα) Κατοχή Μια ειδική συσκευή που δημιουργεί κωδικούς πρόσβασης μίας χρήσης Ο κωδικός μπορεί να υποκλαπεί και να επαναληφθεί ή η συσκευή μπορεί να κλαπεί
OTP λογισμικού Κατοχή Μια εφαρμογή (κινητή, προσβάσιμη μέσω προγράμματος περιήγησης ή αποστολή κωδικών μέσω e-mail) που δημιουργεί κωδικούς πρόσβασης μίας χρήσης Ο κωδικός μπορεί να υποκλαπεί και να επαναληφθεί ή η συσκευή μπορεί να κλαπεί
SMS OTP Κατοχή Ο κωδικός πρόσβασης μίας χρήσης παραδίδεται μέσω μηνύματος κειμένου SMS Ο κωδικός μπορεί να υποκλαπεί και να επαναληφθεί, ή το smartphone ή η κάρτα SIM μπορεί να κλαπεί ή η κάρτα SIM μπορεί να αντιγραφεί
έξυπνες κάρτες (παράδειγμα) Κατοχή Μια κάρτα που περιέχει ένα κρυπτογραφικό τσιπ και μια ασφαλή μνήμη κλειδιού που χρησιμοποιεί μια υποδομή δημόσιου κλειδιού για έλεγχο ταυτότητας Μπορεί να κλαπεί σωματικά (αλλά ένας εισβολέας δεν θα μπορεί να χρησιμοποιήσει τη συσκευή χωρίς να γνωρίζει τον κωδικό PIN. σε περίπτωση πολλών λανθασμένων προσπαθειών εισαγωγής, η συσκευή θα αποκλειστεί)
Κλειδιά ασφαλείας - διακριτικά (παράδειγμα, ένα άλλο παράδειγμα) Κατοχή Μια συσκευή USB που περιέχει ένα κρυπτογραφικό τσιπ και μια ασφαλή μνήμη κλειδιού που χρησιμοποιεί μια υποδομή δημόσιου κλειδιού για έλεγχο ταυτότητας Μπορεί να κλαπεί φυσικά (αλλά ένας εισβολέας δεν θα μπορεί να χρησιμοποιήσει τη συσκευή χωρίς να γνωρίζει τον κωδικό PIN. Σε περίπτωση πολλών λανθασμένων προσπαθειών εισόδου, η συσκευή θα αποκλειστεί)
Σύνδεση με συσκευή Κατοχή Η διαδικασία που δημιουργεί ένα προφίλ, συχνά χρησιμοποιώντας JavaScript ή χρησιμοποιώντας δείκτες όπως cookie και Flash Shared Objects για να διασφαλιστεί ότι χρησιμοποιείται μια συγκεκριμένη συσκευή Τα διακριτικά μπορούν να κλαπούν (αντιγραφούν) και τα χαρακτηριστικά μιας νόμιμης συσκευής μπορούν να μιμηθούν από έναν εισβολέα στη συσκευή του
Συμπεριφορά Σύμφυτο Αναλύει τον τρόπο με τον οποίο ο χρήστης αλληλεπιδρά με μια συσκευή ή ένα πρόγραμμα Η συμπεριφορά μπορεί να μιμηθεί
Δακτυλικά αποτυπώματα Σύμφυτο Τα αποθηκευμένα δακτυλικά αποτυπώματα συγκρίνονται με αυτά που καταγράφονται οπτικά ή ηλεκτρονικά Η εικόνα μπορεί να κλαπεί και να χρησιμοποιηθεί για έλεγχο ταυτότητας
Σάρωση ματιών Σύμφυτο Συγκρίνει τα χαρακτηριστικά των ματιών, όπως το σχέδιο της ίριδας, με νέες οπτικές σαρώσεις Η εικόνα μπορεί να κλαπεί και να χρησιμοποιηθεί για έλεγχο ταυτότητας
Αναγνώριση προσώπου Σύμφυτο Τα χαρακτηριστικά του προσώπου συγκρίνονται με νέες οπτικές σαρώσεις Η εικόνα μπορεί να κλαπεί και να χρησιμοποιηθεί για έλεγχο ταυτότητας
Αναγνώριση φωνής Σύμφυτο Τα χαρακτηριστικά του δείγματος ηχογραφημένης φωνής συγκρίνονται με νέα δείγματα Η εγγραφή μπορεί να κλαπεί και να χρησιμοποιηθεί για έλεγχο ταυτότητας ή εξομοίωση

Στο δεύτερο μέρος της δημοσίευσης, μας περιμένουν τα πιο νόστιμα πράγματα - νούμερα και στοιχεία, στα οποία βασίζονται τα συμπεράσματα και οι συστάσεις που δίνονται στο πρώτο μέρος. Ο έλεγχος ταυτότητας σε εφαρμογές χρηστών και σε εταιρικά συστήματα θα συζητηθεί ξεχωριστά.

Θα δούμε σύντομα!

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο