Spoiler de la titolo de la raporto: "Uzo de forta aŭtentikigo pliiĝas pro minaco de novaj riskoj kaj reguligaj postuloj."
La esplorfirmao "Javelin Strategy & Research" publikigis la raporton "La Ŝtato de Forta Aŭtentigo 2019" (). Ĉi tiu raporto diras: kia procento de usonaj kaj eŭropaj kompanioj uzas pasvortojn (kaj kial malmultaj homoj uzas pasvortojn nun); kial la uzo de dufaktora aŭtentigo bazita sur kriptaj ĵetonoj kreskas tiel rapide; Kial unufojaj kodoj senditaj per SMS ne estas sekuraj.
Iu ajn interesita pri la nuntempo, pasinteco kaj estonteco de aŭtentikigo en entreprenoj kaj konsumantaj aplikoj estas bonvena.
De la tradukinto
Ve, la lingvo en kiu ĉi tiu raporto estas skribita estas sufiĉe "seka" kaj formala. Kaj la kvinobla uzo de la vorto "aŭtentikigo" en unu mallonga frazo ne estas la kurbaj manoj (aŭ cerboj) de la tradukinto, sed la kaprico de la aŭtoroj. Kiam mi tradukas el du ebloj - por doni al la legantoj tekston pli proksiman al la originalo, aŭ pli interesan, mi foje elektis la unuan, kaj foje la duan. Sed paciencu, karaj legantoj, la enhavo de la raporto valoras.
Kelkaj negravaj kaj nenecesaj pecoj por la rakonto estis forigitaj, alie la plimulto ne estus povinta trairi la tutan tekston. Tiuj, kiuj deziras legi la raporton "netranĉita", povas fari tion en la originala lingvo sekvante la ligilon.
Bedaŭrinde, aŭtoroj ne ĉiam zorgas pri terminologio. Tiel, unufojaj pasvortoj (One Time Password - OTP) estas foje nomitaj "pasvortoj", kaj foje "kodoj". Ĝi estas eĉ pli malbona kun aŭtentikigmetodoj. Ne ĉiam estas facile por la neklera leganto konjekti, ke "aŭtentikigo per kriptografaj ŝlosiloj" kaj "forta aŭtentigo" estas la sama afero. Mi provis kiel eble plej unuigi la terminojn, kaj en la raporto mem estas fragmento kun ilia priskribo.
Tamen, la raporto estas tre rekomendinda legado ĉar ĝi enhavas unikajn esplorrezultojn kaj ĝustajn konkludojn.
Ĉiuj ciferoj kaj faktoj estas prezentitaj sen la plej etaj ŝanĝoj, kaj se vi ne konsentas kun ili, tiam estas pli bone diskuti ne kun la tradukisto, sed kun la aŭtoroj de la raporto. Kaj jen miaj komentoj (prezentitaj kiel citaĵoj, kaj markitaj en la teksto itala) estas mia valorjuĝo kaj mi volonte argumentos pri ĉiu el ili (kaj ankaŭ pri la kvalito de la traduko).
trarigardo
Nuntempe, ciferecaj kanaloj de komunikado kun klientoj estas pli gravaj ol iam ajn por entreprenoj. Kaj ene de la firmao, komunikadoj inter dungitoj estas pli ciferece orientitaj ol iam antaŭe. Kaj kiom sekuraj ĉi tiuj interagoj estos dependas de la elektita metodo de uzantaŭtentigo. Atakantoj uzas malfortan aŭtentikigon por amase haki uzantkontojn. En respondo, regulistoj streĉas normojn por devigi entreprenojn pli bone protekti uzantkontojn kaj datumojn.
Aŭtentikig-rilataj minacoj etendiĝas preter konsumantaj aplikoj; atakantoj ankaŭ povas akiri aliron al aplikoj kurantaj ene de la entrepreno. Ĉi tiu operacio permesas al ili personigi kompaniajn uzantojn. Atakantoj uzantaj alirpunktojn kun malforta aŭtentigo povas ŝteli datumojn kaj fari aliajn fraŭdajn agadojn. Feliĉe, ekzistas rimedoj por kontraŭbatali ĉi tion. Forta aŭtentigo helpos signife redukti la riskon de atako de atakanto, kaj sur konsumantaj aplikoj kaj sur entreprenaj komercaj sistemoj.
Ĉi tiu studo ekzamenas: kiel entreprenoj efektivigas aŭtentikigon por protekti finuzantajn aplikojn kaj entreprenajn komercajn sistemojn; faktoroj, kiujn ili konsideras kiam ili elektas aŭtentikigsolvon; la rolon, kiun forta aŭtentikigo ludas en iliaj organizoj; la profitojn kiujn tiuj organizoj ricevas.
Resumo
Ŝlosilaj Trovoj
Ekde 2017, la uzo de forta aŭtentigo akre pliiĝis. Kun la kreskanta nombro da vundeblecoj influantaj tradiciajn aŭtentikajn solvojn, organizoj plifortigas siajn aŭtentikajn kapablojn per forta aŭtentigo. La nombro da organizoj uzantaj ĉifrikan multfaktoran aŭtentikigon (MFA) triobliĝis ekde 2017 por konsumantaj aplikoj kaj pliiĝis je preskaŭ 50% por entreprenaj aplikoj. La plej rapida kresko vidiĝas en poŝtelefona konfirmo pro la kreskanta havebleco de biometria aŭtentigo.
Ĉi tie ni vidas ilustraĵon de la diro "ĝis tondro trafos, homo ne krucos sin." Kiam spertuloj avertis pri la malsekureco de pasvortoj, neniu hastis efektivigi dufaktoran aŭtentikigon. Tuj kiam piratoj komencis ŝteli pasvortojn, homoj komencis efektivigi dufaktoran aŭtentikigon.
Vere, individuoj multe pli aktive efektivigas 2FA. Unue, estas pli facile por ili trankviligi siajn timojn fidante je la biometria aŭtentigo enkonstruita en saĝtelefonoj, kiu estas fakte tre nefidinda. Organizoj devas elspezi monon por aĉetado de ĵetonoj kaj fari laboron (fakte, tre simpla) por efektivigi ilin. Kaj due, nur maldiligentaj homoj ne skribis pri pasvortfuĝoj de servoj kiel Facebook kaj Dropbox, sed sub neniuj cirkonstancoj la CIO-oj de ĉi tiuj organizoj dividos rakontojn pri kiel pasvortoj estis ŝtelitaj (kaj kio okazis poste) en organizoj.
Tiuj, kiuj ne uzas fortan aŭtentikigon, subtaksas sian riskon por sia komerco kaj klientoj. Iuj organizoj, kiuj nuntempe ne uzas fortan aŭtentikigon, emas rigardi ensalutojn kaj pasvortojn kiel unu el la plej efikaj kaj facile uzeblaj metodoj de uzantaŭtentigo. Aliaj ne vidas la valoron de la ciferecaj aktivoj, kiujn ili posedas. Post ĉio, indas konsideri, ke ciberkrimuloj interesiĝas pri ajna konsumanto kaj komerca informo. Du trionoj de kompanioj, kiuj uzas nur pasvortojn por aŭtentikigi siajn dungitojn, faras tion ĉar ili kredas, ke la pasvortoj estas sufiĉe bonaj por la speco de informoj, kiujn ili protektas.
Tamen pasvortoj estas survoje al la tombo. Pasvorta dependeco malpliiĝis signife dum la pasinta jaro por kaj konsumantaj kaj entreprenaj aplikoj (de 44% ĝis 31%, kaj de 56% ĝis 47%, respektive) ĉar organizoj pliigas sian uzon de tradicia MFA kaj fortan aŭtentikigon.
Sed se ni rigardas la situacion entute, vundeblaj aŭtentikigmetodoj ankoraŭ regas. Por uzantaŭtentigo, ĉirkaŭ kvarono de organizoj uzas SMS OTP (unufoja pasvorto) kune kun sekurecaj demandoj. Kiel rezulto, pliaj sekurecaj mezuroj devas esti efektivigitaj por protekti kontraŭ la vundebleco, kiu pliigas kostojn. La uzo de multe pli sekuraj aŭtentikigmetodoj, kiel hardvaraj kriptografaj ŝlosiloj, estas uzata multe malpli ofte, en proksimume 5% de organizoj.
La evoluanta reguliga medio promesas akceli la adopton de forta aŭtentigo por konsumantaj aplikoj. Kun la enkonduko de PSD2, same kiel novaj reguloj pri protekto de datumoj en EU kaj pluraj usonaj ŝtatoj kiel Kalifornio, kompanioj sentas la varmon. Preskaŭ 70% de kompanioj konsentas, ke ili alfrontas fortan reguligan premon por provizi fortan aŭtentigon al siaj klientoj. Pli ol duono de entreprenoj opinias, ke post kelkaj jaroj iliaj aŭtentikigmetodoj ne sufiĉos por plenumi reguligajn normojn.
La diferenco en la aliroj de rusaj kaj usona-eŭropaj leĝdonantoj al la protekto de personaj datumoj de uzantoj de programoj kaj servoj estas klare videbla. La rusoj diras: karaj servaj posedantoj, faru tion, kion vi volas kaj kiel vi volas, sed se via administranto kunfandas la datumbazon, ni punos vin. Ili diras eksterlande: vi devas efektivigi aron de mezuroj kiuj ne permesos drenu la bazon. Tial postuloj por strikta dufaktora aŭtentigo estas efektivigitaj tie.
Vere, estas malproksime de fakto, ke nia leĝdona maŝino iam ne rekonsciiĝos kaj konsideros okcidentan sperton. Tiam rezultas, ke ĉiuj bezonas efektivigi 2FA, kiu konformas al rusaj kriptaj normoj, kaj urĝe.
Establi fortan aŭtentikigkadron permesas al kompanioj ŝanĝi sian fokuson de plenumado de reguligaj postuloj al kontentigo de klientbezonoj. Por tiuj organizoj, kiuj ankoraŭ uzas simplajn pasvortojn aŭ ricevas kodojn per SMS, la plej grava faktoro kiam elektas aŭtentikigmetodon estos plenumo de reguligaj postuloj. Sed tiuj kompanioj, kiuj jam uzas fortan aŭtentikigon, povas koncentriĝi pri elekto de tiuj aŭtentikigmetodoj, kiuj pliigas klientan lojalecon.
Elektante kompanian aŭtentikigmetodon ene de entrepreno, reguligaj postuloj ne plu estas signifa faktoro. En ĉi tiu kazo, facileco de integriĝo (32%) kaj kosto (26%) estas multe pli gravaj.
En la epoko de phishing, atakantoj povas uzi kompanian retpoŝton por fraŭdi por fraŭde akiri aliron al datumoj, kontoj (kun taŭgaj alirrajtoj), kaj eĉ por konvinki dungitojn fari montransdonon al sia konto. Tial, kompaniaj retpoŝtaj kaj portalaj kontoj devas esti speciale bone protektitaj.
Google plifortigis sian sekurecon efektivigante fortan aŭtentikigon. Antaŭ pli ol du jaroj, Google publikigis raporton pri la efektivigo de dufaktora aŭtentigo bazita sur ĉifrikaj sekurecaj ŝlosiloj uzante la normo FIDO U2F, raportante impresajn rezultojn. Laŭ la kompanio, eĉ ne unu phishing-atako estis farita kontraŭ pli ol 85 dungitoj.
rekomendoj
Efektivigu fortan aŭtentikigon por poŝtelefonaj kaj interretaj aplikoj. Plurfaktora aŭtentigo bazita sur ĉifrikaj ŝlosiloj provizas multe pli bonan protekton kontraŭ kodrompado ol tradiciaj MFA-metodoj. Krome, la uzo de kriptografaj ŝlosiloj estas multe pli oportuna ĉar ne necesas uzi kaj transdoni pliajn informojn - pasvortojn, unufojajn pasvortojn aŭ biometriajn datumojn de la aparato de la uzanto al la aŭtentikiga servilo. Aldone, normigado de aŭtentikigprotokoloj multe pli facilas efektivigi novajn konfirmmetodojn kiam ili fariĝas disponeblaj, reduktante efektivigkostojn kaj protektante kontraŭ pli kompleksaj fraŭdaj kabaloj.
Preparu por la forpaso de unufojaj pasvortoj (OTP). La vundeblecoj enecaj en OTP-oj iĝas ĉiam pli ŝajnaj kiam ciberkrimuloj uzas socian inĝenieristikon, saĝtelefonklonadon kaj malware por endanĝerigi ĉi tiujn rimedojn de aŭtentigo. Kaj se OTP-oj en iuj kazoj havas certajn avantaĝojn, tiam nur el la vidpunkto de universala havebleco por ĉiuj uzantoj, sed ne el la vidpunkto de sekureco.
Estas neeble ne rimarki, ke ricevi kodojn per SMS aŭ Puŝaj sciigoj, kaj ankaŭ generi kodojn per programoj por inteligentaj telefonoj, estas la uzo de tiuj samaj unufojaj pasvortoj (OTP), por kiuj ni estas petataj prepariĝi por la malkresko. De teknika vidpunkto, la solvo estas tre ĝusta, ĉar ĝi estas malofta fraŭdo, kiu ne provas eltrovi la unufojan pasvorton de naiva uzanto. Sed mi pensas, ke fabrikantoj de tiaj sistemoj alkroĉiĝos al mortanta teknologio ĝis la lasta.
Uzu fortan aŭtentikigon kiel merkatan ilon por pliigi klientan fidon. Forta aŭtentigo povas fari pli ol nur plibonigi la realan sekurecon de via komerco. Informante klientojn, ke via komerco uzas fortan aŭtentikigon, povas plifortigi publikan percepton pri la sekureco de tiu komerco—grava faktoro kiam estas grava kliento postulo pri fortaj aŭtentikigmetodoj.
Faru ĝisfundan inventaron kaj kritikecan takson de kompaniaj datumoj kaj protektu ĝin laŭ graveco. Eĉ malalt-riskaj datumoj kiel klientaj kontaktinformoj (ne, vere, la raporto diras "malalta risko", estas tre strange, ke ili subtaksas la gravecon de ĉi tiu informo.), povas alporti signifan valoron al fraŭdantoj kaj kaŭzi problemojn por la firmao.
Uzu fortan entreprenan aŭtentikigon. Kelkaj sistemoj estas la plej allogaj celoj por krimuloj. Ĉi tiuj inkluzivas internajn kaj interretajn sistemojn kiel kontada programo aŭ kompania datuma stokejo. Forta aŭtentigo malhelpas atakantojn akiri neaŭtorizitan aliron, kaj ankaŭ ebligas precize determini, kiu dungito faris la malican agadon.
Kio estas Forta Aŭtentigo?
Kiam vi uzas fortan aŭtentikigon, pluraj metodoj aŭ faktoroj estas uzataj por kontroli la aŭtentecon de la uzanto:
- Sciofaktoro: dividita sekreto inter la uzanto kaj la aŭtentikigita temo de la uzanto (kiel ekzemple pasvortoj, respondoj al sekurecaj demandoj, ktp.)
- Faktoro de proprieto: aparato kiun nur la uzanto havas (ekzemple, poŝtelefono, kriptografa ŝlosilo, ktp.)
- Faktoro de integreco: fizikaj (ofte biometrikaj) karakterizaĵoj de la uzanto (ekzemple, fingrospuro, irispadrono, voĉo, konduto, ktp.)
La bezono haki plurajn faktorojn multe pliigas la verŝajnecon de fiasko por atakantoj, ĉar preteriri aŭ trompi diversajn faktorojn postulas uzi plurajn specojn de pirataj taktikoj, por ĉiu faktoro aparte.
Ekzemple, kun 2FA "pasvorto + inteligenta telefono", atakanto povas plenumi aŭtentigon rigardante la pasvorton de la uzanto kaj farante precizan programaran kopion de sia inteligenta telefono. Kaj ĉi tio estas multe pli malfacila ol simple ŝteli pasvorton.
Sed se pasvorto kaj kriptografa ĵetono estas uzataj por 2FA, tiam la kopia opcio ne funkcias ĉi tie - estas neeble duobligi la ĵetonon. La fraŭdo devos ŝtele ŝteli la ĵetonon de la uzanto. Se la uzanto rimarkas la perdon ĝustatempe kaj sciigas la administranton, la ĵetono estos blokita kaj la klopodoj de la fraŭdo estos vanaj. Tial la posedfaktoro postulas la uzon de specialecaj sekuraj aparatoj (ĵetonoj) prefere ol ĝeneraluzeblaj aparatoj (smartphones).
Uzado de ĉiuj tri faktoroj faros ĉi tiun aŭtentikigmetodon sufiĉe multekostan efektivigi kaj sufiĉe maloportune uzi. Tial, du el tri faktoroj estas kutime uzataj.
La principoj de dufaktora aŭtentigo estas priskribitaj pli detale , en la bloko "Kiel funkcias dufaktora aŭtentigo".
Gravas noti, ke almenaŭ unu el la aŭtentikigfaktoroj uzataj en forta aŭtentigo devas uzi publikan ŝlosilan kriptografion.
Forta aŭtentigo provizas multe pli fortan protekton ol unufaktora aŭtentigo bazita sur klasikaj pasvortoj kaj tradicia MFA. Pasvortoj povas esti spionitaj aŭ kaptitaj uzante keyloggers, phishing-ejojn aŭ sociajn inĝenierajn atakojn (kie la viktimo estas trompita por malkaŝi sian pasvorton). Krome, la posedanto de la pasvorto ne scios ion pri la ŝtelo. Tradicia MFA (inkluzive de OTP-kodoj, ligantaj al inteligenta telefono aŭ SIM-karto) ankaŭ povas esti hakita sufiĉe facile, ĉar ĝi ne estas bazita sur publika ŝlosila kriptografio (Cetere, estas multaj ekzemploj kiam, uzante la samajn sociajn inĝenierajn teknikojn, skamistoj persvadis uzantojn doni al ili unufojan pasvorton.).
Feliĉe, la uzo de forta aŭtentikigo kaj tradicia MFA akiris tiradon en ambaŭ konsumantaj kaj entreprenaj aplikoj ekde la pasinta jaro. La uzo de forta aŭtentigo en konsumantaj aplikoj kreskis precipe rapide. Se en 2017 nur 5% de kompanioj uzis ĝin, tiam en 2018 ĝi estis jam trioble pli - 16%. Ĉi tio povas esti klarigita per la pliigita havebleco de ĵetonoj kiuj subtenas Public Key Cryptography (PKC) algoritmoj. Krome, pliigita premo de eŭropaj reguligistoj post la adopto de novaj datumprotektaj reguloj kiel PSD2 kaj GDPR havis fortan efikon eĉ ekster Eŭropo (inkluzive en Rusujo).
Ni rigardu pli detale ĉi tiujn nombrojn. Kiel ni povas vidi, la procento de privataj individuoj uzantaj plurfaktoran aŭtentikigon kreskis je impresa 11% dum la jaro. Kaj ĉi tio klare okazis koste de pasvort-amantoj, ĉar la nombroj de tiuj, kiuj kredas je la sekureco de Puŝaj sciigoj, SMS kaj biometrio ne ŝanĝiĝis.
Sed kun dufaktora aŭtentigo por kompania uzo, aferoj ne estas tiel bonaj. Unue, laŭ la raporto, nur 5% de dungitoj estis translokigitaj de pasvorta aŭtentigo al ĵetonoj. Kaj due, la nombro de tiuj, kiuj uzas alternativajn MFA-opciojn en kompania medio, pliiĝis je 4%.
Mi provos ludi analiziston kaj donos mian interpreton. En la centro de la cifereca mondo de individuaj uzantoj estas la inteligenta telefono. Sekve, ne estas mirinde, ke la plimulto uzas la kapablojn, kiujn la aparato provizas al ili - biometrika aŭtentigo, SMS- kaj Push-scioj, same kiel unufojaj pasvortoj generitaj de aplikoj sur la inteligenta telefono mem. Homoj kutime ne pensas pri sekureco kaj fidindeco kiam ili uzas la ilojn al kiuj ili kutimas.
Tial la procento de uzantoj de primitivaj "tradiciaj" aŭtentikigfaktoroj restas senŝanĝa. Sed tiuj, kiuj antaŭe uzis pasvortojn, komprenas kiom ili riskas, kaj elektante novan aŭtentikigfaktoron, ili elektas la plej novan kaj sekuran opcion - kriptografan ĵetonon.
Koncerne la kompanian merkaton, estas grave kompreni en kiu sistema aŭtentikigo estas efektivigita. Se ensaluto al Vindoza domajno estas efektivigita, tiam kriptografaj ĵetonoj estas uzataj. La eblecoj uzi ilin por 2FA jam estas enkonstruitaj kaj Vindozo kaj Linukso, sed alternativaj opcioj estas longaj kaj malfacile efektivigeblaj. Tiom por la migrado de 5% de pasvortoj al ĵetonoj.
Kaj la efektivigo de 2FA en kompania informsistemo tre dependas de la kvalifikoj de la programistoj. Kaj estas multe pli facile por programistoj preni pretajn modulojn por generi unufojajn pasvortojn ol kompreni la funkciadon de kriptografiaj algoritmoj. Kaj kiel rezulto, eĉ nekredeble sekurec-kritikaj aplikoj kiel Single Sign-On aŭ Privileged Access Management-sistemoj uzas OTP kiel duan faktoron.
Multaj vundeblecoj en tradiciaj aŭtentikigmetodoj
Dum multaj organizoj restas dependaj de heredaj unufaktoraj sistemoj, vundeblecoj en tradicia plurfaktora aŭtentigo fariĝas ĉiam pli ŝajnaj. Unufojaj pasvortoj, kutime ses ĝis ok signoj longaj, liveritaj per SMS, restas la plej ofta formo de aŭtentikigo (krom la pasvortfaktoro, kompreneble). Kaj kiam la vortoj "dufaktora aŭtentigo" aŭ "du-paŝa konfirmo" estas menciitaj en la populara gazetaro, ili preskaŭ ĉiam referencas al SMS-unufoja pasvorta aŭtentigo.
Ĉi tie la aŭtoro iom eraras. Liveri unufojajn pasvortojn per SMS neniam estis dufaktora aŭtentigo. Ĉi tio estas en sia plej pura formo la dua etapo de dupaŝa aŭtentikigo, kie la unua etapo estas enigi vian ensaluton kaj pasvorton.
En 2016, la Nacia Instituto pri Normoj kaj Teknologio (NIST) ĝisdatigis siajn konfirmregulojn por forigi la uzon de unufojaj pasvortoj senditaj per SMS. Tamen, tiuj reguloj estis signife malstreĉitaj post industriprotestoj.
Do, ni sekvu la intrigon. La usona reguligisto prave rekonas, ke malmoderna teknologio ne kapablas certigi uzantan sekurecon kaj enkondukas novajn normojn. Normoj destinitaj por protekti uzantojn de interretaj kaj moveblaj aplikoj (inkluzive de bankaj). La industrio kalkulas kiom da mono ĝi devos elspezi por aĉeti vere fidindajn kriptajn ĵetonojn, restrukturi aplikojn, disfaldi publikan ŝlosilan infrastrukturon, kaj "leviĝas sur siaj malantaŭaj kruroj". Unuflanke, uzantoj estis konvinkitaj pri la fidindeco de unufojaj pasvortoj, kaj aliflanke, estis atakoj kontraŭ NIST. Kiel rezulto, la normo estis mildigita, kaj la nombro da hakoj kaj ŝtelo de pasvortoj (kaj mono de bankaplikoj) akre pliiĝis. Sed la industrio ne devis elspezi monon.
Ekde tiam, la enecaj malfortoj de SMS OTP fariĝis pli evidentaj. Fraŭdantoj uzas diversajn metodojn por kompromiti SMS-mesaĝojn:
- SIM-karto duobligo. Atakantoj kreas kopion de la SIM (kun la helpo de dungitoj de movebla operatoro, aŭ sendepende, uzante specialan programaron kaj aparataron). Kiel rezulto, la atakanto ricevas SMS kun unufoja pasvorto. En unu aparte fama kazo, piratoj eĉ povis kompromiti la konton de AT&T de la investanto de kripta monero Michael Turpin, kaj ŝteli preskaŭ 24 milionojn da dolaroj en kriptaj moneroj. Kiel rezulto, Turpin deklaris ke AT&T estis kulpa pro malfortaj konfirminiciatoj kiuj kaŭzis SIM-kartmultobligon.
Mirinda logiko. Do ĉu vere estas nur AT&T kulpo? Ne, sendube estas kulpo de la movebla operatoro, ke la vendistoj en la komunika vendejo eldonis duoblan SIM-karton. Kio pri la sistemo de aŭtentikiga interŝanĝo de kripta monero? Kial ili ne uzis fortajn kriptografajn ĵetonojn? Ĉu estis domaĝe elspezi monon por efektivigo? Ĉu Mikaelo mem ne estas kulpa? Kial li ne insistis ŝanĝi la aŭtentikigmekanismon aŭ uzis nur tiujn interŝanĝojn, kiuj efektivigas dufaktoran aŭtentikigon bazitan sur kriptografaj ĵetonoj?
La enkonduko de vere fidindaj aŭtentikigmetodoj estas prokrastita ĝuste ĉar uzantoj montras mirindan malzorgemon antaŭ hakado, kaj poste ili kulpigas siajn problemojn sur iu ajn kaj io ajn krom antikvaj kaj "likaj" aŭtentikigteknologioj.
- Malware. Unu el la plej fruaj funkcioj de movebla malware estis kapti kaj plusendi tekstmesaĝojn al atakantoj. Ankaŭ, atakoj de viro-en-la-retumilo kaj viro-en-la-mezo povas kapti unufojajn pasvortojn kiam ili estas enigitaj sur infektitaj tekkomputiloj aŭ labortablaj aparatoj.
Kiam la Sberbank-aplikaĵo sur via inteligenta telefono palpebrumas verdan ikonon en la statusbreto, ĝi ankaŭ serĉas "malware" en via telefono. La celo de ĉi tiu evento estas igi la nefiditan ekzekutmedion de tipa inteligenta telefono en, almenaŭ iel, fidinda.
Cetere, inteligenta telefono, kiel tute nefidinda aparato, sur kiu io ajn povas esti farita, estas alia kialo por uzi ĝin por aŭtentigo. nur aparataj ĵetonoj, kiuj estas protektitaj kaj liberaj de virusoj kaj trojanoj. - Socia inĝenierado. Kiam skamistoj scias, ke viktimo havas OTP-ojn ebligitaj per SMS, ili povas kontakti la viktimon rekte, prezentiĝante kiel fidinda organizo kiel sia banko aŭ kreditasocio, por trompi la viktimon provizi la kodon, kiun ili ĵus ricevis.
Mi persone renkontis ĉi tiun tipon de fraŭdo multajn fojojn, ekzemple, kiam mi provis vendi ion en populara interreta pulbazaro. Mi mem mokis la friponon, kiu provis trompi min laŭ mia koro. Sed ve, mi regule legas en la novaĵoj, kiel ankoraŭ alia viktimo de skamistoj "ne pensis", donis la konfirman kodon kaj perdis grandan sumon. Kaj ĉio ĉi estas ĉar la banko simple ne volas trakti la efektivigon de kriptografaj ĵetonoj en siaj aplikoj. Post ĉio, se io okazas, la klientoj "havas sin kulpigi."
Dum alternativaj OTP-livermetodoj povas mildigi kelkajn el la vundeblecoj en ĉi tiu aŭtentikigmetodo, aliaj vundeblecoj restas. Memstara kodogeneraciaj aplikoj estas la plej bona protekto kontraŭ subaŭskultado, ĉar eĉ malware povas apenaŭ interagi rekte kun la kodgeneratoro (serioze? Ĉu la aŭtoro de la raporto forgesis pri teleregilo?), sed OTP-oj ankoraŭ povas esti kaptitaj kiam enirite en la retumilon (ekzemple uzante klavregistrilon), per hakita poŝtelefona aplikaĵo; kaj ankaŭ povas esti akirita rekte de la uzanto uzante socian inĝenieristikon.
Uzante multoblajn risktaksajn ilojn kiel ekzemple aparatrekono (detekto de provoj fari transakciojn de aparatoj kiuj ne apartenas al laŭleĝa uzanto), geolokigo (uzanto, kiu ĵus estis en Moskvo, provas fari operacion de Novosibirsk) kaj konduta analizo estas gravaj por trakti vundeblecojn, sed nek solvo estas panaceo. Por ĉiu situacio kaj tipo de datumoj, necesas zorge taksi la riskojn kaj elekti kian aŭtentikigteknologion estu uzata.
Neniu aŭtentikiga solvo estas panaceo
Figuro 2. Tabelo de aŭtentikaj elektoj
| Aŭtentigo | Faktoro | Priskribo | Ŝlosilaj vundeblecoj |
| Pasvorto aŭ PIN | Scio | Fiksa valoro, kiu povas inkluzivi literojn, ciferojn kaj kelkajn aliajn signojn | Povas esti kaptita, spionita, ŝtelita, kaptita aŭ hakita |
| Scio-bazita aŭtentikigo | Scio | Pridubas la respondojn, kiujn nur jura uzanto povas scii | Povas esti kaptita, prenita, akirita per sociaj inĝenieraj metodoj |
| Aparataro OTP () | Posedo | Speciala aparato, kiu generas unufojajn pasvortojn | La kodo povas esti kaptita kaj ripetita, aŭ la aparato povas esti ŝtelita |
| Programaro OTP-oj | Posedo | Apliko (poŝtelefona, alirebla per retumilo aŭ sendanta kodojn retpoŝte) kiu generas unufojajn pasvortojn | La kodo povas esti kaptita kaj ripetita, aŭ la aparato povas esti ŝtelita |
| SMS OTP | Posedo | Unufoja pasvorto liverita per SMS-mesaĝo | La kodo povas esti kaptita kaj ripetita, aŭ la inteligenta telefono aŭ SIM-karto povas esti ŝtelita, aŭ la SIM-karto povas esti duobligita |
| Smart kartoj () | Posedo | Karto kiu enhavas ĉifrikan blaton kaj sekuran ŝlosilan memoron, kiu uzas publikan ŝlosilan infrastrukturon por aŭtentigo | Povas esti fizike ŝtelita (sed atakanto ne povos uzi la aparaton sen scii la PIN-kodon; en kazo de pluraj malĝustaj enigprovoj, la aparato estos blokita) |
| Sekurecŝlosiloj - ĵetonoj (, ) | Posedo | USB-aparato kiu enhavas kriptografan blaton kaj sekuran ŝlosilan memoron, kiu uzas publikan ŝlosilan infrastrukturon por aŭtentigo | Povas esti fizike ŝtelita (sed atakanto ne povos uzi la aparaton sen scii la PIN-kodon; en kazo de pluraj malĝustaj provoj, la aparato estos blokita) |
| Ligo al aparato | Posedo | La procezo kiu kreas profilon, ofte uzante JavaScript, aŭ uzante markilojn kiel kuketoj kaj Flash Shared Objects por certigi ke specifa aparato estas uzata. | Ĵetonoj povas esti ŝtelitaj (kopiitaj), kaj la karakterizaĵoj de laŭleĝa aparato povas esti imititaj fare de atakanto sur sia aparato. |
| Konduto | Enhereco | Analizas kiel la uzanto interagas kun aparato aŭ programo | Konduto povas esti imitita |
| Fingrospuroj | Enhereco | Stokitaj fingrospuroj estas komparitaj kun tiuj kaptitaj optike aŭ elektronike | La bildo povas esti ŝtelita kaj uzata por aŭtentigo |
| Okula skanado | Enhereco | Kompparas okulkarakterizaĵojn, kiel iriso-ŝablono, kun novaj optikaj skanadoj | La bildo povas esti ŝtelita kaj uzata por aŭtentigo |
| Vizaĝa rekono | Enhereco | Vizaĝaj trajtoj estas komparitaj kun novaj optikaj skanadoj | La bildo povas esti ŝtelita kaj uzata por aŭtentigo |
| Voĉa rekono | Enhereco | La karakterizaĵoj de la registrita voĉprovaĵo estas komparitaj kun novaj provaĵoj | La rekordo povas esti ŝtelita kaj uzita por aŭtentigo, aŭ kopiita |
En la dua parto de la eldonaĵo atendas nin la plej bongustaj aferoj - nombroj kaj faktoj, sur kiuj baziĝas la konkludoj kaj rekomendoj donitaj en la unua parto. Aŭtentigo en uzantaj aplikaĵoj kaj en kompaniaj sistemoj estos diskutita aparte.
Ĝis revido!
fonto: www.habr.com