Spoiler aruande pealkirjast: "Tugeva autentimise kasutamine suureneb uute riskide ja regulatiivsete nõuete tõttu."
Uuringufirma "Javelin Strategy & Research" avaldas aruande "The State of Strong Authentication 2019" (). See aruanne ütleb: kui suur protsent Ameerika ja Euroopa ettevõtetest kasutab paroole (ja miks praegu kasutavad paroole vähesed); miks krüptomärkidel põhineva kahefaktorilise autentimise kasutamine nii kiiresti kasvab; Miks SMS-iga saadetud ühekordsed koodid pole turvalised?
Oodatud on kõik, kes on huvitatud ettevõtete ja tarbijarakenduste autentimise olevikust, minevikust ja tulevikust.
Tõlkija käest
Paraku on selle aruande koostamise keel üsna "kuiv" ja ametlik. Ja sõna “autentimine” viiekordne kasutamine ühes lühikeses lauses ei ole tõlkija kõverad käed (või ajud), vaid autorite kapriis. Tõlkimisel kahest võimalusest – anda lugejatele originaalile lähedasem või huvitavam tekst – valisin vahel esimese, vahel teise. Kuid olge kannatlikud, kallid lugejad, raporti sisu on seda väärt.
Mõned loo jaoks ebaolulised ja mittevajalikud killud eemaldati, muidu poleks enamus kogu tekstist läbi saanud. Need, kes soovivad aruannet "lõikamata" lugeda, saavad seda teha originaalkeeles, järgides linki.
Kahjuks ei ole autorid terminoloogiaga alati ettevaatlikud. Seega nimetatakse ühekordseid paroole (One Time Password – OTP) mõnikord "paroolideks" ja mõnikord "koodideks". Autentimismeetoditega on asi veelgi hullem. Koolituseta lugejal ei ole alati lihtne arvata, et "krüptovõtmete abil autentimine" ja "tugev autentimine" on sama asi. Püüdsin termineid nii palju kui võimalik ühtlustada ja aruandes endas on fragment nende kirjeldusega.
Sellegipoolest on aruannet väga soovitatav lugeda, kuna see sisaldab ainulaadseid uurimistulemusi ja õigeid järeldusi.
Kõik arvud ja faktid on esitatud ilma vähimate muudatusteta ja kui te nendega ei nõustu, siis on parem vaielda mitte tõlkija, vaid aruande autoritega. Ja siin on minu kommentaarid (esitatud tsitaatidena ja märgitud tekstis itaalia keel) on minu väärtushinnangud ja vaitlen hea meelega igaühe üle (nagu ka tõlke kvaliteedi üle).
Vaadata
Tänapäeval on digitaalsed suhtluskanalid klientidega ettevõtete jaoks olulisemad kui kunagi varem. Ja ettevõtte sees on töötajate vaheline suhtlus rohkem digitaalse suunitlusega kui kunagi varem. Ja kui turvaline need suhtlused on, sõltub valitud kasutaja autentimismeetodist. Ründajad kasutavad kasutajakontode massiliseks häkkimiseks nõrka autentimist. Vastuseks sellele karmistavad reguleerivad asutused standardeid, et sundida ettevõtteid kasutajakontosid ja andmeid paremini kaitsma.
Autentimisega seotud ohud ulatuvad tarbijarakendustest kaugemale; ründajad saavad juurdepääsu ka ettevõttes töötavatele rakendustele. See toiming võimaldab neil esineda ettevõtte kasutajatena. Nõrga autentimisega pääsupunkte kasutavad ründajad võivad varastada andmeid ja sooritada muid petturlikke tegevusi. Õnneks on selle vastu võitlemiseks meetmeid. Tugev autentimine aitab oluliselt vähendada ründaja rünnakuohtu nii tarbijarakendustes kui ka ettevõtte ärisüsteemides.
Selles uuringus uuritakse: kuidas ettevõtted rakendavad autentimist, et kaitsta lõppkasutaja rakendusi ja ettevõtte ärisüsteeme; tegurid, mida nad autentimislahenduse valimisel arvestavad; rolli, mida tugev autentimine nende organisatsioonides mängib; kasu need organisatsioonid saavad.
Kokkuvõte
Peamised järeldused
Alates 2017. aastast on tugeva autentimise kasutamine järsult kasvanud. Kuna traditsioonilisi autentimislahendusi mõjutavate haavatavuste arv kasvab, tugevdavad organisatsioonid oma autentimisvõimalusi tugeva autentimisega. Krüptograafilist mitmefaktorilist autentimist (MFA) kasutavate organisatsioonide arv on alates 2017. aastast tarbijarakenduste puhul kolmekordistunud ja ettevõtete rakenduste puhul ligi 50%. Kõige kiiremini kasvab mobiilne autentimine tänu biomeetrilise autentimise kättesaadavuse suurenemisele.
Siin näeme näidet ütlusest "kuni äike ei löö, ei löö mees risti ette". Kui eksperdid hoiatasid paroolide ebaturvalisuse eest, ei kiirustanud keegi kahefaktorilise autentimise rakendamisega. Niipea, kui häkkerid hakkasid paroole varastama, hakkasid inimesed rakendama kahefaktorilist autentimist.
Tõsi, üksikisikud rakendavad 2FA-d palju aktiivsemalt. Esiteks on neil lihtsam oma hirme vaigistada, tuginedes nutitelefonidesse sisseehitatud biomeetrilisele autentimisele, mis on tegelikult väga ebausaldusväärne. Organisatsioonid peavad kulutama raha žetoonide ostmiseks ja tegema (tegelikult väga lihtsat) tööd nende rakendamiseks. Ja teiseks, ainult laisad inimesed pole kirjutanud paroolileketest sellistest teenustest nagu Facebook ja Dropbox, kuid mitte mingil juhul ei jaga nende organisatsioonide infojuhid lugusid sellest, kuidas organisatsioonides paroole varastati (ja mis edasi sai).
Need, kes tugevat autentimist ei kasuta, alahindavad oma riski oma ärile ja klientidele. Mõned organisatsioonid, mis praegu tugevat autentimist ei kasuta, peavad sisselogimisnimesid ja paroole üheks kõige tõhusamaks ja hõlpsamini kasutatavaks kasutaja autentimise meetodiks. Teised ei näe neile kuuluvate digitaalsete varade väärtust. Tasub ju arvestada, et küberkurjategijaid huvitab igasugune tarbija- ja äriinfo. Kaks kolmandikku ettevõtetest, kes kasutavad oma töötajate autentimiseks ainult paroole, teevad seda seetõttu, et nende arvates on paroolid piisavalt head nende kaitstud teabe jaoks.
Paroolid on aga teel hauda. Paroolisõltuvus on viimase aasta jooksul märkimisväärselt langenud nii tarbija- kui ka ettevõtterakenduste puhul (vastavalt 44%-lt 31%-le ja 56%-lt 47%-le), kuna organisatsioonid kasutavad rohkem traditsioonilist MFA-d ja tugevat autentimist.
Kuid kui vaadata olukorda tervikuna, on haavatavad autentimismeetodid endiselt ülekaalus. Umbes veerand organisatsioonidest kasutab kasutaja autentimiseks SMS-i OTP-d (ühekordne parool) koos turvaküsimustega. Sellest tulenevalt tuleb haavatavuse eest kaitsmiseks rakendada täiendavaid turvameetmeid, mis suurendab kulusid. Palju turvalisemate autentimismeetodite, näiteks riistvaraliste krüptograafiliste võtmete kasutamist kasutatakse palju harvemini, ligikaudu 5% organisatsioonidest.
Arenev regulatiivne keskkond tõotab kiirendada tugeva autentimise kasutuselevõttu tarbijarakendustes. PSD2 kasutuselevõtuga, aga ka uute andmekaitsereeglitega EL-is ja mitmes USA osariigis, näiteks Californias, tunnevad ettevõtted kuumust. Ligi 70% ettevõtetest nõustub, et nad seisavad silmitsi tugeva regulatiivse survega oma klientidele tugeva autentimise tagamiseks. Enam kui pooled ettevõtetest usuvad, et mõne aasta pärast ei piisa nende autentimismeetoditest regulatiivsete standardite täitmiseks.
Selgelt on näha erinevus Venemaa ja Ameerika-Euroopa seadusandjate lähenemises programmide ja teenuste kasutajate isikuandmete kaitsele. Venelased ütlevad: kallid teenuseomanikud, tehke, mis tahate ja kuidas tahate, aga kui teie adminn andmebaasi liidab, siis karistame teid. Nad ütlevad välismaal: peate rakendama meetmete komplekti, mis ei luba tühjendage põhi. Seetõttu rakendatakse seal nõudeid rangele kahefaktorilisele autentimisele.
Tõsi, pole kaugeltki tõsiasi, et meie seadusandlik masin ühel päeval mõistusele ei tule ja lääne kogemust arvesse ei võta. Siis selgub, et kõigil on vaja kiiresti juurutada Venemaa krüptostandarditele vastav 2FA.
Tugeva autentimisraamistiku loomine võimaldab ettevõtetel suunata oma tähelepanu regulatiivsete nõuete täitmiselt klientide vajaduste rahuldamisele. Nende organisatsioonide jaoks, kes kasutavad endiselt lihtsaid paroole või saavad koodid SMS-i teel, on autentimismeetodi valikul kõige olulisem vastavus regulatiivsetele nõuetele. Kuid need ettevõtted, kes juba kasutavad tugevat autentimist, saavad keskenduda nende autentimismeetodite valimisele, mis suurendavad klientide lojaalsust.
Ettevõttesisese autentimismeetodi valimisel ei ole regulatiivsed nõuded enam oluliseks teguriks. Sel juhul on palju olulisemad integreerimise lihtsus (32%) ja maksumus (26%).
Andmepüügi ajastul saavad ründajad petmiseks kasutada ettevõtte e-posti et saada pettusega juurdepääs andmetele, kontodele (asjakohaste juurdepääsuõigustega) ja isegi veenda töötajaid tegema tema kontole rahaülekannet. Seetõttu peavad ettevõtte meili- ja portaalikontod olema eriti hästi kaitstud.
Google on tugevdanud oma turvalisust, rakendades tugevat autentimist. Rohkem kui kaks aastat tagasi avaldas Google aruande FIDO U2F standardit kasutava krüptograafilistel turvavõtmetel põhineva kahefaktorilise autentimise rakendamise kohta, andes teada muljetavaldavaid tulemusi. Ettevõtte teatel ei sooritatud ühtegi andmepüügirünnakut enam kui 85 000 töötaja vastu.
Soovitused
Rakendage mobiili- ja võrgurakenduste jaoks tugevat autentimist. Krüptograafilistel võtmetel põhinev mitmefaktoriline autentimine pakub palju paremat kaitset häkkimise eest kui traditsioonilised MFA meetodid. Lisaks on krüptograafiliste võtmete kasutamine palju mugavam, kuna puudub vajadus täiendava teabe – paroolide, ühekordsete paroolide või biomeetriliste andmete – kasutamiseks ja edastamiseks kasutaja seadmest autentimisserverisse. Lisaks muudab autentimisprotokollide standardimine palju lihtsamaks uute autentimismeetodite juurutamise, kui need muutuvad kättesaadavaks, vähendades juurutamiskulusid ja kaitstes keerukamate petuskeemide eest.
Valmistuge ühekordsete paroolide (OTP) kaotamiseks. OTP-dele omased haavatavused muutuvad üha ilmsemaks, kuna küberkurjategijad kasutavad nende autentimisvahendite ohustamiseks sotsiaalset manipuleerimist, nutitelefonide kloonimist ja pahavara. Ja kui OTP-del on mõnel juhul teatud eelised, siis ainult universaalse kättesaadavuse seisukohalt kõigile kasutajatele, kuid mitte turvalisuse seisukohalt.
Ei saa märkamata jätta, et koodide saamine SMS-i või Push-teadete kaudu, samuti koodide genereerimine nutitelefonide programmide abil on nende samade ühekordsete paroolide (OTP) kasutamine, mille tagasilükkamiseks palutakse valmistuda. Tehnilisest küljest on lahendus väga õige, sest tegemist on harvaesineva petturiga, kes ei püüa kergeuskliku kasutaja käest ühekordset parooli välja selgitada. Kuid ma arvan, et selliste süsteemide tootjad hoiavad viimseni kinni surevast tehnoloogiast.
Kasutage tugevat autentimist turundusvahendina klientide usalduse suurendamiseks. Tugev autentimine võib teha enamat kui lihtsalt parandada teie ettevõtte tegelikku turvalisust. Klientide teavitamine, et teie ettevõte kasutab tugevat autentimist, võib tugevdada avalikkuse ettekujutust selle ettevõtte turvalisusest – see on oluline tegur, kui klientide nõudlus tugevate autentimismeetodite järele on suur.
Viige läbi ettevõtte andmete põhjalik inventuur ja kriitilisuse hindamine ning kaitske neid vastavalt tähtsusele. Isegi madala riskiga andmed, näiteks kliendi kontaktteave (ei, tõesti, aruanne ütleb "madala riskiga", on väga kummaline, et nad alahindavad selle teabe tähtsust), võib petturitele olulist väärtust tuua ja ettevõttele probleeme tekitada.
Kasutage tugevat ettevõtte autentimist. Mitmed süsteemid on kurjategijate jaoks kõige atraktiivsemad sihtmärgid. Nende hulka kuuluvad sisemised ja Interneti-ühendusega süsteemid, nagu raamatupidamisprogramm või ettevõtte andmeladu. Tugev autentimine hoiab ära ründajatel volitamata juurdepääsu ning võimaldab ka täpselt kindlaks teha, milline töötaja pahatahtliku tegevuse toime pani.
Mis on tugev autentimine?
Tugeva autentimise kasutamisel kasutatakse kasutaja autentsuse kontrollimiseks mitmeid meetodeid või tegureid:
- Teadmistegur: jagatud saladus kasutaja ja kasutaja autentitud subjekti vahel (nt paroolid, vastused turvaküsimustele jne)
- Omandi tegur: seade, mis on ainult kasutajal (näiteks mobiilseade, krüptovõti jne)
- Terviklikkuse tegur: kasutaja füüsilised (sageli biomeetrilised) omadused (nt sõrmejälg, vikerkesta muster, hääl, käitumine jne)
Mitme teguri häkkimise vajadus suurendab oluliselt ründajate ebaõnnestumise tõenäosust, kuna erinevatest teguritest möödahiilimine või petmine nõuab mitut tüüpi häkkimistaktika kasutamist iga teguri jaoks eraldi.
Näiteks 2FA "parool + nutitelefon" abil saab ründaja autentida, vaadates kasutaja parooli ja tehes nutitelefonist täpse tarkvarakoopia. Ja see on palju keerulisem kui lihtsalt parooli varastamine.
Kuid kui 2FA jaoks kasutatakse parooli ja krüptomärki, siis kopeerimisvalik siin ei tööta - luba on võimatu dubleerida. Pettur peab kasutajalt märgi vargsi varastama. Kui kasutaja märkab kaotust õigel ajal ja teavitab sellest administraatorit, blokeeritakse märk ja petturi pingutused on asjatud. Seetõttu nõuab omandifaktor pigem spetsiaalsete turvaseadmete (märke) kasutamist kui üldotstarbelisi seadmeid (nutitelefonid).
Kõigi kolme teguri kasutamine muudab selle autentimismeetodi rakendamise üsna kulukaks ja selle kasutamise üsna ebamugavaks. Seetõttu kasutatakse tavaliselt kahte kolmest tegurist.
Täpsemalt on kirjeldatud kahefaktorilise autentimise põhimõtteid , plokis "Kuidas kahefaktoriline autentimine töötab".
Oluline on märkida, et vähemalt üks tugevas autentimises kasutatavatest autentimisfaktoritest peab kasutama avaliku võtmega krüptograafiat.
Tugev autentimine pakub palju tugevamat kaitset kui klassikalistel paroolidel ja traditsioonilisel MFA-l põhinev ühefaktoriline autentimine. Paroole saab luurata või pealt kuulata, kasutades klahvilogereid, andmepüügisaite või sotsiaalse manipuleerimise rünnakuid (kus ohvrit meelitatakse oma parooli avaldama). Pealegi ei tea parooli omanik vargusest midagi. Traditsioonilist MFA-d (sh OTP-koodid, nutitelefoni või SIM-kaardiga sidumine) saab üsna lihtsalt häkkida, kuna see ei põhine avaliku võtme krüptograafial (Muide, on palju näiteid, kui samu sotsiaalse manipuleerimise tehnikaid kasutades veensid petturid kasutajaid andma neile ühekordset parooli).
Õnneks on tugeva autentimise ja traditsioonilise MFA kasutamine alates eelmisest aastast nii tarbija- kui ka ettevõtete rakendustes üha enam populaarsust kogunud. Eriti kiiresti on kasvanud tugeva autentimise kasutamine tarbijarakendustes. Kui 2017. aastal kasutas seda vaid 5% ettevõtetest, siis 2018. aastal juba kolm korda rohkem – 16%. Seda võib seletada avaliku võtme krüptograafia (PKC) algoritme toetavate žetoonide suurenenud kättesaadavusega. Lisaks on Euroopa reguleerivate asutuste suurenenud surve pärast uute andmekaitse-eeskirjade (nt PSD2 ja GDPR) vastuvõtmist avaldanud tugevat mõju isegi väljaspool Euroopat (sealhulgas Venemaal).
Vaatame neid numbreid lähemalt. Nagu näeme, on mitmefaktorilist autentimist kasutavate eraisikute osakaal aastaga kasvanud muljetavaldavalt 11%. Ja see juhtus selgelt paroolisõprade arvelt, kuna Push-teadete, SMS-ide ja biomeetria turvalisusesse uskujate arv pole muutunud.
Kuid ettevõttes kasutamiseks mõeldud kahefaktorilise autentimisega pole asjad nii hästi. Esiteks viidi aruande kohaselt parooliga autentimiselt žetoonidele üle vaid 5% töötajatest. Ja teiseks on 4% kasvanud nende arv, kes kasutavad ettevõttekeskkonnas alternatiivseid MFA võimalusi.
Proovin mängida analüütikut ja anda oma tõlgenduse. Üksikkasutajate digimaailma keskmes on nutitelefon. Seetõttu pole ime, et enamus kasutab neid võimalusi, mida seade neile pakub – biomeetrilist autentimist, SMS-i ja Push-teateid ning nutitelefoni enda rakenduste genereeritud ühekordseid paroole. Tavaliselt ei mõtle inimesed tavapäraseid tööriistu kasutades ohutusele ja töökindlusele.
Seetõttu jääb primitiivsete "traditsiooniliste" autentimistegurite kasutajate protsent muutumatuks. Kuid need, kes on varem paroole kasutanud, mõistavad, kui palju nad riskivad, ning valivad uue autentimisfaktori valimisel uusima ja turvalisema võimaluse - krüptomärgi.
Ettevõtete turu puhul on oluline mõista, millises süsteemis autentimine toimub. Kui Windowsi domeeni sisselogimine on rakendatud, kasutatakse krüptomärke. Nende kasutamise võimalused 2FA jaoks on juba nii Windowsi kui ka Linuxi sisse ehitatud, kuid alternatiivsed võimalused on pikad ja neid on raske rakendada. Niipalju siis 5% migratsioonist paroolidelt žetoonidele.
Ja 2FA rakendamine ettevõtte infosüsteemis sõltub suuresti arendajate kvalifikatsioonist. Ja arendajatel on palju lihtsam võtta ühekordsete paroolide genereerimiseks valmis mooduleid kui mõista krüptoalgoritmide toimimist. Selle tulemusena kasutavad isegi uskumatult turvalisuse seisukohast kriitilised rakendused, nagu ühekordne sisselogimine või privilegeeritud juurdepääsu haldussüsteemid, teise tegurina OTP-d.
Paljud haavatavused traditsioonilistes autentimismeetodites
Kuigi paljud organisatsioonid sõltuvad endiselt ühe teguri pärandsüsteemidest, ilmnevad traditsioonilise mitmefaktorilise autentimise haavatavused üha ilmsemaks. Ühekordsed paroolid, tavaliselt kuue kuni kaheksa tähemärgi pikkused, mis edastatakse SMS-iga, jäävad kõige levinumaks autentimise viisiks (muidugi peale parooliteguri). Ja kui populaarses ajakirjanduses mainitakse sõnu "kahefaktoriline autentimine" või "kaheastmeline kinnitamine", viitavad need peaaegu alati SMS-iga ühekordsele parooliga autentimisele.
Siin autor eksib veidi. Ühekordsete paroolide edastamine SMS-iga pole kunagi olnud kahefaktoriline autentimine. See on puhtal kujul kaheastmelise autentimise teine etapp, kus esimene etapp on sisselogimise ja parooli sisestamine.
2016. aastal uuendas riiklik standardite ja tehnoloogia instituut (NIST) oma autentimisreegleid, et kaotada SMS-i teel saadetavate ühekordsete paroolide kasutamine. Neid reegleid leevendati aga pärast tööstuse proteste oluliselt.
Niisiis, jälgime süžeed. Ameerika reguleeriv asutus tunnistab õigesti, et vananenud tehnoloogia ei suuda tagada kasutajate turvalisust ja juurutab uusi standardeid. Standardid, mis on loodud võrgu- ja mobiilirakenduste (sh pangarakenduste) kasutajate kaitsmiseks. Tööstusharu arvutab, kui palju raha ta peab kulutama tõeliselt usaldusväärsete krüptograafiliste žetoonide ostmiseks, rakenduste ümberkujundamiseks, avaliku võtme infrastruktuuri juurutamiseks, ja "tõuseb tagajalgadele". Ühest küljest olid kasutajad veendunud ühekordsete paroolide usaldusväärsuses ja teisest küljest rünnati NIST-i. Selle tulemusena muutus standard pehmemaks ning paroolide (ja pangarakendustest raha) häkkimiste ja varguste arv kasvas järsult. Kuid tööstus ei pidanud raha välja andma.
Sellest ajast alates on SMS-i OTP-le omased nõrkused muutunud ilmsemaks. Petturid kasutavad SMS-sõnumite ohustamiseks erinevaid meetodeid:
- SIM-kaardi dubleerimine. Ründajad loovad SIM-kaardi koopia (mobiilioperaatori töötajate abiga või iseseisvalt, kasutades spetsiaalset tarkvara ja riistvara). Selle tulemusena saab ründaja SMS-i ühekordse parooliga. Ühel eriti kuulsal juhul suutsid häkkerid isegi krüptoraha investori Michael Turpini AT&T konto kahjustada ja varastada ligi 24 miljonit dollarit krüptovaluutasid. Selle tulemusena teatas Turpin, et AT&T oli süüdi nõrkade kontrollimeetmete tõttu, mis viisid SIM-kaardi dubleerimiseni.
Hämmastav loogika. Nii et see on tõesti ainult AT&T süü? Ei, selles on kahtlemata mobiilioperaatori süü, et sidepoe müüjad väljastasid SIM-kaardi duplikaadi. Kuidas on lood krüptovaluutabörsi autentimissüsteemiga? Miks nad ei kasutanud tugevaid krüptomärke? Kas oli kahju rakendamisele raha kulutada? Kas Michael ise pole süüdi? Miks ta ei nõudnud autentimismehhanismi muutmist või ei kasutanud ainult neid börse, mis rakendavad kahefaktorilist autentimist krüptograafilistel märkidel?
Tõeliselt töökindlate autentimismeetodite kasutuselevõtt viibib just seetõttu, et kasutajad ilmutavad häkkimise eel hämmastavat hoolimatust ja süüdistavad pärast seda oma hädas kedagi ja kõike muud peale iidsete ja “lekkivate” autentimistehnoloogiate.
- Pahavara. Mobiilse pahavara üks varasemaid funktsioone oli tekstisõnumite pealtkuulamine ja ründajatele edastamine. Samuti võivad brauseris man-in-the-browser ja man-in-the-middle rünnakud kinni püüda ühekordseid paroole, kui need sisestatakse nakatunud sülearvutitesse või lauaarvutitesse.
Kui teie nutitelefonis olev Sberbanki rakendus vilgub olekuribal rohelist ikooni, otsib see teie telefonist ka pahavara. Selle ürituse eesmärk on muuta tüüpilise nutitelefoni ebausaldusväärne täitmiskeskkond vähemalt mingil moel usaldusväärseks.
Muide, nutitelefon kui täiesti ebausaldusväärne seade, millega saab kõike teha, on veel üks põhjus, miks seda autentimiseks kasutada ainult riistvaramärgid, mis on kaitstud ning vabad viirustest ja troojalastest. - Sotsiaalne inseneritöö. Kui petturid teavad, et ohvril on SMS-i teel lubatud OTP-d, saavad nad ohvriga otse ühendust võtta, näidates end usaldusväärse organisatsioonina, näiteks oma panga või krediidiühistuna, et petta ohvrilt äsja saadud koodi.
Olen seda tüüpi pettustega isiklikult korduvalt kokku puutunud, näiteks proovides mõnda populaarsel veebikirbuturul müüa. Ise tegin nalja petturi üle, kes mind meele järele petta üritas. Aga paraku loen regulaarselt uudistest, kuidas järjekordne petturite ohver “ei mõelnud”, andis kinnituskoodi ja jäi suurest summast ilma. Ja kõik see on tingitud sellest, et pank lihtsalt ei taha oma rakendustes krüptograafiliste žetoonide rakendamisega tegeleda. Lõppude lõpuks, kui midagi juhtub, on kliendid ise süüdi.
Kuigi alternatiivsed OTP-edastusmeetodid võivad selle autentimismeetodi mõningaid turvaauke leevendada, jäävad teised turvaaugud alles. Eraldiseisvad koodigenereerimisrakendused on parim kaitse pealtkuulamise vastu, kuna isegi pahavara ei saa peaaegu koodigeneraatoriga otse suhelda (tõsiselt? Kas raporti autor unustas kaugjuhtimispuldi?), kuid OTP-sid saab brauserisse sisestamisel siiski pealt kuulata (näiteks kasutades klahvilogijat), häkitud mobiilirakenduse kaudu; ja seda saab ka otse kasutajalt sotsiaalse manipuleerimise abil hankida.
Kasutades mitmeid riskianalüüsi tööriistu, nagu seadmetuvastus (tehingute tuvastamine seadmetest, mis ei kuulu seaduslikule kasutajale), geolokatsioon (äsja Moskvas viibinud kasutaja üritab Novosibirskist operatsiooni teha) ja käitumisanalüütika on haavatavuste kõrvaldamiseks olulised, kuid kumbki lahendus pole imerohi. Iga olukorra ja andmetüübi puhul on vaja hoolikalt hinnata riske ja valida, millist autentimistehnoloogiat kasutada.
Ükski autentimislahendus pole imerohi
Joonis 2. Autentimisvalikute tabel
| Autentimine | Faktor | Kirjeldus | Peamised haavatavused |
| Parool või PIN-kood | Teadmised | Fikseeritud väärtus, mis võib sisaldada tähti, numbreid ja mitmeid muid märke | Saab kinni pidada, luurata, varastada, üles korjata või häkkida |
| Teadmistepõhine autentimine | Teadmised | Küsib vastuseid, millele saab teada ainult seaduslik kasutaja | Saab pealt kuulata, üles korjata, sotsiaalse inseneri meetoditega hankida |
| Riistvara OTP () | Omamine | Spetsiaalne seade, mis genereerib ühekordseid paroole | Koodi võidakse pealt kuulata ja korrata või seade võidakse varastada |
| Tarkvara OTP-d | Omamine | Rakendus (mobiil, brauseri kaudu juurdepääsetav või e-posti teel koodide saatmine), mis genereerib ühekordseid paroole | Koodi võidakse pealt kuulata ja korrata või seade võidakse varastada |
| SMS OTP | Omamine | Ühekordne parool saadetakse SMS-sõnumiga | Koodi võidakse pealt kuulata ja seda korrata või nutitelefon või SIM-kaart varastada või SIM-kaarti dubleerida |
| Kiipkaardid () | Omamine | Kaart, mis sisaldab krüptograafilist kiipi ja turvalise võtme mälu, mis kasutab autentimiseks avaliku võtme infrastruktuuri | Võib olla füüsiliselt varastatud (kuid ründaja ei saa seadet kasutada ilma PIN-koodi teadmata; mitme vale sisestuskatse korral seade blokeeritakse) |
| Turvavõtmed – märgid (, ) | Omamine | USB-seade, mis sisaldab krüptograafilist kiipi ja turvalise võtmemälu, mis kasutab autentimiseks avaliku võtme infrastruktuuri | Võib olla füüsiliselt varastatud (kuid ilma PIN-koodi teadmata ei saa ründaja seadet kasutada; mitme vale sisestamiskatse korral seade blokeeritakse) |
| Seadmega ühendamine | Omamine | Protsess, mis loob profiili, kasutades sageli JavaScripti või markereid (nt küpsiseid ja Flashi jagatud objekte), et tagada konkreetse seadme kasutamine | Tokeneid saab varastada (kopeerida) ja ründaja saab oma seadmes jäljendada legaalse seadme omadusi |
| Käitumine | Omapära | Analüüsib, kuidas kasutaja seadme või programmiga suhtleb | Käitumist saab jäljendada |
| Sõrmejäljed | Omapära | Salvestatud sõrmejälgi võrreldakse optiliselt või elektrooniliselt jäädvustatud sõrmejälgedega | Pilti saab varastada ja seda saab autentimiseks kasutada |
| Silmade skaneerimine | Omapära | Võrdleb silmade omadusi, näiteks vikerkesta mustrit, uute optiliste skaneeringutega | Pilti saab varastada ja seda saab autentimiseks kasutada |
| Näotuvastus | Omapära | Näoomadusi võrreldakse uute optiliste skaneeringutega | Pilti saab varastada ja seda saab autentimiseks kasutada |
| Hääletuvastus | Omapära | Salvestatud häälenäidise omadusi võrreldakse uute näidistega | Kirjet saab varastada ja kasutada autentimiseks või emuleerida |
Väljaande teises osas ootavad meid kõige maitsvamad asjad - numbrid ja faktid, millel põhinevad esimeses osas toodud järeldused ja soovitused. Eraldi käsitletakse autentimist kasutajarakendustes ja ettevõtte süsteemides.
Vaadake varsti!
Allikas: www.habr.com