Txostenaren izenburuaren spoilerra: "Autentifikazio sendoaren erabilera areagotzen da arrisku eta arau-eskakizun berrien mehatxuagatik".
"Javelin Strategy & Research" ikerketa enpresak "The State of Strong Authentication 2019" txostena argitaratu zuen (). Txosten honek zera dio: Ameriketako eta Europako enpresen zein ehuneko erabiltzen dituen pasahitzak (eta zergatik erabiltzen dituen jende gutxik orain pasahitzak); zergatik hazten ari den hain azkar token kriptografikoetan oinarritutako bi faktoreko autentifikazioaren erabilera; Zergatik SMS bidez bidaltzen diren behin-behineko kodeak ez dira seguruak.
Enpresen eta kontsumo-aplikazioetan autentifikazioaren oraina, iragana eta etorkizunean interesa duen oro ongi etorria da.
Itzultzailetik
Ala ere, txosten hau idazten den hizkuntza nahiko βlehorraβ eta formala da. Eta esaldi labur batean βautentifikazioβ hitza bost aldiz erabiltzea ez da itzultzailearen esku (edo garunak) okerra, egileen kapritxoa baizik. Bi aukeretatik itzultzean -irakurleei testu bat jatorrizkotik hurbilago edo interesgarriago bat eskaintzeko-, batzuetan lehenengoa aukeratzen nuen, eta besteetan bigarrena. Baina pazientzia izan, irakurle maiteok, merezi du txostenaren edukiak.
Istoriorako garrantzirik gabeko eta beharrezkoak ez ziren pieza batzuk kendu ziren, bestela gehiengoak ezin izango zuen testu osoa zeharkatu. Txostena "moztu gabe" irakurri nahi dutenek jatorrizko hizkuntzan egin dezakete esteka jarraituz.
Zoritxarrez, egileak ez dira beti kontu handiz ari terminologiarekin. Horrela, behin-behineko pasahitzei (One Time Password - OTP) batzuetan "pasahitz" deitzen zaie, eta beste batzuetan "kode". Are okerragoa da autentifikazio metodoekin. Ez da beti erraza izaten trebatu gabeko irakurlearentzat "gako kriptografikoak erabiliz autentifikazioa" eta "autentifikazio sendoa" gauza bera direla asmatzea. Terminoak ahalik eta gehien bateratzen saiatu nintzen, eta txostenean bertan dago haien deskribapenarekin zati bat.
Hala ere, txostena irakurketa oso gomendagarria da, ikerketaren emaitza bereziak eta ondorio zuzenak dituelako.
Zifra eta gertaera guztiak aldaketa txikienik gabe aurkezten dira, eta haiekin ados ez bazaude, hobe da itzultzailearekin ez eztabaidatzea, txostenaren egileekin baizik. Eta hona hemen nire iruzkinak (aipamen moduan jarrita eta testuan markatuta italiarra) dira nire balio-judizioa eta pozik eztabaidatuko dut horietako bakoitzari buruz (baita itzulpenaren kalitateari buruz ere).
ΠΠ±Π·ΠΎΡ
Gaur egun, bezeroekiko komunikazio kanal digitalak inoiz baino garrantzitsuagoak dira enpresentzat. Eta enpresaren barruan, langileen arteko komunikazioak inoiz baino digitalki orientatuta daude. Eta elkarrekintza horiek nola seguruak izango diren erabiltzaileen autentifikazio-metodoaren araberakoa da. Erasotzaileek autentifikazio ahula erabiltzen dute erabiltzaileen kontuak masiboki pirateatzeko. Horren aurrean, arautzaileak estandarrak gogortzen ari dira enpresak erabiltzaileen kontuak eta datuak hobeto babestzera behartzeko.
Autentifikazioarekin lotutako mehatxuak kontsumitzaileen aplikazioetatik harago hedatzen dira; erasotzaileek enpresa barruan exekutatzen diren aplikazioetarako sarbidea ere lor dezakete. Eragiketa horri esker, erabiltzaile korporatiboak ordezkatzeko aukera ematen dute. Autentifikazio ahula duten sarbide-puntuak erabiltzen dituzten erasotzaileek datuak lapur ditzakete eta beste iruzurrezko jarduera batzuk egin ditzakete. Zorionez, horri aurre egiteko neurriak daude. Autentifikazio sendoak erasotzaile batek erasotzeko arriskua nabarmen murrizten lagunduko du, bai kontsumo-aplikazioetan, bai enpresa-sistemetan.
Azterketa honek aztertzen du: enpresek nola ezartzen duten autentifikazioa azken erabiltzailearen aplikazioak eta enpresa-sistemak babesteko; autentifikazio irtenbide bat aukeratzerakoan kontuan hartzen dituzten faktoreak; autentifikazio sendoak euren erakundeetan betetzen duen papera; erakunde hauek jasotzen dituzten onurak.
Laburpena
Funtsezko aurkikuntzak
2017az geroztik, autentifikazio sendoaren erabilera nabarmen hazi da. Autentifikazio-soluzio tradizionalen eragina duten ahultasunen kopurua gero eta handiagoa dela eta, erakundeak autentifikazio-gaitasunak indartzen ari dira autentifikazio sendoarekin. Faktore anitzeko autentifikazio kriptografikoa (MFA) erabiltzen duten erakundeen kopurua hirukoiztu egin da 2017tik kontsumo-aplikazioetarako eta ia % 50 handitu da enpresa-aplikazioetarako. Hazkunderik azkarrena autentifikazio mugikorrean ikusten da, autentifikazio biometrikoaren erabilgarritasuna gero eta handiagoa delako.
Hemen "trumoiak jo arte, gizon batek ez du bere burua gurutzatuko" esaeraren ilustrazio bat ikusten dugu. Adituek pasahitzen segurtasun ezaz ohartarazi zutenean, inork ez zuen presarik bi faktoreko autentifikazioa ezartzeko. Hackerrak pasahitzak lapurtzen hasi bezain pronto, jendea bi faktoreko autentifikazioa ezartzen hasi zen.
Egia da, gizabanakoak askoz aktiboago ari dira ezartzen 2FA. Lehenik eta behin, errazagoa zaie beldurrak baretzea telefono adimendunetan eraikitako autentifikazio biometrikoan oinarrituz, hain zuzen ere oso fidagarria ez dena. Erakundeek dirua gastatu behar dute tokenak erosteko eta horiek ezartzeko lanak (izan ere, oso sinpleak) egin behar dituzte. Eta bigarrenik, alferek bakarrik ez dute idatzi Facebook eta Dropbox bezalako zerbitzuen pasahitzen ihesei buruz, baina inolaz ere ez dute erakunde horietako CIO-ek erakundeetan pasahitzak lapurtu ziren (eta zer gertatu zen) nola lapurtu zituzten istorioak partekatuko.
Autentifikazio sendoa erabiltzen ez dutenek beren negozioetarako eta bezeroentzat duten arriskua gutxiesten ari dira. Gaur egun autentifikazio sendoa erabiltzen ez duten erakunde batzuek saio-hasiera eta pasahitzak erabiltzaileen autentifikazio metodo eraginkor eta erabilerrazenetako bat bezala ikusi ohi dituzte. Beste batzuek ez dute jabetzen diren aktibo digitalen balioa ikusten. Azken finean, kontuan hartzekoa da ziberkriminalak kontsumitzaileen eta negozioen edozein informaziotan interesa dutela. Langileak autentifikatzeko pasahitzak soilik erabiltzen dituzten enpresen bi herenek egiten dute pasahitzak babesten duten informazio motarako nahikoa onak direla uste dutelako.
Hala ere, pasahitzak hilobira bidean daude. Pasahitzen menpekotasuna nabarmen jaitsi da azken urtean bai kontsumitzaileentzako bai enpresetako aplikazioetan (% 44tik % 31ra eta % 56tik % 47ra, hurrenez hurren), erakundeek MFA tradizionalaren eta autentifikazio sendoaren erabilera areagotzen duten heinean.
Baina egoera bere osotasunean ikusten badugu, autentifikazio metodo zaurgarriak dira oraindik ere nagusi. Erabiltzaileen autentifikaziorako, erakundeen laurden batek SMS OTP (bateko pasahitza) erabiltzen du segurtasun galderekin batera. Ondorioz, segurtasun neurri osagarriak ezarri behar dira ahultasunetik babesteko, eta horrek kostuak handitzen ditu. Askoz autentifikazio-metodo seguruagoak erabiltzea, esate baterako, hardware-gako kriptografikoak, askoz gutxiago erabiltzen da, gutxi gorabehera erakundeen % 5etan.
Eboluzionatzen ari den arau-inguruneak kontsumitzaileen aplikazioetarako autentifikazio sendoa hartzea azkartuko duela agintzen du. PSD2 sartuta, baita datuen babeserako arau berriak EBn eta AEBetako hainbat estatutan, hala nola Kalifornian, enpresek beroa sentitzen dute. Enpresen ia % 70ek onartzen dute arauzko presio handia jasaten dutela bezeroei autentifikazio sendoa emateko. Enpresen erdiak baino gehiagok uste du urte gutxiren buruan beren autentifikazio-metodoak ez direla nahikoak izango arauzko estandarrak betetzeko.
Argi eta garbi ikusten da Errusiako eta Amerikako-Europako legebiltzarkideek programen eta zerbitzuen erabiltzaileen datu pertsonalen babesari buruzko ikuspegien desberdintasuna. Errusiarrek esaten dute: zerbitzuen jabe maiteak, egin nahi duzuna eta nahi duzun moduan, baina zure administratzaileak datu-basea batzen badu, zigortuko zaitugu. Atzerrian esaten dute: neurri multzo bat ezarri behar duzu hori ez du onartuko xukatu oinarria. Horregatik, bi faktoreko autentifikazio zorrotzerako eskakizunak ezartzen ari dira bertan.
Egia da, oso urrun dago gure legegintzaldiaren makina egunen batean bere onera etorriko eta Mendebaldeko esperientzia kontuan hartuko ez denik. Orduan, denek 2FA ezarri behar dute, Errusiako estandar kriptografikoak betetzen dituena, eta premiaz.
Autentifikazio-esparru sendo bat ezartzeak aukera ematen die enpresei arreta aldatzeko arauzko eskakizunak betetzetik bezeroen beharrak asetzera. Oraindik pasahitz soilak erabiltzen edo SMS bidez kodeak jasotzen ari diren erakundeentzat, autentifikazio-metodoa aukeratzerakoan faktore garrantzitsuena arauzko eskakizunak betetzea izango da. Baina dagoeneko autentifikazio sendoa erabiltzen duten enpresa horiek bezeroen leialtasuna areagotzen duten autentifikazio metodo horiek aukeratzera bideratu daitezke.
Enpresa baten barneko autentifikazio metodo korporatiboa aukeratzerakoan, arauzko eskakizunak ez dira faktore esanguratsuak izaten. Kasu honetan, integratzeko erraztasuna (%32) eta kostua (%26) askoz garrantzitsuagoa da.
Phishing-aren garaian, erasotzaileek posta elektroniko korporatiboa erabil dezakete iruzur egiteko iruzurrezko datuetara, kontuetara (sarbide-eskubide egokiekin) sarbidea lortzeko, eta baita langileak bere kontura diru-transferentzia bat egiteko konbentzitzeko ere. Hori dela eta, posta elektroniko korporatiboa eta atariko kontuak bereziki ondo babestuta egon behar dira.
Google-k bere segurtasuna indartu du autentifikazio sendoa ezarriz. Duela bi urte baino gehiago, Google-k FIDO U2F estandarra erabiliz segurtasun gako kriptografikoetan oinarritutako bi faktoreko autentifikazioaren ezarpenari buruzko txosten bat argitaratu zuen, emaitza ikusgarriak emanez. Enpresaren arabera, phishing-eraso bakar bat ere ez zen egin 85 langile baino gehiagoren aurka.
Gomendioak
Ezarri autentifikazio sendoa mugikorretarako eta lineako aplikazioetarako. Gako kriptografikoetan oinarritutako faktore anitzeko autentifikazioak MFA metodo tradizionalek baino askoz babes hobea eskaintzen du hacking-aren aurka. Gainera, gako kriptografikoak erabiltzea askoz erosoagoa da, ez baitago informazio gehigarririk erabili eta transferitu beharrik: pasahitzak, behin-behineko pasahitzak edo datu biometrikoak erabiltzailearen gailutik autentifikazio zerbitzarira. Gainera, autentifikazio-protokoloak estandarizatzeari esker, askoz errazagoa da autentifikazio-metodo berriak ezartzea eskuragarri dauden heinean, ezarpen-kostuak murriztuz eta iruzur-eskema sofistikatuagoetatik babestuz.
Prestatu behin-behineko pasahitzak (OTP) desagertzeko. OTPen berezko ahuleziak gero eta nabarmenagoak dira ziber-kriminalak ingeniaritza soziala, telefonoen klonazioa eta malwarea erabiltzen dituzten heinean, autentifikazio-bide horiek arriskuan jartzeko. Eta kasu batzuetan OTPek abantaila batzuk badituzte, erabiltzaile guztien erabilgarritasun unibertsalaren ikuspuntutik bakarrik, baina ez segurtasunaren ikuspuntutik.
Ezin da ohartzea SMS edo Push jakinarazpenen bidez kodeak jasotzea, baita telefonoetarako programak erabiliz kodeak sortzea ere, gainbeherarako prestatzeko eskatzen zaigun pasahitz bakarreko (OTP) erabilera dela. Ikuspuntu teknikotik, konponbidea oso zuzena da, iruzurgile arraroa delako, erabiltzaile sinesgarri baten behin-behineko pasahitza aurkitzen saiatzen ez dena. Baina uste dut sistema horien fabrikatzaileak azkenera arte eutsiko diotela hilzorian dagoen teknologiari.
Erabili autentifikazio sendoa marketin-tresna gisa bezeroen konfiantza areagotzeko. Autentifikazio sendoak zure negozioaren benetako segurtasuna hobetzea baino gehiago egin dezake. Bezeroei zure enpresak autentifikazio sendoa erabiltzen duela jakinarazteak negozio horren segurtasunaren pertzepzioa indartu dezake; faktore garrantzitsua da bezeroek autentifikazio metodo sendoen eskaera handia dagoenean.
Egin datu korporatiboen inbentario eta kritikotasun-ebaluazio sakona eta babestu garrantziaren arabera. Arrisku baxuko datuak ere, hala nola bezeroekin harremanetan jartzeko informazioa (ez, benetan, txostenak βarrisku baxuaβ dio, oso bitxia da informazio horren garrantzia gutxiestea), balio handia ekar diezaieke iruzurgileei eta arazoak sor ditzake enpresari.
Erabili enpresaren autentifikazio sendoa. Hainbat sistema dira gaizkileentzat helburu erakargarrienak. Horien artean barneko eta Internetera konektatutako sistemak daude, esate baterako, kontabilitate programa edo datu-biltegi korporatiboa. Autentifikazio sendoak erasotzaileei baimenik gabeko sarbidea eragozten die, eta, gainera, ahalbidetzen du zehaztasunez zehaztea zein langilek egin duen jarduera gaiztoa.
Zer da autentifikazio sendoa?
Autentifikazio sendoa erabiltzean, hainbat metodo edo faktore erabiltzen dira erabiltzailearen benetakotasuna egiaztatzeko:
- Ezagutza faktorea: erabiltzailearen eta erabiltzailearen subjektu autentifikatuaren artean partekatutako sekretua (adibidez, pasahitzak, segurtasun galderen erantzunak, etab.)
- Jabetza faktorea: erabiltzaileak bakarrik duen gailu bat (adibidez, gailu mugikorra, gako kriptografikoa, etab.)
- Osotasun faktorea: erabiltzailearen ezaugarri fisikoak (askotan biometrikoak) (adibidez, hatz-markak, iris eredua, ahotsa, portaera, etab.)
Faktore anitz hackeatu beharrak asko handitzen du erasotzaileen porrotaren probabilitatea, izan ere, hainbat faktore saihestu edo engainatzeko, hackeatzeko taktika mota anitz erabili behar dira, faktore bakoitzerako bereizita.
Adibidez, 2FA "pasahitza + telefonoa"-rekin, erasotzaileak autentifikazioa egin dezake erabiltzailearen pasahitza aztertuz eta bere telefonoaren software kopia zehatza eginez. Eta hau pasahitza lapurtzea baino askoz zailagoa da.
Baina 2FArako pasahitza eta token kriptografikoa erabiltzen badira, kopiatzeko aukerak ez du funtzionatzen hemen - ezinezkoa da tokena bikoiztea. Iruzurgileak ezkutuan lapurtu beharko dio tokena erabiltzaileari. Erabiltzaileak galera garaiz nabaritzen badu eta administratzaileari jakinarazten badio, tokena blokeatu egingo da eta iruzurgilearen ahaleginak alferrikakoak izango dira. Horregatik, jabetza-faktoreak gailu seguru espezializatuak (tokens) erabiltzea eskatzen du helburu orokorreko gailuak (smartphones) beharrean.
Hiru faktoreak erabiltzeak autentifikazio metodo hau nahiko garestia izango da ezartzea eta nahiko deserosoa erabiltzea. Hori dela eta, hiru faktoretik bi erabili ohi dira.
Bi faktoreko autentifikazioaren printzipioak zehatzago deskribatzen dira , "Nola funtzionatzen duen bi faktoreko autentifikazioak" blokean.
Garrantzitsua da kontuan izan autentifikazio sendoan erabiltzen den autentifikazio-faktoreetako batek gutxienez gako publikoko kriptografia erabili behar duela.
Autentifikazio sendoak faktore bakarreko autentifikazioak baino babes handiagoa eskaintzen du pasahitz klasikoetan eta MFA tradizionaletan oinarrituta. Pasahitzak espiatu edo atzeman daitezke tekla-erregistratzaileak, phishing-guneak edo ingeniaritza sozialeko erasoak erabiliz (biktima bere pasahitza agertzera engainatzen duten). Gainera, pasahitzaren jabeak ez du ezer jakingo lapurretaz. MFA tradizionala (OTP kodeak barne, smartphone edo SIM txartelarekin lotzea) ere nahiko erraz pirateatu daiteke, ez baitago gako publikoko kriptografian oinarritzen (Bide batez, adibide asko daude, ingeniaritza sozialeko teknika berberak erabiliz, iruzurgileak erabiltzaileak behin-behineko pasahitza ematera konbentzitu zituztenean.).
Zorionez, autentifikazio sendoaren eta MFA tradizionalaren erabilerak indarra hartzen ari da kontsumo- eta enpresa-aplikazioetan iaztik. Kontsumo-aplikazioetan autentifikazio sendoaren erabilera bereziki azkar hazi da. 2017an enpresen % 5ek soilik erabili bazuen, 2018an jada hiru aldiz gehiago zen -% 16. Hori azal daiteke Gako Publikoko Kriptografia (PKC) algoritmoak onartzen dituzten token erabilgarritasun handiagoarekin. Gainera, Europako erregulatzaileen presioa areagotzeak datuen babeserako arau berriak onartu ostean, hala nola PSD2 eta GDPR, eragin handia izan du Europatik kanpo ere (Errusian barne).
Ikus ditzagun zenbaki hauek hurbilagotik. Ikus dezakegunez, faktore anitzeko autentifikazioa erabiltzen duten partikularren ehunekoa % 11 ikusgarria hazi da urtean zehar. Eta hori, argi eta garbi, pasahitzen zaleen kontura gertatu da, Push jakinarazpenen, SMSen eta biometriaren segurtasunean sinesten dutenen kopuruak ez baitira aldatu.
Baina erabilera korporatiborako bi faktoreko autentifikazioarekin, gauzak ez dira hain onak. Lehenik eta behin, txostenaren arabera, langileen % 5 bakarrik pasahitz autentifikaziotik tokenetara pasa zen. Eta bigarrenik, ingurune korporatiboan MFA aukera alternatiboak erabiltzen dituztenen kopurua %4 handitu da.
Saiatuko naiz analista egiten eta nire interpretazioa ematen. Erabiltzaile indibidualen mundu digitalaren erdigunean telefonoa dago. Hori dela eta, ez da harritzekoa gehienek gailuak eskaintzen dizkien gaitasunak erabiltzea: autentifikazio biometrikoa, SMS eta Push jakinarazpenak, baita telefonoan bertan aplikazioek sortutako behin-behineko pasahitzak ere. Jendeak normalean ez du segurtasuna eta fidagarritasuna pentsatzen ohituta dauden tresnak erabiltzean.
Horregatik, autentifikazio-faktore "tradizionalen" primitiboen erabiltzaileen ehunekoa ez da aldatzen. Baina aurretik pasahitzak erabili dituztenek ulertzen dute zenbat arrisku duten, eta autentifikazio-faktore berri bat aukeratzerakoan, aukera berriena eta seguruena aukeratzen dute: token kriptografikoa.
Merkatu korporatiboari dagokionez, garrantzitsua da ulertzea zein sistematan egiten den autentifikazioa. Windows-eko domeinu batean saioa inplementatzen bada, token kriptografikoak erabiltzen dira. 2FArako erabiltzeko aukerak Windows zein Linux-en sartuta daude dagoeneko, baina aukera alternatiboak luzeak eta zailak dira inplementatzen. Beste horrenbeste pasahitzetatik tokenetara %5eko migrazioa.
Eta 2FA informazio-sistema korporatibo batean ezartzea garatzaileen kualifikazioen araberakoa da. Eta garatzaileentzat askoz errazagoa da pasahitzak denbora bakarrean sortzeko prest dauden moduluak hartzea algoritmo kriptografikoen funtzionamendua ulertzea baino. Eta, ondorioz, segurtasunerako oso larria den aplikazioek, hala nola, Single Sign-On edo Pribileged Access Management sistemak bigarren faktore gisa erabiltzen dute OTP.
Ahultasun asko autentifikazio metodo tradizionaletan
Erakunde askok faktore bakarreko sistemen mendean jarraitzen duten arren, faktore anitzeko autentifikazio tradizionalean ahuleziak gero eta nabarmenagoak dira. SMS bidez bidaltzen diren behin-behineko pasahitzak, normalean sei eta zortzi karaktere, autentifikazio-modurik ohikoena izaten jarraitzen dute (pasahitz faktoreaz gain, noski). Eta prentsa ezagunean "bi faktoreko autentifikazioa" edo "bi urratseko egiaztapena" hitzak aipatzen direnean, ia beti SMS pasahitz bakarreko autentifikazioari egiten diote erreferentzia.
Hemen egilea apur bat oker dago. SMS bidez behin-behineko pasahitzak ematea ez da inoiz bi faktoreko autentifikazioa izan. Hau bere hutsunean bi urratseko autentifikazioaren bigarren fasea da, non lehen fasea zure saioa eta pasahitza sartzen den.
2016an, National Institute of Standards and Technology (NIST) bere autentifikazio-arauak eguneratu zituen SMS bidez bidaltzen diren behin-behineko pasahitzen erabilera ezabatzeko. Hala ere, arau hauek nabarmen lasaitu ziren industriaren protesten ondoren.
Beraz, jarrai dezagun trama. Estatu Batuetako erregulatzaileak ongi aitortzen du teknologia zaharkitua ez dela gai erabiltzailearen segurtasuna bermatzeko eta estandar berriak sartzen ari da. Lineako eta mugikorreko aplikazioen erabiltzaileak (bankuetakoak barne) babesteko diseinatutako estandarrak. Industria token kriptografiko benetan fidagarriak erosteko, aplikazioak birdiseinatzeko, gako publikoko azpiegitura bat zabaltzeko zenbat diru gastatu beharko duen kalkulatzen ari da eta "atzeko hanketan gora egiten ari da". Alde batetik, erabiltzaileak behin-behineko pasahitzen fidagarritasunaz sinetsita zeuden, eta, bestetik, NISTen aurkako erasoak egon ziren. Ondorioz, estandarra leundu egin zen, eta hack eta pasahitzen (eta banku-aplikazioetako dirua) lapurreta kopurua asko hazi zen. Baina industriak ez zuen dirua ordaindu beharrik izan.
Harrezkero, SMS OTPren berezko ahuleziak nabariagoak dira. Iruzurgileek hainbat metodo erabiltzen dituzte SMS mezuak arriskuan jartzeko:
- SIM txartelaren bikoizketa. Erasotzaileek SIMaren kopia bat sortzen dute (operadore mugikorren langileen laguntzarekin, edo modu independentean, software eta hardware berezia erabiliz). Ondorioz, erasotzaileak SMS bat jasotzen du behin-behineko pasahitz batekin. Kasu bereziki ospetsu batean, hackerrek Michael Turpin kriptomoneta inbertitzailearen AT&T kontua arriskuan jarri eta ia 24 milioi dolar lapurtu zituzten kriptografia-monetan. Ondorioz, Turpinek adierazi zuen AT&Tk errua izan zuela SIM txartela bikoiztu zuten egiaztapen-neurri ahulen ondorioz.
Logika harrigarria. Beraz, benetan AT&Tren errua bakarrik da? Ez, dudarik gabe mugikor-operadorearen errua da komunikazio-dendako saltzaileek SIM txartela bikoiztu izana. Zer gertatzen da kriptografia trukearen autentifikazio sistemarekin? Zergatik ez zuten token kriptografiko sendoak erabili? Pena izan al zen gauzatzeko dirua gastatzea? Ez al da Mikel bera erruduna? Zergatik ez zen tematu autentifikazio-mekanismoa aldatzen edo token kriptografikoetan oinarritutako bi faktoreko autentifikazioa ezartzen duten trukeak soilik erabiltzen?
Benetan fidagarriak diren autentifikazio-metodoen aurkezpena atzeratu egiten da, hain zuzen ere, erabiltzaileek hackeatu baino lehen arduragabekeria harrigarria erakusten dutelako, eta, ondoren, euren arazoak edonori leporatzen dizkiete autentifikazio-teknologi zahar eta "filtratuak" ez diren edonori.
- Malwarea. Mugikorreko malwarearen lehen funtzioetako bat erasotzaileei testu-mezuak atzematea eta bidaltzea izan zen. Era berean, man-in-the-browser eta man-in-the-erdian erasoek behin-behineko pasahitzak atzeman ditzakete kutsatutako ordenagailu eramangarrietan edo mahaigaineko gailuetan sartzen direnean.
Zure telefonoko Sberbank aplikazioak egoera-barran ikono berde bat keinu egiten duenean, zure telefonoan "malwarea" ere bilatzen du. Gertaera honen helburua smartphone tipiko baten exekuzio ingurune fidagarria bihurtzea da, nolabait behintzat, fidagarri bihurtzea.
Bide batez, smartphone bat, guztiz fidagarria ez den gailu gisa edozer egin daitekeen bezala, autentifikaziorako erabiltzeko beste arrazoi bat da. hardware tokenak soilik, babestuta eta birusik eta troiakorik gabe. - Gizarte ingeniaritza. Iruzurgileek biktima batek SMS bidez OTP gaituta dituela jakitean, biktimarekin zuzenean harremanetan jar daitezke, erakunde fidagarri gisa agertuz, hala nola bere bankua edo kreditu-kooperatiba gisa, biktimari jaso berri duen kodea eman dezan engainatzeko.
Pertsonalki iruzur mota hau askotan egin dut topo, adibidez, online arkakuso merkatu ezagun batean zerbait saltzen saiatzean. Nik neuk iseka egin nion gustura engainatzen saiatu zen iruzurgileaz. Baina, ai, aldizka irakurtzen nuen albisteetan nola iruzurgileen beste biktima batek "ez zuen pentsatzen", baieztapen kodea eman eta kopuru handi bat galdu zuen. Eta hori guztia da bankuak ez duelako bere aplikazioetan token kriptografikoen ezarpenari aurre egin nahi. Azken finean, zerbait gertatzen bada, bezeroek "eurek dute errua".
OTP entrega-metodo alternatiboek autentifikazio-metodo honetako ahultasun batzuk arindu ditzaketen arren, beste ahultasun batzuk geratzen dira. Kodea sortzeko aplikazio autonomoak entzuteen aurkako babesrik onena dira, malware-ak ere nekez interakzionatu dezakeelako kode-sorgailuarekin zuzenean (serio? Txostenaren egileak urrutiko kontrolaz ahaztu al zuen?), baina OTPak oraindik ere atzeman daitezke arakatzailean sartzen direnean (adibidez keylogger bat erabiliz), hackeatutako aplikazio mugikor baten bidez; eta erabiltzailearengandik zuzenean ere lor daiteke ingeniaritza soziala erabiliz.
Arriskuak ebaluatzeko hainbat tresna erabiltzea, esate baterako, gailuen ezagutza (Erabiltzaile legal batenak ez diren gailuetatik transakzioak egiteko saiakerak hautematea), geokokapena (Moskun egon berri den erabiltzaile bat Novosibirsketik ebakuntza bat egiten saiatzen da) eta portaeraren analitika garrantzitsuak dira ahuleziak konpontzeko, baina irtenbide bat ez da panazea. Egoera eta datu mota bakoitzerako, arriskuak arretaz baloratu eta zein autentifikazio teknologia erabili behar den aukeratu behar da.
Ez da autentifikazio irtenbiderik panazea bat
2. Irudia. Autentifikazio-aukeren taula
| autentifikazio | Faktorea | Description | Gako ahuleziak |
| Pasahitza edo PINa | Ezagutza | Balio finkoa, letrak, zenbakiak eta beste hainbat karaktere izan ditzakeena | Atzeman, zelatatu, lapurtu, jaso edo hackeatu daiteke |
| Ezagutzan oinarritutako autentifikazioa | Ezagutza | Erabiltzaile legal batek bakarrik jakin ditzakeen erantzunak galdetzen ditu | Ingeniaritza sozialeko metodoak erabiliz atzeman, jaso eta lor daiteke |
| Hardware OTP () | Jabetza | Behin-behineko pasahitzak sortzen dituen gailu berezi bat | Baliteke kodea atzeman eta errepikatu edo gailua lapurtzea |
| Software OTPak | Jabetza | Behin-behineko pasahitzak sortzen dituen aplikazio bat (mugikorra, nabigatzaile baten bidez eskuragarria edo kodeak posta elektronikoz bidaltzen dituena) | Baliteke kodea atzeman eta errepikatu edo gailua lapurtzea |
| SMS OTP | Jabetza | Aldi baterako pasahitza SMS testu-mezu bidez entregatua | Baliteke kodea atzeman eta errepikatzea, edo telefonoa edo SIM txartela lapurtzea edo SIM txartela bikoiztuta egotea. |
| Txartel adimendunak () | Jabetza | Txip kriptografiko bat eta autentifikaziorako gako publikoaren azpiegitura erabiltzen duen gako-memoria segurua dituen txartela | Fisikoki lapurtuta egon daiteke (baina erasotzaile batek ezin izango du gailua erabili PIN kodea ezagutu gabe; oker idazteko hainbat saiakera izanez gero, gailua blokeatuko da) |
| Segurtasun-giltzak - tokenak (, ) | Jabetza | Autentifikaziorako gako publikoaren azpiegitura erabiltzen duen txip kriptografiko bat eta gako-memoria segurua dituen USB gailu bat | Fisikoki lapurtu egin daiteke (baina erasotzaile batek ezingo du gailua erabili PIN kodea ezagutu gabe; oker sartzeko hainbat saiakera izanez gero, gailua blokeatuko da) |
| Gailu bati lotzea | Jabetza | Profil bat sortzen duen prozesua, askotan JavaScript erabiliz, edo markatzaileak erabiliz, hala nola cookieak eta Flash Shared Objects, gailu zehatz bat erabiltzen ari dela ziurtatzeko. | Tokenak lapurtu (kopiatu) eta legezko gailu baten ezaugarriak imitatu ditzake erasotzaile batek bere gailuan. |
| jokabidea | Inherentzia | Erabiltzaileak gailu edo programa batekin nola elkarreragiten duen aztertzen du | Jokabidea imitatu daiteke |
| Hatz-markak | Inherentzia | Biltegiratutako hatz-markak optikoki edo elektronikoki ateratakoekin alderatzen dira | Irudia lapurtu eta autentifikaziorako erabil daiteke |
| Begien miaketa | Inherentzia | Begiaren ezaugarriak, hala nola irisaren eredua, miaketa optiko berriekin alderatzen ditu | Irudia lapurtu eta autentifikaziorako erabil daiteke |
| Aurpegi-ezagutza | Inherentzia | Aurpegiaren ezaugarriak miaketa optiko berriekin alderatzen dira | Irudia lapurtu eta autentifikaziorako erabil daiteke |
| Ahots-ezagutza | Inherentzia | Grabatutako ahots-laginaren ezaugarriak lagin berriekin alderatzen dira | Erregistroa lapurtu eta autentifikaziorako erabil daiteke, edo emulatu |
Argitalpenaren bigarren zatian, gauza goxoenak itxaroten gaituzte: zenbakiak eta gertaerak, eta horietan oinarritzen dira lehen zatian emandako ondorioak eta gomendioak. Erabiltzaileen aplikazioetan eta sistema korporatiboetan autentifikazioa bereizita aztertuko da.
Laster ikustera!
Iturria: www.habr.com