Spoileri raportin otsikosta: "Vahvan todennuksen käyttö lisääntyy uusien riskien ja sääntelyvaatimusten vuoksi."
Tutkimusyhtiö "Javelin Strategy & Research" julkaisi raportin "The State of Strong Authentication 2019" (). Tämä raportti kertoo: kuinka suuri osuus amerikkalaisista ja eurooppalaisista yrityksistä käyttää salasanoja (ja miksi harvat käyttävät salasanoja nykyään); miksi kryptografisiin tokeneihin perustuvan kaksivaiheisen todennuksen käyttö kasvaa niin nopeasti; Miksi tekstiviestillä lähetetyt kertakoodit eivät ole turvallisia?
Kaikki yritysten ja kuluttajasovellusten autentikoinnin nykyhetkestä, menneisyydestä ja tulevaisuudesta kiinnostuneet ovat tervetulleita.
Kääntäjältä
Valitettavasti kieli, jolla tämä raportti on kirjoitettu, on melko "kuivaa" ja muodollista. Ja sanan "todennus" viisi kertaa käyttö yhdessä lyhyessä lauseessa ei ole kääntäjän vinoja käsiä (tai aivoja), vaan tekijöiden mielijohteesta. Käännettäessä kahdesta vaihtoehdosta - antaakseni lukijoille tekstin, joka on lähempänä alkuperäistä tai mielenkiintoisempaa, valitsin joskus ensimmäisen ja joskus toisen. Mutta olkaa kärsivällisiä, hyvät lukijat, raportin sisältö on sen arvoista.
Tarinan kannalta merkityksettömiä ja tarpeettomia kohtia poistettiin, muuten suurin osa ei olisi päässyt läpi koko tekstiä. Ne, jotka haluavat lukea raportin ”leikkaamattomaksi”, voivat tehdä sen alkuperäiskielellä linkin kautta.
Valitettavasti kirjoittajat eivät aina ole varovaisia terminologian kanssa. Näin ollen kertaluonteisia salasanoja (One Time Password - OTP) kutsutaan joskus "salasanoiksi" ja joskus "koodeiksi". Se on vielä pahempaa todennusmenetelmien kanssa. Kouluttamattoman lukijan ei ole aina helppoa arvata, että "todennus salausavaimilla" ja "vahva todennus" ovat sama asia. Yritin yhtenäistää termejä mahdollisimman paljon, ja itse raportissa on katkelma niiden kuvauksesta.
Raportti on kuitenkin erittäin suositeltavaa luettavaksi, koska se sisältää ainutlaatuisia tutkimustuloksia ja oikeita johtopäätöksiä.
Kaikki luvut ja tosiasiat esitetään ilman pienimpiä muutoksia, ja jos et ole samaa mieltä niiden kanssa, on parempi väittää ei kääntäjän, vaan raportin tekijöiden kanssa. Ja tässä on minun kommenttini (lainauksina ja merkitty tekstiin italialainen) ovat arvoarvioni, ja väitän mielelläni jokaisesta niistä (sekä käännöksen laadusta).
Arvostelu
Digitaaliset viestintäkanavat asiakkaiden kanssa ovat nykyään yrityksille tärkeämpiä kuin koskaan. Ja yrityksen sisällä työntekijöiden välinen viestintä on digitaalisempaa kuin koskaan ennen. Ja kuinka turvallisia nämä vuorovaikutukset ovat, riippuu valitusta käyttäjän todennusmenetelmästä. Hyökkääjät käyttävät heikkoa todennusta hakkeroidakseen massiivisesti käyttäjätilejä. Vastauksena sääntelyviranomaiset tiukentavat standardeja pakottaakseen yritykset suojaamaan paremmin käyttäjätilejä ja tietoja.
Todennukseen liittyvät uhat ulottuvat kuluttajasovellusten ulkopuolelle; hyökkääjät voivat myös päästä käsiksi yrityksen sisällä toimiviin sovelluksiin. Tämän toiminnon avulla he voivat esiintyä yrityskäyttäjinä. Hyökkääjät, jotka käyttävät tukiasemia, joilla on heikko todennus, voivat varastaa tietoja ja suorittaa muita vilpillisiä toimia. Onneksi on olemassa toimenpiteitä tämän torjumiseksi. Vahva todennus auttaa merkittävästi vähentämään hyökkääjän hyökkäysriskiä sekä kuluttajasovelluksiin että yritysten liiketoimintajärjestelmiin.
Tässä tutkimuksessa tarkastellaan: kuinka yritykset toteuttavat todennusta loppukäyttäjien sovellusten ja yritysten liiketoimintajärjestelmien suojaamiseksi; tekijät, jotka he huomioivat valitessaan todennusratkaisua; vahvan autentikoinnin rooli heidän organisaatioissaan; näiden organisaatioiden saamat edut.
Yhteenveto
Keskeiset havainnot
Vuodesta 2017 lähtien vahvan autentikoinnin käyttö on lisääntynyt jyrkästi. Perinteisiin todennusratkaisuihin vaikuttavien haavoittuvuuksien lisääntyessä organisaatiot vahvistavat todennuskykyään vahvalla todennuksella. Salattua monitekijätodennusta (MFA) käyttävien organisaatioiden määrä on kolminkertaistunut vuodesta 2017 kuluttajasovelluksissa ja lisääntynyt lähes 50 % yrityssovelluksissa. Nopeinta kasvu on mobiilitunnistuksessa biometrisen todennuksen lisääntyvän saatavuuden ansiosta.
Täällä näemme esimerkin sanonnasta "ennen kuin ukkonen iskee, ihminen ei ristiä itseään". Kun asiantuntijat varoittivat salasanojen turvattomuudesta, kenelläkään ei ollut kiire ottamaan käyttöön kaksivaiheista todennusta. Heti kun hakkerit alkoivat varastaa salasanoja, ihmiset alkoivat ottaa käyttöön kaksivaiheista todennusta.
Totta, yksilöt ottavat paljon aktiivisemmin käyttöön 2FA:ta. Ensinnäkin heidän on helpompi rauhoittaa pelkonsa luottamalla älypuhelimiin sisäänrakennettuun biometriseen todentamiseen, joka on itse asiassa erittäin epäluotettava. Organisaatioiden on käytettävä rahaa rahakkeiden ostamiseen ja tehtävä (itse asiassa hyvin yksinkertaista) työtä niiden toteuttamiseksi. Ja toiseksi, vain laiskot eivät ole kirjoittaneet salasanavuodoista Facebookin ja Dropboxin kaltaisista palveluista, mutta näiden organisaatioiden tietohallintojohtajat eivät missään tapauksessa jaa tarinoita salasanojen varastamisesta (ja mitä tapahtui seuraavaksi) organisaatioissa.
Ne, jotka eivät käytä vahvaa todennusta, aliarvioivat riskinsä yritykselleen ja asiakkailleen. Jotkut organisaatiot, jotka eivät tällä hetkellä käytä vahvaa todennusta, pitävät kirjautumistunnuksia ja salasanoja yhtenä tehokkaimmista ja helpoimmista käyttäjien todennusmenetelmistä. Toiset eivät näe omistamansa digitaalisen omaisuuden arvoa. Loppujen lopuksi kannattaa ottaa huomioon, että kyberrikolliset ovat kiinnostuneita kaikista kuluttaja- ja yritystiedoista. Kaksi kolmasosaa yrityksistä, jotka käyttävät vain salasanoja työntekijöidensä todentamiseen, tekevät niin, koska he uskovat, että salasanat ovat riittävän hyviä suojattuun tietoon.
Salasanat ovat kuitenkin matkalla hautaan. Salasanariippuvuus on vähentynyt merkittävästi kuluneen vuoden aikana sekä kuluttaja- että yrityssovelluksissa (44 %:sta 31 %:iin ja vastaavasti 56 %:sta 47 %:iin), kun organisaatiot lisäävät perinteisen MFA:n ja vahvan todennuksen käyttöä.
Mutta jos katsomme tilannetta kokonaisuutena, haavoittuvat todennusmenetelmät ovat edelleen vallitsevia. Noin neljännes organisaatioista käyttää käyttäjien todentamiseen SMS OTP:tä (kertakäyttöinen salasana) turvakysymysten ohella. Tämän seurauksena haavoittuvuudelta suojaamiseksi on toteutettava lisäturvatoimenpiteitä, mikä lisää kustannuksia. Paljon turvallisempia todennusmenetelmiä, kuten laitteiston salausavaimia, käytetään paljon harvemmin, noin 5 %:ssa organisaatioista.
Kehittyvät sääntely-ympäristöt lupaavat nopeuttaa vahvan autentikoinnin käyttöönottoa kuluttajasovelluksissa. PSD2:n käyttöönoton sekä uusien tietosuojasääntöjen myötä EU:ssa ja useissa Yhdysvaltain osavaltioissa, kuten Kaliforniassa, yritykset tuntevat kuumuutta. Lähes 70 % yrityksistä on yhtä mieltä siitä, että he kohtaavat voimakasta sääntelypainetta tarjota asiakkailleen vahvaa todennusta. Yli puolet yrityksistä uskoo, että niiden todennusmenetelmät eivät muutaman vuoden sisällä riitä täyttämään viranomaisstandardeja.
Ero venäläisten ja amerikkalais-eurooppalaisten lainsäätäjien suhtautumisessa ohjelmien ja palvelujen käyttäjien henkilötietojen suojaamiseen on selvästi nähtävissä. Venäläiset sanovat: rakkaat palvelun omistajat, tehkää mitä haluatte ja miten haluatte, mutta jos järjestelmänvalvojanne yhdistää tietokannan, rankaisemme teitä. He sanovat ulkomailla: sinun on toteutettava joukko toimenpiteitä ei salli valuta pohja. Siksi siellä toteutetaan tiukkoja kaksivaiheisen todennuksen vaatimuksia.
On totta, ettei lainsäädäntökoneistomme jonakin päivänä tule järkiinsä ja ottaisi huomioon länsimaisen kokemuksen, on kaukana tosiasiasta. Sitten käy ilmi, että kaikkien on otettava käyttöön 2FA, joka noudattaa venäläisiä salausstandardeja, ja kiireellisesti.
Vahvan todennuskehyksen luominen antaa yrityksille mahdollisuuden siirtää painopisteensä sääntelyvaatimusten täyttämisestä asiakkaiden tarpeiden täyttämiseen. Niille organisaatioille, jotka käyttävät edelleen yksinkertaisia salasanoja tai vastaanottavat koodeja tekstiviestillä, tärkein tekijä todennustavan valinnassa on säännösten noudattaminen. Mutta ne yritykset, jotka jo käyttävät vahvaa todennusta, voivat keskittyä valitsemaan ne todennustavat, jotka lisäävät asiakasuskollisuutta.
Kun valitaan yrityksen todennusmenetelmä yrityksessä, viranomaisvaatimukset eivät ole enää merkittävä tekijä. Tässä tapauksessa integroinnin helppous (32 %) ja hinta (26 %) ovat paljon tärkeämpiä.
Tietojenkalastelun aikakaudella hyökkääjät voivat käyttää yrityksen sähköpostia huijaamiseen saada vilpillisesti pääsy tietoihin, tileihin (asianmukaisilla käyttöoikeuksilla) ja jopa saada työntekijät tekemään rahansiirron tililleen. Siksi yritysten sähköposti- ja portaalitilit on suojattava erityisen hyvin.
Google on vahvistanut turvallisuuttaan ottamalla käyttöön vahvan todennuksen. Yli kaksi vuotta sitten Google julkaisi raportin kaksivaiheisen todennuksen käyttöönotosta, joka perustuu FIDO U2F -standardia käyttäviin salausavaimiin, ja raportoi vaikuttavista tuloksista. Yhtiön mukaan yli 85 000 työntekijää vastaan ei suoritettu yhtään tietojenkalasteluhyökkäystä.
Suositukset
Ota käyttöön vahva todennus mobiili- ja verkkosovelluksissa. Salausavaimiin perustuva monitekijätodennus tarjoaa paljon paremman suojan hakkerointia vastaan kuin perinteiset MFA-menetelmät. Lisäksi salausavainten käyttö on paljon kätevämpää, koska ei tarvitse käyttää ja siirtää lisätietoja - salasanoja, kertaluonteisia salasanoja tai biometrisiä tietoja käyttäjän laitteelta todennuspalvelimelle. Lisäksi todennusprotokollien standardointi helpottaa uusien todennusmenetelmien käyttöönottoa niiden tullessa saataville, mikä vähentää toteutuskustannuksia ja suojaa kehittyneemmiltä petosjärjestelmiltä.
Valmistaudu kertakäyttöisten salasanojen (OTP) katoamiseen. OTP:iden haavoittuvuudet tulevat yhä selvemmiksi, kun verkkorikolliset käyttävät sosiaalista suunnittelua, älypuhelimien kloonausta ja haittaohjelmia vaarantaakseen nämä todennuskeinot. Ja jos OTP:llä on joissakin tapauksissa tiettyjä etuja, niin vain yleisen saatavuuden kannalta kaikille käyttäjille, mutta ei turvallisuuden kannalta.
On mahdotonta olla huomaamatta, että koodien vastaanottaminen tekstiviestillä tai push-ilmoituksilla sekä koodien luominen älypuhelimille tarkoitetuilla ohjelmilla on samojen kertaluonteisten salasanojen (OTP) käyttöä, joiden hylkäämiseen meitä pyydetään varautumaan. Tekniseltä kannalta ratkaisu on erittäin oikea, koska kyseessä on harvinainen huijari, joka ei yritä saada selville kertaluonteista salasanaa herkkäuskoiselta käyttäjältä. Mutta uskon, että tällaisten järjestelmien valmistajat pitävät kiinni kuolevasta teknologiasta viimeiseen asti.
Käytä vahvaa todennusta markkinointityökaluna lisätäksesi asiakkaiden luottamusta. Vahva todennus voi tehdä enemmän kuin vain parantaa yrityksesi todellista turvallisuutta. Asiakkaille ilmoittaminen siitä, että yrityksesi käyttää vahvaa todennusta, voi vahvistaa yleisön käsitystä yrityksen turvallisuudesta. Tämä on tärkeä tekijä, kun asiakkailla on suuri kysyntä vahvoille todennusmenetelmille.
Suorita yritystietojen perusteellinen inventointi ja kriittisyyden arviointi ja suojaa niitä tärkeyden mukaan. Jopa vähäriskiset tiedot, kuten asiakkaiden yhteystiedot (ei, todellakin, raportissa sanotaan "alhainen riski", on hyvin outoa, että he aliarvioivat tämän tiedon tärkeyden), voi tuoda huomattavia arvoja huijareille ja aiheuttaa ongelmia yritykselle.
Käytä vahvaa yritystodennusta. Monet järjestelmät ovat houkuttelevimpia kohteita rikollisille. Näitä ovat sisäiset ja Internetiin liitetyt järjestelmät, kuten kirjanpito-ohjelma tai yrityksen tietovarasto. Vahva todennus estää hyökkääjiä pääsemästä luvatta ja mahdollistaa myös tarkan määrityksen, kuka työntekijä on syyllistynyt haitalliseen toimintaan.
Mikä on vahva todennus?
Vahvaa todennusta käytettäessä käyttäjän aitouden varmentamiseen käytetään useita menetelmiä tai tekijöitä:
- Tietotekijä: jaettu salaisuus käyttäjän ja käyttäjän todetun kohteen välillä (kuten salasanat, vastaukset turvakysymyksiin jne.)
- Omistustekijä: laite, joka on vain käyttäjällä (esimerkiksi mobiililaite, salausavain jne.)
- Eheystekijä: käyttäjän fyysiset (usein biometriset) ominaisuudet (esimerkiksi sormenjälki, iiriskuvio, ääni, käyttäytyminen jne.)
Tarve hakkeroida useita tekijöitä lisää suuresti hyökkääjien epäonnistumisen todennäköisyyttä, koska eri tekijöiden ohittaminen tai huijaaminen edellyttää monentyyppisten hakkerointitaktiikkojen käyttämistä kullekin tekijälle erikseen.
Esimerkiksi 2FA:n "salasana + älypuhelin" avulla hyökkääjä voi suorittaa todennuksen katsomalla käyttäjän salasanaa ja tekemällä tarkan ohjelmistokopion hänen älypuhelimestaan. Ja tämä on paljon vaikeampaa kuin pelkkä salasanan varastaminen.
Mutta jos salasanaa ja salaustunnusta käytetään 2FA: lle, kopiointivaihtoehto ei toimi täällä - tokenin kopioiminen on mahdotonta. Huijarin on varastettava tunnus käyttäjältä. Jos käyttäjä huomaa katoamisen ajoissa ja ilmoittaa asiasta järjestelmänvalvojalle, tunnus estetään ja huijarin ponnistelut ovat turhia. Tästä syystä omistustekijä edellyttää erityisten suojattujen laitteiden (tokenien) käyttöä yleislaitteiden (älypuhelimien) sijaan.
Kaikkien kolmen tekijän käyttäminen tekee tästä todennusmenetelmästä melko kalliin toteuttaa ja melko hankalan käyttää. Siksi käytetään yleensä kahta kolmesta tekijästä.
Kaksivaiheisen todennuksen periaatteet kuvataan tarkemmin , "Kuinka kaksivaiheinen todennus toimii" -lohkossa.
On tärkeää huomata, että ainakin yhden vahvassa autentikaatiossa käytetyistä todennustekijöistä on käytettävä julkisen avaimen salausta.
Vahva todennus tarjoaa paljon vahvemman suojan kuin yksivaiheinen todennus, joka perustuu klassisiin salasanoihin ja perinteiseen MFA:han. Salasanoja voidaan vakoilla tai siepata käyttämällä näppäinloggereja, tietojenkalastelusivustoja tai manipulointihyökkäyksiä (joissa uhria huijataan paljastamaan salasanansa). Lisäksi salasanan omistaja ei tiedä varkaudesta mitään. Perinteinen MFA (mukaan lukien OTP-koodit, älypuhelimeen tai SIM-korttiin sitominen) voidaan myös hakkeroida melko helposti, koska se ei perustu julkisen avaimen salaukseen (Muuten, on monia esimerkkejä siitä, kun huijarit saivat käyttäjiä antamaan heille kertaluonteisen salasanan käyttämällä samoja manipulointitekniikoita.).
Onneksi vahvan autentikoinnin ja perinteisen MFA:n käyttö on yleistynyt niin kuluttaja- kuin yrityssovelluksissa viime vuodesta lähtien. Vahvan autentikoinnin käyttö kuluttajasovelluksissa on kasvanut erityisen nopeasti. Jos vuonna 2017 vain 5 % yrityksistä käytti sitä, niin vuonna 2018 se oli jo kolme kertaa enemmän – 16 %. Tämä voidaan selittää julkisen avaimen salausalgoritmeja (PKC) tukevien tokenien lisääntyneellä saatavuudella. Lisäksi uusien tietosuojasääntöjen, kuten PSD2:n ja GDPR:n, käyttöönoton seurauksena lisääntynyt eurooppalaisten sääntelyviranomaisten painostus on vaikuttanut voimakkaasti myös Euroopan ulkopuolella (myös Venäjällä).
Katsotaanpa näitä lukuja tarkemmin. Kuten näemme, monitekijätodennusta käyttävien yksityishenkilöiden osuus on kasvanut vaikuttavat 11 % vuoden aikana. Ja tämä tapahtui selvästi salasanojen ystävien kustannuksella, koska Push-ilmoitusten, tekstiviestien ja biometristen tietojen turvallisuuteen uskovien määrä ei ole muuttunut.
Mutta yrityskäyttöön tarkoitetun kaksivaiheisen todennuksen kanssa asiat eivät ole niin hyvin. Ensinnäkin raportin mukaan vain 5 % työntekijöistä siirtyi salasanatodennuksesta tokeneihin. Ja toiseksi vaihtoehtoisia MFA-vaihtoehtoja yritysympäristössä käyttävien määrä on lisääntynyt 4 %.
Yritän pelata analyytikkoa ja antaa tulkintani. Yksittäisten käyttäjien digitaalisen maailman keskiössä on älypuhelin. Siksi ei ole ihme, että suurin osa käyttää laitteen tarjoamia ominaisuuksia - biometristä todennusta, SMS- ja Push-ilmoituksia sekä itse älypuhelimen sovellusten luomia kertaluonteisia salasanoja. Ihmiset eivät yleensä ajattele turvallisuutta ja luotettavuutta käyttäessään työkaluja, joihin he ovat tottuneet.
Tästä syystä primitiivisten "perinteisten" todennustekijöiden käyttäjien prosenttiosuus pysyy ennallaan. Mutta ne, jotka ovat aiemmin käyttäneet salasanoja, ymmärtävät, kuinka paljon he riskeeraavat, ja valitessaan uutta todennustekijää he valitsevat uusimman ja turvallisimman vaihtoehdon - kryptografisen tunnuksen.
Yritysmarkkinoiden osalta on tärkeää ymmärtää, mihin järjestelmään todennus suoritetaan. Jos kirjautuminen Windows-toimialueelle on toteutettu, käytetään salaustunnuksia. Mahdollisuudet käyttää niitä 2FA:ssa on jo sisäänrakennettuna sekä Windowsissa että Linuxissa, mutta vaihtoehtoiset vaihtoehdot ovat pitkiä ja vaikeita toteuttaa. Niin paljon 5 %:n siirtymisestä salasanoista tunnuksiin.
Ja 2FA:n käyttöönotto yrityksen tietojärjestelmässä riippuu suuresti kehittäjien pätevyydestä. Ja kehittäjien on paljon helpompaa ottaa valmiita moduuleja kertaluonteisten salasanojen luomiseen kuin ymmärtää salausalgoritmien toimintaa. Tämän seurauksena jopa uskomattoman turvallisuuskriittiset sovellukset, kuten Single Sign-On tai Privileged Access Management -järjestelmät, käyttävät OTP:tä toisena tekijänä.
Useita haavoittuvuuksia perinteisissä todennusmenetelmissä
Vaikka monet organisaatiot ovat edelleen riippuvaisia vanhoista yksitekijäjärjestelmistä, perinteisen monitekijätodennuksen haavoittuvuudet ovat yhä ilmeisempiä. Kertakäyttöiset, tyypillisesti kuudesta kahdeksaan merkin pituiset salasanat, jotka toimitetaan tekstiviestinä, ovat edelleen yleisin todennustapa (tietysti salasanatekijän lisäksi). Ja kun sanat "kaksivaiheinen todennus" tai "kaksivaiheinen varmennus" mainitaan suositussa lehdistössä, ne viittaavat melkein aina SMS-kertakäyttöiseen salasanatodennukseen.
Tässä kirjoittaja on hieman väärässä. Kertaluonteisten salasanojen toimittaminen tekstiviestillä ei ole koskaan ollut kaksivaiheista todennusta. Tämä on puhtaimmassa muodossaan kaksivaiheisen todennuksen toinen vaihe, jossa ensimmäinen vaihe on käyttäjätunnuksen ja salasanan syöttäminen.
Vuonna 2016 National Institute of Standards and Technology (NIST) päivitti todennussäännönsä poistaakseen tekstiviestillä lähetettyjen kertaluonteisten salasanojen käytön. Näitä sääntöjä kuitenkin lievennettiin merkittävästi teollisuuden protestien seurauksena.
No, seurataan juonia. Amerikkalainen sääntelyviranomainen myöntää aivan oikein, että vanhentunut tekniikka ei pysty takaamaan käyttäjien turvallisuutta, ja ottaa käyttöön uusia standardeja. Standardit, jotka on suunniteltu suojaamaan verkko- ja mobiilisovellusten käyttäjiä (mukaan lukien pankkisovellukset). Teollisuus laskee, kuinka paljon rahaa sen on käytettävä todella luotettavien salaustunnusten ostamiseen, sovellusten uudelleensuunnitteluun, julkisen avaimen infrastruktuurin käyttöönottoon, ja se "nousee takajaloillaan". Yhtäältä käyttäjät olivat vakuuttuneita kertakäyttöisten salasanojen luotettavuudesta, ja toisaalta hyökkäyksiä tehtiin NIST:ää vastaan. Tämän seurauksena standardia pehmennettiin, ja salasanojen (ja pankkisovellusten rahan) hakkerointien ja varkauksien määrä kasvoi jyrkästi. Mutta alan ei tarvinnut maksaa rahaa.
Sittemmin SMS OTP:n luontaiset heikkoudet ovat tulleet selvemmiksi. Huijarit käyttävät erilaisia tapoja vaarantaa tekstiviestit:
- SIM-kortin kopiointi. Hyökkääjät luovat kopion SIM-kortista (matkapuhelinoperaattorin työntekijöiden avulla tai itsenäisesti erityisillä ohjelmistoilla ja laitteistoilla). Tämän seurauksena hyökkääjä saa tekstiviestin, jossa on kertakäyttöinen salasana. Yhdessä erityisen kuuluisassa tapauksessa hakkerit pystyivät jopa vaarantamaan kryptovaluuttasijoittajan Michael Turpinin AT&T-tilin ja varastamaan lähes 24 miljoonaa dollaria kryptovaluuttoja. Tämän seurauksena Turpin totesi, että AT&T oli syyllinen heikkojen tarkistustoimenpiteiden vuoksi, jotka johtivat SIM-kortin päällekkäisyyteen.
Ihme logiikkaa. Onko se siis todellakin vain AT&T:n vika? Ei, se on epäilemättä matkapuhelinoperaattorin vika, että viestintäliikkeen myyjät myönsivät SIM-kortin kaksoiskappaleen. Entä kryptovaluuttapörssin todennusjärjestelmä? Miksi he eivät käyttäneet vahvoja kryptografisia tunnuksia? Oliko sääli tuhlata rahaa toteutukseen? Eikö Michael itse ole syyllinen? Miksi hän ei vaatinut todennusmekanismin muuttamista tai käyttänyt vain niitä vaihtoja, jotka toteuttavat kaksivaiheisen todentamisen salaustokeneihin perustuvan?
Todella luotettavien todennusmenetelmien käyttöönotto viivästyy juuri siksi, että käyttäjät osoittavat hämmästyttävää välinpitämättömyyttä ennen hakkerointia, ja sen jälkeen he syyttävät ongelmistaan kaikkia ja mitä tahansa muuta kuin ikivanhoja ja "vuotavia" todennustekniikoita
- Haittaohjelma. Yksi mobiilihaittaohjelmien varhaisimmista tehtävistä oli siepata ja välittää tekstiviestejä hyökkääjille. Man-in-the-browser- ja man-in-the-middle-hyökkäykset voivat myös siepata kertaluonteisia salasanoja, kun ne syötetään tartunnan saaneelle kannettavalle tietokoneelle tai pöytäkoneelle.
Kun älypuhelimesi Sberbank-sovellus vilkkuu vihreää kuvaketta tilapalkissa, se etsii myös "haittaohjelmia" puhelimestasi. Tapahtuman tavoitteena on muuttaa tyypillisen älypuhelimen epäluotettava suoritusympäristö ainakin jollain tavalla luotettavaksi.
Muuten, älypuhelin, täysin epäluotettavana laitteena, jolla voidaan tehdä mitä tahansa, on toinen syy käyttää sitä todentamiseen vain laitteistotunnukset, jotka ovat suojattuja ja vapaita viruksista ja troijalaisista. - Sosiaalinen suunnittelu. Kun huijarit tietävät, että uhrilla on tekstiviestillä käytössä OTP:t, he voivat ottaa suoraan yhteyttä uhriin ja esiintyä luotetussa organisaatiossa, kuten pankissa tai luottoyhtiössä, huijatakseen uhrin antamaan juuri saamansa koodin.
Olen henkilökohtaisesti törmännyt tällaiseen huijaukseen monta kertaa, esimerkiksi yrittäessäni myydä jotain suositulla online-kirpputorilla. Itse nauroin pettäjälle, joka yritti huijata minua sydämeni kyllyydestä. Mutta valitettavasti luen säännöllisesti uutisista, kuinka jälleen yksi huijareiden uhri "ei ajatellut", antoi vahvistuskoodin ja menetti suuren summan. Ja kaikki tämä johtuu siitä, että pankki ei yksinkertaisesti halua käsitellä kryptografisten tokenien käyttöönottoa sovelluksissaan. Loppujen lopuksi, jos jotain tapahtuu, asiakkaiden "on syyllinen itseensä".
Vaikka vaihtoehtoiset OTP-toimitustavat voivat lieventää joitakin tämän todennusmenetelmän haavoittuvuuksia, muita haavoittuvuuksia on edelleen. Itsenäiset koodinluontisovellukset ovat paras suoja salakuuntelua vastaan, koska edes haittaohjelmat tuskin pystyvät olemaan suoraan vuorovaikutuksessa koodigeneraattorin kanssa (vakavasti? Unohtiko raportin kirjoittaja kaukosäätimen?), mutta OTP:t voidaan silti siepata, kun ne syötetään selaimeen (esimerkiksi keyloggerin avulla), hakkeroidun mobiilisovelluksen kautta; ja se voidaan saada myös suoraan käyttäjältä sosiaalisen manipuloinnin avulla.
Käyttämällä useita riskinarviointityökaluja, kuten laitteen tunnistusta (havaitsevat yritykset suorittaa tapahtumia laitteista, jotka eivät kuulu lailliselle käyttäjälle), maantieteellinen sijainti (juuri Moskovassa ollut käyttäjä yrittää suorittaa leikkauksen Novosibirskista) ja käyttäytymisanalytiikka ovat tärkeitä haavoittuvuuksien korjaamisessa, mutta kumpikaan ratkaisu ei ole ihmelääke. Jokaisen tilanteen ja tietotyypin osalta on tarpeen arvioida huolellisesti riskit ja valita käytettävä todennustekniikka.
Mikään todennusratkaisu ei ole ihmelääke
Kuva 2. Todennusvaihtoehtotaulukko
| todennus | Tekijä | Kuvaus | Tärkeimmät haavoittuvuudet |
| Salasana tai PIN-koodi | Tieto | Kiinteä arvo, joka voi sisältää kirjaimia, numeroita ja joukon muita merkkejä | Voidaan siepata, vakoilla, varastaa, poimia tai hakkeroida |
| Tietoon perustuva todennus | Tieto | Kyseenalaistaa vastauksia, joihin vain laillinen käyttäjä voi tietää | Voidaan siepata, poimia, saada sosiaalisen manipuloinnin menetelmillä |
| Laitteiston OTP () | Hallinta | Erityinen laite, joka luo kertaluonteisia salasanoja | Koodi voidaan siepata ja toistaa, tai laite voidaan varastaa |
| Ohjelmiston OTP:t | Hallinta | Sovellus (mobiili, selaimella käytettävä tai koodien lähettäminen sähköpostitse), joka luo kertaluonteisia salasanoja | Koodi voidaan siepata ja toistaa, tai laite voidaan varastaa |
| SMS OTP | Hallinta | Kertakäyttöinen salasana toimitetaan tekstiviestillä | Koodi voidaan siepata ja toistaa, tai älypuhelin tai SIM-kortti voidaan varastaa tai SIM-kortti voidaan kopioida |
| Älykortit () | Hallinta | Kortti, joka sisältää kryptografisen sirun ja suojatun avainmuistin, joka käyttää todentamiseen julkisen avaimen infrastruktuuria | Saattaa olla fyysisesti varastettu (mutta hyökkääjä ei voi käyttää laitetta tietämättä PIN-koodia; jos useita virheellisiä syöttöyrityksiä yritetään, laite estetään) |
| Suojausavaimet - tunnukset (, ) | Hallinta | USB-laite, joka sisältää kryptografisen sirun ja suojatun avainmuistin, joka käyttää todentamiseen julkisen avaimen infrastruktuuria | Voidaan varastaa fyysisesti (mutta hyökkääjä ei voi käyttää laitetta tietämättä PIN-koodia; useiden virheellisten sisääntuloyritysten tapauksessa laite lukitaan) |
| Linkittäminen laitteeseen | Hallinta | Prosessi, joka luo profiilin käyttämällä usein JavaScriptiä tai käyttämällä merkkejä, kuten evästeitä ja Flash Shared Objects -tiedostoja varmistaakseen, että tiettyä laitetta käytetään | Tunnuksia voidaan varastaa (kopioida) ja hyökkääjä voi matkia laillisen laitteen ominaisuuksia laitteessaan |
| käytös | Inherence | Analysoi, kuinka käyttäjä on vuorovaikutuksessa laitteen tai ohjelman kanssa | Käyttäytymistä voi jäljitellä |
| Sormenjäljet | Inherence | Tallennettuja sormenjälkiä verrataan optisesti tai elektronisesti tallennettuihin sormenjälkiin | Kuva voidaan varastaa ja käyttää todentamiseen |
| Silmän skannaus | Inherence | Vertaa silmien ominaisuuksia, kuten iiriskuviota, uusiin optisiin skannauksiin | Kuva voidaan varastaa ja käyttää todentamiseen |
| Kasvojen tunnistus | Inherence | Kasvojen ominaisuuksia verrataan uusiin optisiin skannauksiin | Kuva voidaan varastaa ja käyttää todentamiseen |
| Äänentunnistus | Inherence | Tallennetun ääninäytteen ominaisuuksia verrataan uusiin näytteisiin | Tietue voidaan varastaa ja käyttää todentamiseen tai emuloida |
Julkaisun toisessa osassa meitä odottavat herkullisimmat asiat - numerot ja faktat, joihin ensimmäisessä osassa esitetyt johtopäätökset ja suositukset perustuvat. Todennusta käyttäjäsovelluksissa ja yritysjärjestelmissä käsitellään erikseen.
Nähdään pian!
Lähde: will.com