اسپویلر از عنوان گزارش: "استفاده از احراز هویت قوی به دلیل تهدید خطرات جدید و الزامات نظارتی افزایش می یابد."
شرکت تحقیقاتی "Javelin Strategy & Research" گزارش "وضعیت احراز هویت قوی 2019" را منتشر کرد.). این گزارش میگوید: چند درصد از شرکتهای آمریکایی و اروپایی از رمز عبور استفاده میکنند (و چرا در حال حاضر افراد کمی از رمز عبور استفاده میکنند). چرا استفاده از احراز هویت دو عاملی بر اساس توکن های رمزنگاری به سرعت در حال رشد است. چرا کدهای یکبار مصرف ارسال شده از طریق پیامک امن نیستند؟
هر کسی که علاقه مند به احراز هویت در حال، گذشته و آینده در شرکت ها و برنامه های کاربردی مصرف کننده باشد، خوش آمدید.
از مترجم
افسوس، زبانی که این گزارش به آن نوشته شده کاملاً "خشک" و رسمی است. و پنج بار استفاده از کلمه "احراز هویت" در یک جمله کوتاه، دست (یا مغز) کج مترجم نیست، بلکه هوس نویسندگان است. هنگام ترجمه از دو گزینه - برای دادن متنی به خوانندگان به متن اصلی یا جالب تر، گاهی اوقات اولی را انتخاب می کردم و گاهی اوقات دومی را. اما صبور باشید، خوانندگان عزیز، مطالب گزارش ارزشش را دارد.
برخی از قطعات بی اهمیت و غیر ضروری برای داستان حذف شدند، در غیر این صورت اکثریت نمی توانستند از کل متن عبور کنند. کسانی که مایل به خواندن این گزارش «بریده نشده» هستند، می توانند با دنبال کردن لینک، این کار را به زبان اصلی انجام دهند.
متأسفانه، نویسندگان همیشه مراقب اصطلاحات نیستند. بنابراین، رمزهای عبور یک بار مصرف (One Time Password - OTP) گاهی اوقات "گذرواژه" و گاهی اوقات "کد" نامیده می شوند. با روش های احراز هویت حتی بدتر است. حدس زدن اینکه «احراز هویت با استفاده از کلیدهای رمزنگاری» و «احراز هویت قوی» یکسان هستند، همیشه برای خواننده آموزش ندیده آسان نیست. من سعی کردم تا حد امکان اصطلاحات را یکسان کنم و در خود گزارش بخشی از توضیحات آنها وجود دارد.
با این وجود، خواندن این گزارش به شدت توصیه می شود زیرا حاوی نتایج تحقیقات منحصر به فرد و نتیجه گیری صحیح است.
همه ارقام و حقایق بدون کوچکترین تغییری ارائه می شوند و اگر با آنها موافق نیستید، بهتر است نه با مترجم، بلکه با نویسندگان گزارش بحث کنید. و در اینجا نظرات من (به صورت نقل قول ارائه شده و در متن مشخص شده است ایتالیایی) قضاوت ارزشی من هستند و خوشحال خواهم شد که در مورد هر یک از آنها (و همچنین کیفیت ترجمه) بحث کنم.
مرور
امروزه کانال های دیجیتال ارتباط با مشتریان بیش از هر زمان دیگری برای کسب و کارها اهمیت پیدا کرده است. و در داخل شرکت، ارتباطات بین کارمندان بیش از هر زمان دیگری دیجیتالی است. و اینکه چقدر این تعاملات ایمن خواهند بود بستگی به روش انتخاب شده برای احراز هویت کاربر دارد. مهاجمان از احراز هویت ضعیف برای هک گسترده حساب های کاربری استفاده می کنند. در پاسخ، تنظیمکنندهها استانداردها را سختتر میکنند تا کسبوکارها را وادار کنند تا از حسابهای کاربری و دادهها بهتر محافظت کنند.
تهدیدهای مرتبط با احراز هویت فراتر از برنامه های کاربردی مصرف کننده هستند؛ مهاجمان همچنین می توانند به برنامه های در حال اجرا در داخل شرکت دسترسی پیدا کنند. این عملیات به آنها اجازه می دهد تا هویت کاربران شرکتی را جعل کنند. مهاجمانی که از نقاط دسترسی با احراز هویت ضعیف استفاده میکنند، میتوانند دادهها را بدزدند و سایر فعالیتهای جعلی را انجام دهند. خوشبختانه اقداماتی برای مبارزه با این موضوع وجود دارد. احراز هویت قوی به کاهش قابل توجه خطر حمله توسط مهاجم، هم در برنامه های کاربردی مصرف کننده و هم در سیستم های تجاری سازمانی کمک می کند.
این مطالعه بررسی می کند: چگونه شرکت ها احراز هویت را برای محافظت از برنامه های کاربردی کاربر نهایی و سیستم های تجاری سازمانی اجرا می کنند. عواملی که آنها هنگام انتخاب راه حل احراز هویت در نظر می گیرند. نقشی که احراز هویت قوی در سازمان آنها ایفا می کند. مزایایی که این سازمان ها دریافت می کنند.
خلاصه
یافته های کلیدی
از سال 2017، استفاده از احراز هویت قوی به شدت افزایش یافته است. با افزایش تعداد آسیبپذیریها بر راهحلهای احراز هویت سنتی، سازمانها در حال تقویت قابلیتهای احراز هویت خود با احراز هویت قوی هستند. تعداد سازمان هایی که از احراز هویت چند عاملی رمزنگاری (MFA) استفاده می کنند از سال 2017 برای برنامه های کاربردی مصرف کننده سه برابر شده و برای برنامه های سازمانی نزدیک به 50 درصد افزایش یافته است. سریع ترین رشد در احراز هویت موبایل به دلیل افزایش دسترسی به احراز هویت بیومتریک مشاهده می شود.
در اینجا مثالی از این ضرب المثل می بینیم که "تا رعد و برق نرسد، مرد از روی خود عبور نمی کند." هنگامی که کارشناسان در مورد ناامن بودن رمزهای عبور هشدار دادند، هیچ کس عجله ای برای اجرای احراز هویت دو مرحله ای نداشت. به محض اینکه هکرها شروع به سرقت رمزهای عبور کردند، مردم شروع به اجرای احراز هویت دو مرحله ای کردند.
درست است، افراد بسیار فعالتر 2FA را پیادهسازی میکنند. اولاً، با تکیه بر احراز هویت بیومتریک تعبیه شده در گوشیهای هوشمند، که در واقع بسیار غیرقابل اعتماد است، ترس خود را آرامتر کنند. سازمان ها باید برای خرید توکن ها پول خرج کنند و برای پیاده سازی آنها کار (در واقع بسیار ساده) انجام دهند. و ثانیاً، فقط افراد تنبل درباره افشای رمز عبور از سرویسهایی مانند فیسبوک و دراپباکس چیزی ننوشتهاند، اما مدیران ارشد فناوری اطلاعات این سازمانها تحت هیچ شرایطی داستانهایی درباره نحوه سرقت رمزهای عبور (و اتفاقات بعدی) در سازمانها به اشتراک نمیگذارند.
کسانی که از احراز هویت قوی استفاده نمی کنند، ریسک خود را برای کسب و کار و مشتریان خود دست کم می گیرند. برخی از سازمانهایی که در حال حاضر از احراز هویت قوی استفاده نمیکنند، لاگینها و گذرواژهها را بهعنوان یکی از مؤثرترین و آسانترین روشهای احراز هویت کاربر میبینند. دیگران ارزش دارایی های دیجیتالی که دارند را نمی بینند. از این گذشته، شایان ذکر است که مجرمان سایبری به هر گونه اطلاعات مصرف کننده و تجاری علاقه مند هستند. دو سوم شرکتهایی که فقط از رمز عبور برای احراز هویت کارکنان خود استفاده میکنند، این کار را انجام میدهند زیرا معتقدند گذرواژهها برای نوع اطلاعاتی که محافظت میکنند به اندازه کافی خوب هستند.
با این حال، پسوردها در راه قبر هستند. وابستگی به رمز عبور طی سال گذشته به طور قابل توجهی برای برنامه های مصرف کننده و سازمانی کاهش یافته است (به ترتیب از 44٪ به 31٪ و از 56٪ به 47٪) زیرا سازمان ها استفاده خود از MFA سنتی و احراز هویت قوی را افزایش می دهند.
اما اگر به طور کلی به وضعیت نگاه کنیم، روشهای احراز هویت آسیبپذیر همچنان غالب هستند. برای احراز هویت کاربر، حدود یک چهارم سازمان ها از SMS OTP (رمز عبور یک بار مصرف) به همراه سوالات امنیتی استفاده می کنند. در نتیجه، اقدامات امنیتی اضافی باید برای محافظت در برابر آسیب پذیری که هزینه ها را افزایش می دهد، اجرا شود. استفاده از روشهای احراز هویت بسیار امنتر، مانند کلیدهای رمزنگاری سختافزاری، در تقریباً 5 درصد سازمانها بسیار کمتر مورد استفاده قرار میگیرد.
محیط نظارتی در حال تحول نوید تسریع پذیرش احراز هویت قوی برای برنامه های کاربردی مصرف کننده را می دهد. با معرفی PSD2 و همچنین قوانین جدید حفاظت از داده ها در اتحادیه اروپا و چندین ایالت آمریکا مانند کالیفرنیا، شرکت ها گرما را احساس می کنند. تقریباً 70 درصد از شرکتها موافق هستند که با فشار نظارتی قوی برای ارائه احراز هویت قوی به مشتریان خود مواجه هستند. بیش از نیمی از شرکت ها بر این باورند که طی چند سال روش های احراز هویت آنها برای برآورده کردن استانداردهای نظارتی کافی نخواهد بود.
تفاوت در رویکرد قانونگذاران روسی و آمریکایی-اروپایی در مورد حفاظت از داده های شخصی کاربران برنامه ها و خدمات به وضوح قابل مشاهده است. روس ها می گویند: سرویس داران عزیز، هر کاری که می خواهید و هر طور که می خواهید انجام دهید، اما اگر ادمین شما پایگاه داده را ادغام کند، شما را مجازات می کنیم. در خارج از کشور می گویند: باید مجموعه اقداماتی را اجرا کنید که اجازه نخواهد داد پایه را تخلیه کنید به همین دلیل است که الزامات برای احراز هویت دقیق دو مرحله ای در آنجا پیاده سازی می شود.
درست است، دور از واقعیت است که دستگاه قانونگذاری ما روزی به خود نیاید و تجربه غرب را در نظر نگیرد. سپس معلوم می شود که همه نیاز به پیاده سازی 2FA دارند که مطابق با استانداردهای رمزنگاری روسیه است و فوراً.
ایجاد یک چارچوب احراز هویت قوی به شرکت ها اجازه می دهد تا تمرکز خود را از برآورده کردن الزامات نظارتی به رفع نیازهای مشتری تغییر دهند. برای آن دسته از سازمان هایی که هنوز از رمزهای عبور ساده یا دریافت کد از طریق پیامک استفاده می کنند، مهم ترین عامل هنگام انتخاب روش احراز هویت، رعایت الزامات نظارتی خواهد بود. اما آن دسته از شرکتهایی که قبلاً از احراز هویت قوی استفاده میکنند، میتوانند روی انتخاب روشهای احراز هویت که وفاداری مشتری را افزایش میدهند، تمرکز کنند.
هنگام انتخاب روش احراز هویت شرکتی در یک شرکت، الزامات نظارتی دیگر عامل مهمی نیستند. در این مورد، سهولت یکپارچه سازی (32%) و هزینه (26%) بسیار مهمتر است.
در عصر فیشینگ، مهاجمان می توانند از ایمیل شرکتی برای کلاهبرداری استفاده کنند دستیابی به کلاهبرداری به داده ها، حساب ها (با حقوق دسترسی مناسب) و حتی متقاعد کردن کارمندان برای انتقال پول به حساب خود. بنابراین، حساب های ایمیل و پورتال شرکتی باید به خوبی محافظت شوند.
گوگل امنیت خود را با اجرای احراز هویت قوی تقویت کرده است. بیش از دو سال پیش، گوگل گزارشی در مورد اجرای احراز هویت دو مرحله ای بر اساس کلیدهای امنیتی رمزنگاری با استفاده از استاندارد FIDO U2F منتشر کرد و نتایج چشمگیری را گزارش کرد. به گفته این شرکت، حتی یک حمله فیشینگ علیه بیش از 85 کارمند انجام نشده است.
توصیه
اجرای احراز هویت قوی برای برنامه های موبایل و آنلاین. احراز هویت چند عاملی مبتنی بر کلیدهای رمزنگاری محافظت بسیار بهتری در برابر هک نسبت به روشهای سنتی MFA ایجاد میکند. علاوه بر این، استفاده از کلیدهای رمزنگاری بسیار راحت تر است زیرا نیازی به استفاده و انتقال اطلاعات اضافی - رمزهای عبور، رمزهای عبور یک بار مصرف یا داده های بیومتریک از دستگاه کاربر به سرور احراز هویت نیست. علاوه بر این، استاندارد کردن پروتکلهای احراز هویت، پیادهسازی روشهای احراز هویت جدید را با در دسترس شدن بسیار آسانتر میکند و هزینههای پیادهسازی را کاهش میدهد و در برابر طرحهای کلاهبرداری پیچیدهتر محافظت میکند.
برای از بین رفتن رمزهای عبور یکبار مصرف (OTP) آماده شوید. آسیبپذیریهای ذاتی در OTPها بهطور فزایندهای آشکار میشوند زیرا مجرمان سایبری از مهندسی اجتماعی، شبیهسازی گوشیهای هوشمند و بدافزارها برای به خطر انداختن این ابزارهای احراز هویت استفاده میکنند. و اگر OTP ها در برخی موارد دارای مزایای خاصی هستند، فقط از نقطه نظر در دسترس بودن جهانی برای همه کاربران، اما نه از نقطه نظر امنیت.
نمیتوان متوجه نشد که دریافت کدها از طریق پیامک یا Push Notifications و همچنین تولید کد با استفاده از برنامههای گوشیهای هوشمند، استفاده از همان رمزهای عبور یکبار مصرف (OTP) است که از ما خواسته میشود برای کاهش آن آماده شویم. از نقطه نظر فنی، راه حل بسیار درست است، زیرا این یک کلاهبردار نادر است که سعی نمی کند رمز عبور یک بار مصرف را از یک کاربر ساده لوح پیدا کند. اما من فکر میکنم که سازندگان چنین سیستمهایی تا آخر عمر به فناوری در حال مرگ میچسبند.
از احراز هویت قوی به عنوان یک ابزار بازاریابی برای افزایش اعتماد مشتری استفاده کنید. احراز هویت قوی می تواند بیشتر از بهبود امنیت واقعی کسب و کار شما باشد. اطلاع دادن به مشتریان مبنی بر اینکه کسبوکار شما از احراز هویت قوی استفاده میکند، میتواند درک عمومی از امنیت آن کسبوکار را تقویت کند - یک عامل مهم زمانی که تقاضای قابل توجهی از مشتری برای روشهای احراز هویت قوی وجود دارد.
یک فهرست کامل و ارزیابی بحرانی داده های شرکت انجام دهید و از آن بر اساس اهمیت محافظت کنید. حتی داده های کم خطر مانند اطلاعات تماس با مشتری (نه، واقعاً، گزارش می گوید "کم خطر"، بسیار عجیب است که آنها اهمیت این اطلاعات را دست کم می گیرند) می تواند ارزش قابل توجهی برای کلاهبرداران به ارمغان بیاورد و برای شرکت مشکل ایجاد کند.
از احراز هویت سازمانی قوی استفاده کنید. تعدادی از سیستم ها جذاب ترین اهداف برای مجرمان هستند. اینها شامل سیستم های داخلی و متصل به اینترنت مانند یک برنامه حسابداری یا یک انبار داده شرکتی است. احراز هویت قوی از دسترسی غیرمجاز مهاجمان جلوگیری می کند و همچنین تشخیص دقیق اینکه کدام کارمند این فعالیت مخرب را انجام داده است را ممکن می سازد.
احراز هویت قوی چیست؟
هنگام استفاده از احراز هویت قوی، چندین روش یا فاکتور برای تأیید صحت کاربر استفاده می شود:
- عامل دانش: راز مشترک بین کاربر و موضوع احراز هویت شده کاربر (مانند رمزهای عبور، پاسخ به سوالات امنیتی و غیره)
- عامل مالکیت: دستگاهی که فقط کاربر دارد (مثلاً یک دستگاه تلفن همراه، یک کلید رمزنگاری و غیره)
- عامل صداقت: ویژگی های فیزیکی (اغلب بیومتریک) کاربر (به عنوان مثال، اثر انگشت، الگوی عنبیه، صدا، رفتار و غیره)
نیاز به هک چندین عامل احتمال شکست را برای مهاجمان بسیار افزایش می دهد، زیرا دور زدن یا فریب دادن عوامل مختلف مستلزم استفاده از چندین نوع تاکتیک هک برای هر عامل جداگانه است.
به عنوان مثال، با 2FA "گذرواژه + تلفن هوشمند"، مهاجم می تواند با مشاهده رمز عبور کاربر و تهیه یک نسخه نرم افزاری دقیق از تلفن هوشمند خود، احراز هویت را انجام دهد. و این بسیار دشوارتر از سرقت رمز عبور است.
اما اگر از رمز عبور و رمز رمزنگاری برای 2FA استفاده شود، گزینه کپی در اینجا کار نمی کند - امکان کپی کردن رمز وجود ندارد. کلاهبردار باید توکن را مخفیانه از کاربر بدزدد. اگر کاربر به موقع متوجه ضرر شود و به ادمین اطلاع دهد، توکن مسدود شده و تلاش های کلاهبردار بیهوده خواهد بود. به همین دلیل است که عامل مالکیت مستلزم استفاده از دستگاه های ایمن تخصصی (توکن ها) به جای دستگاه های عمومی (گوشی های هوشمند) است.
استفاده از هر سه عامل، اجرای این روش احراز هویت را بسیار پرهزینه و برای استفاده بسیار ناخوشایند خواهد کرد. بنابراین معمولاً از هر سه عامل دو عامل استفاده می شود.
اصول احراز هویت دو مرحله ای با جزئیات بیشتری توضیح داده شده است ، در بلوک «چگونه احراز هویت دو مرحله ای کار می کند».
توجه به این نکته ضروری است که حداقل یکی از فاکتورهای احراز هویت مورد استفاده در احراز هویت قوی باید از رمزنگاری کلید عمومی استفاده کند.
احراز هویت قوی محافظت بسیار قوی تری نسبت به احراز هویت تک عاملی بر اساس رمزهای عبور کلاسیک و MFA سنتی فراهم می کند. گذرواژهها را میتوان با استفاده از کیلاگرها، سایتهای فیشینگ یا حملات مهندسی اجتماعی (جایی که قربانی فریب داده میشود تا رمز عبور خود را فاش کند) جاسوسی یا رهگیری شود. علاوه بر این، صاحب رمز عبور چیزی در مورد سرقت نمی داند. MFA سنتی (شامل کدهای OTP، اتصال به تلفن هوشمند یا سیم کارت) نیز به راحتی قابل هک است، زیرا مبتنی بر رمزنگاری کلید عمومی نیست.به هر حال، مثالهای زیادی وجود دارد که با استفاده از همان تکنیکهای مهندسی اجتماعی، کلاهبرداران کاربران را متقاعد کردند که یک رمز عبور یکبار مصرف به آنها بدهند.).
خوشبختانه، استفاده از احراز هویت قوی و MFA سنتی از سال گذشته در برنامه های مصرف کننده و سازمانی مورد توجه قرار گرفته است. استفاده از احراز هویت قوی در برنامه های کاربردی مصرف کننده به سرعت رشد کرده است. اگر در سال 2017 فقط 5٪ از شرکت ها از آن استفاده می کردند، در سال 2018 سه برابر بیشتر بود - 16٪. این را می توان با افزایش در دسترس بودن توکن هایی توضیح داد که از الگوریتم های رمزنگاری کلید عمومی (PKC) پشتیبانی می کنند. علاوه بر این، افزایش فشار از سوی تنظیمکنندههای اروپایی به دنبال تصویب قوانین جدید حفاظت از دادهها مانند PSD2 و GDPR حتی در خارج از اروپا نیز تأثیر زیادی داشته است.از جمله در روسیه).
بیایید نگاهی دقیق تر به این اعداد بیندازیم. همانطور که می بینیم، درصد افراد خصوصی که از احراز هویت چند عاملی استفاده می کنند در طول سال به میزان چشمگیر 11 درصد افزایش یافته است. و این به وضوح به ضرر دوستداران رمز عبور اتفاق افتاد ، زیرا تعداد کسانی که به امنیت اعلان های Push ، SMS و بیومتریک اعتقاد دارند تغییر نکرده است.
اما با احراز هویت دو مرحله ای برای استفاده شرکتی، اوضاع چندان خوب نیست. اولا، طبق این گزارش، تنها 5 درصد از کارمندان از احراز هویت رمز عبور به توکن ها منتقل شدند. و ثانیا، تعداد کسانی که از گزینه های جایگزین MFA در یک محیط شرکتی استفاده می کنند 4٪ افزایش یافته است.
من سعی خواهم کرد که یک تحلیلگر بازی کنم و تفسیر خود را ارائه کنم. در مرکز دنیای دیجیتالی تک تک کاربران گوشی هوشمند قرار دارد. بنابراین، جای تعجب نیست که اکثریت از قابلیت هایی استفاده می کنند که دستگاه به آنها ارائه می دهد - احراز هویت بیومتریک، پیامک و اعلان های فشاری، و همچنین رمزهای عبور یک بار مصرف که توسط برنامه های کاربردی در خود گوشی هوشمند ایجاد می شود. مردم معمولاً هنگام استفاده از ابزارهایی که به آنها عادت دارند به ایمنی و قابلیت اطمینان فکر نمی کنند.
به همین دلیل است که درصد کاربران فاکتورهای احراز هویت "سنتی" اولیه بدون تغییر باقی می ماند. اما کسانی که قبلاً از رمزهای عبور استفاده کردهاند میدانند که چقدر در معرض خطر هستند، و هنگام انتخاب یک فاکتور احراز هویت جدید، جدیدترین و امنترین گزینه را انتخاب میکنند - رمز رمزنگاری.
در مورد بازار شرکتی، مهم است که بدانیم احراز هویت در کدام سیستم انجام می شود. اگر ورود به یک دامنه ویندوز پیاده سازی شود، از توکن های رمزنگاری استفاده می شود. امکانات استفاده از آنها برای 2FA در حال حاضر در ویندوز و لینوکس تعبیه شده است، اما گزینه های جایگزین طولانی و دشوار است. مهاجرت 5% از رمزهای عبور به توکن ها بسیار زیاد است.
و پیاده سازی 2FA در یک سیستم اطلاعات شرکتی بسیار به صلاحیت توسعه دهندگان بستگی دارد. و برای توسعه دهندگان گرفتن ماژول های آماده برای تولید رمزهای عبور یک بار مصرف بسیار آسان تر از درک عملکرد الگوریتم های رمزنگاری است. و در نتیجه، حتی برنامههای بسیار مهم امنیتی مانند سیستمهای Single Sign-On یا Privileged Access Management از OTP به عنوان عامل دوم استفاده میکنند.
آسیب پذیری های بسیاری در روش های احراز هویت سنتی
در حالی که بسیاری از سازمانها همچنان به سیستمهای تک عاملی قدیمی وابسته هستند، آسیبپذیریها در احراز هویت چند عاملی سنتی به طور فزایندهای آشکار میشوند. گذرواژههای یکبار مصرف، معمولاً شش تا هشت کاراکتر، که از طریق پیامک ارسال میشوند، رایجترین شکل احراز هویت هستند (البته علاوه بر فاکتور رمز عبور). و هنگامی که کلمات "احراز هویت دو مرحله ای" یا "تأیید دو مرحله ای" در مطبوعات رایج ذکر می شود، تقریباً همیشه به احراز هویت رمز عبور یک بار مصرف پیامک اشاره می کنند.
در اینجا نویسنده کمی در اشتباه است. ارائه رمزهای عبور یکبار مصرف از طریق پیامک هرگز احراز هویت دو مرحله ای نبوده است. این در خالص ترین حالت خود مرحله دوم احراز هویت دو مرحله ای است که در آن مرحله اول وارد کردن لاگین و رمز عبور شما است.
در سال 2016، مؤسسه ملی استاندارد و فناوری (NIST) قوانین احراز هویت خود را برای حذف استفاده از رمزهای عبور یکبار مصرف ارسال شده از طریق پیام کوتاه به روز کرد. با این حال، این قوانین به طور قابل توجهی پس از اعتراضات صنعت کاهش یافت.
بنابراین، بیایید طرح را دنبال کنیم. تنظیم کننده آمریکایی به درستی تشخیص می دهد که فناوری قدیمی قادر به تضمین ایمنی کاربر نیست و استانداردهای جدیدی را معرفی می کند. استانداردهایی که برای محافظت از کاربران برنامه های کاربردی آنلاین و تلفن همراه (از جمله برنامه های بانکی) طراحی شده اند. این صنعت در حال محاسبه مقدار پولی است که باید برای خرید توکنهای رمزنگاری واقعی قابل اعتماد، طراحی مجدد برنامهها، استقرار زیرساخت کلید عمومی خرج کند و در حال افزایش است. از یک طرف، کاربران به قابلیت اطمینان رمزهای عبور یک بار مصرف متقاعد شدند و از طرف دیگر، حملاتی به NIST صورت گرفت. در نتیجه، استاندارد نرم شد و تعداد هک ها و سرقت رمزهای عبور (و پول از برنامه های بانکی) به شدت افزایش یافت. اما صنعت مجبور به پرداخت پول نبود.
از آن زمان، ضعف ذاتی SMS OTP آشکارتر شده است. کلاهبرداران از روش های مختلفی برای به خطر انداختن پیامک ها استفاده می کنند:
- سیم کارت تکراری. مهاجمان یک کپی از سیم کارت ایجاد می کنند (با کمک کارمندان اپراتور تلفن همراه یا به طور مستقل با استفاده از نرم افزار و سخت افزار خاص). در نتیجه مهاجم پیامکی با رمز عبور یکبار مصرف دریافت می کند. در یکی از موارد معروف، هکرها حتی توانستند حساب AT&T سرمایه گذار ارزهای دیجیتال مایکل تورپین را به خطر بیاندازند و نزدیک به 24 میلیون دلار ارزهای دیجیتال را سرقت کنند. در نتیجه، Turpin اظهار داشت که AT&T به دلیل اقدامات تأیید ضعیف که منجر به تکرار سیم کارت شده است، مقصر بوده است.
منطق شگفت انگیز پس واقعاً فقط تقصیر AT&T است؟ خیر، بی شک تقصیر اپراتور تلفن همراه است که فروشندگان فروشگاه ارتباطات سیم کارت المثنی صادر کردند. در مورد سیستم احراز هویت صرافی ارزهای دیجیتال چطور؟ چرا از توکن های رمزنگاری قوی استفاده نکردند؟ حیف بود برای اجرا هزینه شود؟ آیا خود مایکل مقصر نیست؟ چرا او اصرار بر تغییر مکانیسم احراز هویت نکرد یا فقط از آن صرافی هایی استفاده کرد که احراز هویت دو مرحله ای را بر اساس توکن های رمزنگاری اجرا می کنند؟
معرفی روشهای احراز هویت واقعا قابل اعتماد دقیقاً به این دلیل به تأخیر افتاده است که کاربران قبل از هک بیاحتیاطی شگفتانگیز نشان میدهند و پس از آن مشکلات خود را به گردن هر کسی و هر چیزی غیر از فناوریهای قدیمی و «نشتی» احراز هویت میاندازند.
- بد افزار. یکی از اولین کارکردهای بدافزار موبایل رهگیری و ارسال پیام های متنی به مهاجمان بود. همچنین، حملات man-in-the-browser و man-in-the-middle میتوانند رمزهای عبور یکبار مصرف را هنگامی که در لپتاپها یا دستگاههای رومیزی آلوده وارد میشوند، رهگیری کنند.
هنگامی که برنامه Sberbank در تلفن هوشمند شما یک نماد سبز رنگ در نوار وضعیت چشمک می زند، همچنین به دنبال "بدافزار" در تلفن شما می شود. هدف این رویداد این است که محیط اجرای غیرقابل اعتماد یک گوشی هوشمند معمولی را حداقل به نوعی به یک محیط قابل اعتماد تبدیل کند.
به هر حال، یک گوشی هوشمند، به عنوان یک دستگاه کاملا غیرقابل اعتماد که هر کاری را می توان روی آن انجام داد، دلیل دیگری برای استفاده از آن برای احراز هویت است. فقط توکن های سخت افزاری، که محافظت شده و عاری از ویروس و تروجان هستند. - مهندسی اجتماعی. زمانی که کلاهبرداران بدانند که قربانی از طریق پیامک OTP را فعال کرده است، می توانند مستقیماً با قربانی تماس بگیرند و خود را به عنوان یک سازمان قابل اعتماد مانند بانک یا اتحادیه اعتباری خود معرفی کنند تا قربانی را فریب دهند تا کدی را که به تازگی دریافت کرده است ارائه دهد.
من شخصاً بارها با این نوع کلاهبرداری مواجه شده ام، به عنوان مثال، هنگام تلاش برای فروش چیزی در یک بازار پرطرفدار آنلاین. من خودم کلاهبردار را مسخره کردم که می خواست مرا در حد دل من فریب دهد. اما افسوس که من مرتباً در اخبار می خوانم که چگونه یکی دیگر از قربانیان کلاهبرداران "فکر نمی کند" ، کد تأیید را داده و مبلغ زیادی را از دست داده است. و همه اینها به این دلیل است که بانک به سادگی نمی خواهد با اجرای توکن های رمزنگاری در برنامه های خود مقابله کند. به هر حال، اگر اتفاقی بیفتد، مشتریان «خود را مقصر می دانند».
در حالی که روشهای جایگزین OTP ممکن است برخی از آسیبپذیریها را در این روش احراز هویت کاهش دهند، آسیبپذیریهای دیگر باقی میمانند. برنامه های کاربردی تولید کد مستقل بهترین محافظت در برابر استراق سمع هستند، زیرا حتی بدافزارها به سختی می توانند مستقیماً با تولید کننده کد تعامل داشته باشند.به طور جدی؟ آیا نویسنده گزارش کنترل از راه دور را فراموش کرده است؟(به عنوان مثال با استفاده از یک کی لاگر) از طریق یک اپلیکیشن موبایل هک شده؛ و همچنین با استفاده از مهندسی اجتماعی می توان مستقیماً از کاربر دریافت کرد.
استفاده از چندین ابزار ارزیابی ریسک مانند تشخیص دستگاه (شناسایی تلاشها برای انجام تراکنشها از دستگاههایی که به یک کاربر قانونی تعلق ندارندموقعیت جغرافیایی (کاربری که به تازگی در مسکو بوده است سعی می کند یک عمل جراحی از نووسیبیرسک انجام دهد) و تجزیه و تحلیل رفتاری برای رسیدگی به آسیب پذیری ها مهم هستند، اما هیچ یک از این راه حل ها نوشدارویی نیستند. برای هر موقعیت و نوع داده، لازم است خطرات را به دقت ارزیابی کرد و انتخاب کرد که کدام فناوری احراز هویت باید استفاده شود.
هیچ راه حل احراز هویت یک دارو نیست
شکل 2. جدول گزینه های احراز هویت
| احراز هویت | عامل | شرح | آسیب پذیری های کلیدی |
| رمز عبور یا پین | دانش | مقدار ثابت، که می تواند شامل حروف، اعداد و تعدادی کاراکتر دیگر باشد | می تواند رهگیری، جاسوسی، سرقت، برداشت یا هک شود |
| احراز هویت مبتنی بر دانش | دانش | سوالاتی که پاسخ آنها را فقط یک کاربر قانونی می تواند بداند | با استفاده از روش های مهندسی اجتماعی می توان رهگیری، برداشت، به دست آورد |
| OTP سخت افزار () | مالکیت | دستگاه ویژه ای که رمزهای عبور یک بار مصرف را تولید می کند | ممکن است کد رهگیری و تکرار شود یا ممکن است دستگاه دزدیده شود |
| OTP های نرم افزاری | مالکیت | برنامه ای (موبایل، قابل دسترسی از طریق مرورگر یا ارسال کدها از طریق ایمیل) که رمزهای عبور یکبار مصرف تولید می کند. | ممکن است کد رهگیری و تکرار شود یا ممکن است دستگاه دزدیده شود |
| پیامک OTP | مالکیت | رمز یکبار مصرف از طریق پیامک ارسال می شود | ممکن است کد رهگیری و تکرار شود یا گوشی هوشمند یا سیم کارت به سرقت رفته باشد یا سیم کارت تکراری باشد. |
| کارت های هوشمند () | مالکیت | کارتی که حاوی یک تراشه رمزنگاری و یک حافظه کلید امن است که از زیرساخت کلید عمومی برای احراز هویت استفاده می کند | ممکن است به سرقت رفته باشد (اما مهاجم بدون اطلاع از کد پین قادر به استفاده از دستگاه نخواهد بود. در صورت چندین بار تلاش برای ورودی نادرست، دستگاه مسدود خواهد شد) |
| کلیدهای امنیتی - نشانه ها (, ) | مالکیت | یک دستگاه USB که حاوی یک تراشه رمزنگاری و حافظه کلید ایمن است که از زیرساخت کلید عمومی برای احراز هویت استفاده می کند | ممکن است به صورت فیزیکی دزدیده شود (اما مهاجم بدون اطلاع از کد پین نمی تواند از دستگاه استفاده کند؛ در صورت چندین بار تلاش برای ورود نادرست، دستگاه مسدود می شود) |
| پیوند دادن به یک دستگاه | مالکیت | فرآیندی که یک نمایه ایجاد می کند، اغلب با استفاده از جاوا اسکریپت، یا با استفاده از نشانگرهایی مانند کوکی ها و اشیاء مشترک فلش برای اطمینان از استفاده از یک دستگاه خاص | توکن ها را می توان به سرقت برد (کپی کرد) و ویژگی های یک دستگاه قانونی را می توان توسط مهاجم در دستگاه خود تقلید کرد. |
| رفتار | ذاتی | نحوه تعامل کاربر با یک دستگاه یا برنامه را تجزیه و تحلیل می کند | رفتار را می توان تقلید کرد |
| اثر انگشت | ذاتی | اثر انگشت های ذخیره شده با آن هایی که به صورت نوری یا الکترونیکی گرفته شده اند مقایسه می شوند | تصویر را می توان به سرقت برد و برای احراز هویت استفاده کرد |
| اسکن چشم | ذاتی | ویژگی های چشم، مانند الگوی عنبیه را با اسکن های نوری جدید مقایسه می کند | تصویر را می توان به سرقت برد و برای احراز هویت استفاده کرد |
| تشخیص چهره | ذاتی | ویژگی های صورت با اسکن های نوری جدید مقایسه می شود | تصویر را می توان به سرقت برد و برای احراز هویت استفاده کرد |
| تشخیص صدا | ذاتی | ویژگی های نمونه صدای ضبط شده با نمونه های جدید مقایسه می شود | رکورد را می توان به سرقت برد و برای احراز هویت استفاده کرد یا شبیه سازی کرد |
در قسمت دوم انتشار، خوشمزه ترین چیزها در انتظار ما هستند - اعداد و حقایق، که بر اساس آنها نتیجه گیری و توصیه های ارائه شده در قسمت اول است. احراز هویت در برنامه های کاربردی کاربر و در سیستم های شرکتی به طور جداگانه مورد بحث قرار خواهد گرفت.
به زودی می بینمت
منبع: www.habr.com