Spoiler fan 'e titel fan it rapport: "Gebrûk fan sterke autentikaasje nimt ta troch bedriging fan nije risiko's en regeljouwingseasken."
It ûndersyksbedriuw "Javelin Strategy & Research" publisearre it rapport "The State of Strong Authentication 2019" (). Dit rapport seit: hokker persintaazje Amerikaanske en Europeeske bedriuwen brûke wachtwurden (en wêrom in pear minsken brûke wachtwurden no); wêrom it brûken fan twa-faktor autentikaasje basearre op kryptografyske tokens sa fluch groeit; Wêrom ienmalige koades ferstjoerd fia SMS binne net feilich.
Elkenien dy't ynteressearre is yn it hjoeddeistige, ferline en takomst fan autentikaasje yn bedriuwen en konsuminteapplikaasjes is wolkom.
Fan de oersetter
Och, de taal dêr't dit rapport yn skreaun is, is frij "droech" en formeel. En it fiif kear gebrûk fan it wurd "autentikaasje" yn ien koarte sin is net de kromme hannen (of harsens) fan 'e oersetter, mar de wille fan 'e auteurs. By it oersetten fan twa opsjes - om lêzers in tekst tichter by it orizjineel te jaan, of in nijsgjirriger, keas ik soms de earste, en soms de twadde. Mar wês geduld, bêste lêzers, de ynhâld fan it rapport is it wurdich.
Guon ûnwichtige en ûnnedige stikken foar it ferhaal binne fuorthelle, oars hie de mearderheid net troch de hiele tekst komme kinnen. Wa't it rapport "ûnbesnien" lêze wol, kin dat dwaan yn 'e oarspronklike taal troch de keppeling te folgjen.
Spitigernôch binne skriuwers net altyd foarsichtich mei terminology. Sa wurde ienmalige wachtwurden (One Time Password - OTP) soms "wachtwurden" neamd, en soms "koades". It is noch slimmer mei autentikaasjemetoaden. It is net altyd maklik foar de untrained lêzer om te rieden dat "ferifikaasje mei kryptografyske kaaien" en "sterke autentikaasje" itselde ding binne. Ik besocht de termen safolle mooglik te ferienigjen, en yn it rapport sels stiet in fragmint mei har beskriuwing.
It rapport wurdt lykwols tige oanrikkemandearre om te lêzen, om't it unike ûndersyksresultaten en korrekte konklúzjes befettet.
Alle sifers en feiten wurde presintearre sûnder de minste feroarings, en as jo it net iens binne, dan is it better om net mei de oersetter te pleitsjen, mar mei de skriuwers fan it rapport. En hjir binne myn opmerkingen (oplein as sitaten, en markearre yn 'e tekst Italiaansk) binne myn weardeoardiel en ik sil graach oer elk fan har (lykas oer de kwaliteit fan 'e oersetting) argumearje.
oersjoch
Tsjintwurdich binne digitale kommunikaasjekanalen mei klanten wichtiger dan ea foar bedriuwen. En binnen it bedriuw is de kommunikaasje tusken meiwurkers mear digitaal rjochte dan ea earder. En hoe feilich dizze ynteraksjes sille wêze, hinget ôf fan 'e keazen metoade foar brûkersferifikaasje. Oanfallers brûke swakke autentikaasje om brûkersaccounts massaal te hacken. As antwurd strakkerje regulators noarmen oan om bedriuwen te twingen om brûkersakkounts en gegevens better te beskermjen.
Autentikaasje-relatearre bedrigingen wreidzje fierder as konsumintapplikaasjes; oanfallers kinne ek tagong krije ta applikaasjes dy't rinne binnen it bedriuw. Dizze operaasje lit se har bedriuwsbrûkers foarstelle. Oanfallers dy't tagongspunten brûke mei swakke autentikaasje kinne gegevens stelle en oare frauduleuze aktiviteiten útfiere. Gelokkich binne der maatregels om dit tsjin te gean. Sterke autentikaasje sil helpe om it risiko fan oanfal troch in oanfaller signifikant te ferminderjen, sawol op konsuminteapplikaasjes as op bedriuwssystemen.
Dizze stúdzje ûndersiket: hoe't bedriuwen autentikaasje implementearje om ein-brûkersapplikaasjes en bedriuwssystemen te beskermjen; faktoaren dy't se beskôgje by it kiezen fan in autentikaasje-oplossing; de rol dy't sterke autentikaasje spilet yn har organisaasjes; de foardielen dy't dizze organisaasjes krije.
Gearfetting
Key Findings
Sûnt 2017 is it gebrûk fan sterke autentikaasje flink tanommen. Mei it tanimmend oantal kwetsberens dat tradisjonele autentikaasje-oplossingen beynfloedet, fersterkje organisaasjes har autentikaasjemooglikheden mei sterke autentikaasje. It oantal organisaasjes dat kryptografyske multi-faktor autentikaasje (MFA) brûkt is sûnt 2017 fertrijefâldige foar konsuminteapplikaasjes en tanommen mei hast 50% foar bedriuwsapplikaasjes. De rapste groei wurdt sjoen yn mobile autentikaasje fanwegen de tanimmende beskikberens fan biometryske autentikaasje.
Hjir sjogge wy in yllustraasje fan it sprekwurd "oant de tonger slacht, sil in man himsels net krúsje." Doe't saakkundigen warskôgen oer de ûnfeiligens fan wachtwurden, wie gjinien haast om twa-faktora-autentikaasje út te fieren. Sadree't hackers begonen wachtwurden te stellen, begûnen minsken twa-faktora-autentikaasje te ymplementearjen.
Wier, partikulieren implementearje 2FA folle mear aktyf. As earste is it makliker foar har om har eangsten te kalmearjen troch te fertrouwen op 'e biometryske autentikaasje ynboud yn smartphones, wat yn feite heul ûnbetrouber is. Organisaasjes moatte jild útjaan oan it keapjen fan tokens en wurk (feitlik heul ienfâldich) útfiere om se út te fieren. En twad, allinne luie lju hawwe net skreaun oer wachtwurdlekken fan tsjinsten lykas Facebook en Dropbox, mar ûnder gjin omstannichheden sille de CIO's fan dizze organisaasjes ferhalen diele oer hoe't wachtwurden stellen binne (en wat der dêrnei barde) yn organisaasjes.
Dejingen dy't gjin sterke autentikaasje brûke, ûnderskatte har risiko foar har bedriuw en klanten. Guon organisaasjes dy't op it stuit gjin sterke autentikaasje brûke, hawwe de neiging om logins en wachtwurden te besjen as ien fan 'e meast effektive en maklik te brûken metoaden foar brûkersautentikaasje. Oaren sjogge de wearde net fan 'e digitale aktiva dy't se hawwe. It is ommers it wurdich te beskôgjen dat cyberkriminelen ynteressearre binne yn elke konsumint- en saaklike ynformaasje. Twa-tredde fan bedriuwen dy't allinich wachtwurden brûke om har meiwurkers te autentisearjen, dogge dat om't se leauwe dat de wachtwurden goed genôch binne foar it type ynformaasje dat se beskermje.
Wachtwurden binne lykwols op wei nei it grêf. Wachtwurdôfhinklikens is it ôfrûne jier signifikant sakke foar sawol konsumint- as bedriuwsapplikaasjes (fan respektivelik 44% nei 31%, en fan 56% nei 47%), om't organisaasjes har gebrûk fan tradisjonele MFA en sterke autentikaasje ferheegje.
Mar as wy nei de situaasje as gehiel sjogge, hearskje noch kwetsbere autentikaasjemetoaden. Foar brûkersautentikaasje brûkt sawat in kwart fan organisaasjes SMS OTP (ienmalige wachtwurd) tegearre mei feiligensfragen. Dêrtroch moatte ekstra befeiligingsmaatregels útfierd wurde om te beskermjen tsjin de kwetsberens, wat de kosten ferheget. It brûken fan folle feiliger autentikaasjemetoaden, lykas hardware kryptografyske kaaien, wurdt folle minder faak brûkt, yn sawat 5% fan organisaasjes.
De evoluearjende regeljouwingsomjouwing belooft de oanname fan sterke autentikaasje foar konsuminteapplikaasjes te versnellen. Mei de ynfiering fan PSD2, lykas nije regels foar gegevensbeskerming yn 'e EU en ferskate Amerikaanske steaten lykas Kalifornje, fiele bedriuwen de waarmte. Hast 70% fan bedriuwen iens dat se te krijen hawwe mei sterke regeljouwingsdruk om sterke autentikaasje te leverjen oan har klanten. Mear dan de helte fan 'e bedriuwen is fan betinken dat binnen in pear jier har autentikaasjemetoaden net genôch sille wêze om te foldwaan oan regeljouwingsnormen.
It ferskil yn 'e oanpak fan Russyske en Amerikaanske-Jeropeeske wetjouwers foar de beskerming fan persoanlike gegevens fan brûkers fan programma's en tsjinsten is dúdlik sichtber. De Russen sizze: bêste tsjinsteigners, doch wat jo wolle en hoe't jo wolle, mar as jo admin de databank fusearret, sille wy jo straffen. Se sizze yn it bûtenlân: jo moatte útfiere in set fan maatregels dy't sil net tastean drain de basis. Dêrom wurde dêr easken ynsteld foar strange twa-faktor autentikaasje.
Wier, it is fier fan in feit dat ús wetjouwende masine ien dei net ta syn sinnen komt en rekken hâldt mei westerske ûnderfining. Dan docht bliken dat elkenien 2FA moat ymplementearje, dy't foldocht oan Russyske kryptografyske noarmen, en driuwend.
It oprjochtsjen fan in sterk autentikaasjekader lit bedriuwen har fokus ferpleatse fan foldwaan oan regeljouwingeasken nei foldwaan oan behoeften fan klanten. Foar dy organisaasjes dy't noch altyd ienfâldige wachtwurden brûke of koaden fia SMS ûntfange, sil de wichtichste faktor by it kiezen fan in autentikaasjemetoade it neilibjen fan regeljouwingeasken wêze. Mar dy bedriuwen dy't al sterke autentikaasje brûke, kinne har rjochtsje op it kiezen fan dy autentikaasjemetoaden dy't de klantloyaliteit ferheegje.
By it kiezen fan in metoade foar bedriuwsferifikaasje binnen in bedriuw, binne regeljouwingseasken net langer in wichtige faktor. Yn dit gefal binne gemak fan yntegraasje (32%) en kosten (26%) folle wichtiger.
Yn it tiidrek fan phishing kinne oanfallers bedriuws-e-post brûke om scam te meitsjen om frauduleus tagong te krijen ta gegevens, akkounts (mei passende tagongsrjochten), en sels meiwurkers oertsjûgje om in jildoerdracht te meitsjen nei syn akkount. Dêrom moatte bedriuws-e-post- en portalakkounts foaral goed beskerme wurde.
Google hat har feiligens fersterke troch it ymplementearjen fan sterke autentikaasje. Mear as twa jier lyn publisearre Google in rapport oer de ymplemintaasje fan twa-faktora-autentikaasje basearre op kryptografyske befeiligingskaaien mei de FIDO U2F-standert, en rapporteart yndrukwekkende resultaten. Neffens it bedriuw is net ien phishing-oanfal útfierd tsjin mear as 85 meiwurkers.
oanbefellings
Implementearje sterke autentikaasje foar mobile en online applikaasjes. Multi-faktor autentikaasje basearre op kryptografyske kaaien leveret folle bettere beskerming tsjin hacking dan tradisjonele MFA-metoaden. Derneist is it gebrûk fan kryptografyske kaaien folle handiger, om't d'r gjin need is om ekstra ynformaasje te brûken en oer te dragen - wachtwurden, ienmalige wachtwurden of biometryske gegevens fan it apparaat fan 'e brûker nei de autentikaasjetsjinner. Derneist makket standerdisearring fan autentikaasjeprotokollen it folle makliker om nije autentikaasjemetoaden te ymplementearjen as se beskikber wurde, it ferminderjen fan ymplemintaasjekosten en beskermjen tsjin mear ferfine fraudeskema's.
Tariede op it ferstjerren fan ienmalige wachtwurden (OTP). De kwetsberens dy't ynherinte binne oan OTP's wurde hieltyd dúdliker as cyberkriminelen sosjale engineering, smartphone-klonen en malware brûke om dizze middels fan autentikaasje te kompromittearjen. En as OTP's yn guon gefallen bepaalde foardielen hawwe, dan allinich út it eachpunt fan universele beskikberens foar alle brûkers, mar net út it eachpunt fan feiligens.
It is ûnmooglik net te merken dat it ûntfangen fan koades fia SMS of Push-notifikaasjes, lykas it generearjen fan koades mei help fan programma's foar smartphones, it gebrûk is fan deselde ienmalige wachtwurden (OTP) wêrfoar't wy wurde frege om te tarieden op 'e delgong. Fan in technysk eachpunt is de oplossing tige korrekt, om't it in seldsume oplichter is dy't net besiket it ienmalige wachtwurd te finen fan in goedleaze brûker. Mar ik tink dat fabrikanten fan sokke systemen sille fêsthâlde oan stjerrende technology oant de lêste.
Brûk sterke autentikaasje as marketingynstrumint om it fertrouwen fan klanten te ferheegjen. Sterke autentikaasje kin mear dwaan dan allinich de eigentlike feiligens fan jo bedriuw ferbetterje. Klanten ynformearje dat jo bedriuw sterke autentikaasje brûkt, kin de publike persepsje fan 'e feiligens fan dat bedriuw fersterkje - in wichtige faktor as d'r in signifikante fraach fan klanten is foar sterke autentikaasjemetoaden.
Fier in yngeande ynventarisaasje en beoardieling fan kritykens fan bedriuwsgegevens en beskermje it neffens belang. Sels gegevens mei leech risiko lykas kontaktynformaasje fan klanten (nee, echt, it rapport seit "leech risiko", it is heul nuver dat se it belang fan dizze ynformaasje ûnderskatte), kin wichtige wearde bringe foar fraudeurs en problemen foar it bedriuw feroarsaakje.
Brûk sterke ûndernimmingsferifikaasje. In oantal systemen binne de meast oantreklike doelen foar kriminelen. Dizze omfetsje ynterne en ynternet-ferbûne systemen lykas in boekhâldingsprogramma of in bedriuwsdatapakhús. Sterke autentikaasje foarkomt dat oanfallers sûnder foech tagong krije, en makket it ek mooglik om sekuer te bepalen hokker meiwurker de kweade aktiviteit begien hat.
Wat is sterke autentikaasje?
By it brûken fan sterke autentikaasje wurde ferskate metoaden of faktoaren brûkt om de autentisiteit fan de brûker te ferifiearjen:
- Kennisfaktor: dield geheim tusken de brûker en it autentike ûnderwerp fan de brûker (lykas wachtwurden, antwurden op feiligensfragen, ensfh.)
- Eigendom faktor: in apparaat dat allinich de brûker hat (bygelyks in mobyl apparaat, in kryptografyske kaai, ensfh.)
- Yntegriteit faktor: fysike (faak biometryske) skaaimerken fan 'e brûker (bygelyks fingerprint, irispatroan, stim, gedrach, ensfh.)
De needsaak om meardere faktoaren te hacken fergruttet de kâns op mislearring foar oanfallers gâns, om't it omgean of ferrifeljen fan ferskate faktoaren fereasket it brûken fan meardere soarten hackingtaktyk, foar elke faktor apart.
Bygelyks, mei 2FA "wachtwurd + smartphone", kin in oanfaller autentikaasje útfiere troch te sjen nei it wachtwurd fan 'e brûker en it meitsjen fan in krekte softwarekopy fan syn smartphone. En dit is folle dreger dan gewoan in wachtwurd stellen.
Mar as in wachtwurd en in kryptografysk token wurde brûkt foar 2FA, dan wurket de kopiearje-opsje hjir net - it is ûnmooglik om it token te duplikearjen. De fraudeur sil it token fan 'e brûker stealthily moatte stelle. As de brûker it ferlies op 'e tiid merkt en de admin ynformearret, sil it token wurde blokkearre en de ynspanningen fan' e fraudeur sille om 'e nocht wêze. Dit is de reden dat de eigendomsfaktor it brûken fan spesjalisearre feilige apparaten (tokens) fereasket ynstee fan apparaten foar algemiene doelen (smartphones).
It brûken fan alle trije faktoaren sil dizze autentikaasjemetoade frij djoer meitsje om te ymplementearjen en frij ûngemaklik te brûken. Dêrom wurde meast twa fan de trije faktoaren brûkt.
De prinsipes fan twa-faktor autentikaasje wurde yn mear detail beskreaun , yn it blok "Hoe twa-faktor autentikaasje wurket".
It is wichtich om te notearjen dat op syn minst ien fan 'e autentikaasjefaktoaren dy't brûkt wurde yn sterke autentikaasje moat kryptografy fan iepenbiere kaai brûke.
Sterke autentikaasje leveret folle sterkere beskerming dan ienfaktorautentikaasje basearre op klassike wachtwurden en tradisjonele MFA. Wachtwurden kinne wurde bispiede of ûnderskept mei help fan keyloggers, phishing-sites, of sosjale yngenieuroanfallen (wêr't it slachtoffer wurdt ferrifelje om har wachtwurd te iepenbierjen). Boppedat sil de eigner fan it wachtwurd neat witte oer de stellerij. Tradisjoneel MFA (ynklusyf OTP-koades, binend oan in smartphone of SIM-kaart) kin ek frij maklik hacked wurde, om't it net basearre is op publike kaai-kryptografy (Trouwens, d'r binne in protte foarbylden wannear't, mei deselde sosjale technyktechniken, oplichters brûkers oertsjûge om har in ienmalige wachtwurd te jaan).
Gelokkich hat it gebrûk fan sterke autentikaasje en tradisjonele MFA sûnt ferline jier traksje wûn yn sawol konsumint- as bedriuwsapplikaasjes. It gebrûk fan sterke autentikaasje yn konsumintapplikaasjes is benammen rap groeid. As yn 2017 mar 5% fan 'e bedriuwen it brûkte, dan wie it yn 2018 al trije kear mear - 16%. Dit kin ferklearre wurde troch de ferhege beskikberens fan tokens dy't algoritmen foar Public Key Cryptography (PKC) stypje. Derneist hat ferhege druk fan Jeropeeske tafersjochhâlders nei it oannimmen fan nije regels foar gegevensbeskerming lykas PSD2 en GDPR in sterk effekt hân sels bûten Jeropa (ynklusyf yn Ruslân).
Litte wy dizze sifers in tichterby besjen. Lykas wy kinne sjen, is it persintaazje partikulieren dy't multyfaktorautentikaasje brûke, yn 't jier groeid mei in yndrukwekkende 11%. En dit barde dúdlik op kosten fan wachtwurdleafhawwers, om't de nûmers fan dyjingen dy't leauwe yn 'e feiligens fan Push-notifikaasjes, SMS en biometrie binne net feroare.
Mar mei twa-faktor autentikaasje foar bedriuwsgebrûk binne dingen net sa goed. As earste, neffens it rapport, waarden mar 5% fan meiwurkers oerbrocht fan wachtwurdferifikaasje nei tokens. En as twadde is it oantal dyjingen dy't alternative MFA-opsjes brûke yn in bedriuwsomjouwing mei 4% tanommen.
Ik sil besykje analist te spyljen en myn ynterpretaasje te jaan. Yn it sintrum fan 'e digitale wrâld fan yndividuele brûkers is de smartphone. Dêrom is it gjin wûnder dat de mearderheid de mooglikheden brûke dy't it apparaat har biedt - biometryske autentikaasje, SMS- en Push-notifikaasjes, lykas ek ienmalige wachtwurden generearre troch applikaasjes op 'e smartphone sels. Minsken tinke meastentiids net oer feiligens en betrouberens by it brûken fan de ark wêrfan se wend binne.
Dit is de reden dat it persintaazje brûkers fan primitive "tradisjonele" autentikaasjefaktoaren net feroaret. Mar dejingen dy't earder wachtwurden hawwe brûkt, begripe hoefolle se riskearje, en as se in nije autentikaasjefaktor kieze, kieze se foar de nijste en feilichste opsje - in kryptografysk token.
Wat de bedriuwsmerk oanbelanget, is it wichtich om te begripen yn hokker systeemferifikaasje wurdt útfierd. As oanmelde by in Windows-domein wurdt ymplementearre, dan wurde kryptografyske tokens brûkt. De mooglikheden om se te brûken foar 2FA binne al ynboud yn sawol Windows as Linux, mar alternative opsjes binne lang en lestich te ymplementearjen. Safolle foar de migraasje fan 5% fan wachtwurden nei tokens.
En de ymplemintaasje fan 2FA yn in bedriuwsynformaasjesysteem hinget heul ôf fan 'e kwalifikaasjes fan' e ûntwikkelders. En it is folle makliker foar ûntwikkelders om klearmakke modules te nimmen foar it generearjen fan ienmalige wachtwurden dan om de wurking fan kryptografyske algoritmen te begripen. En as gefolch, sels ongelooflijk feiligens-krityske applikaasjes lykas Single Sign-On of Privileged Access Management systemen brûke OTP as twadde faktor.
In protte kwetsberens yn tradisjonele autentikaasjemetoaden
Wylst in protte organisaasjes ôfhinklik bliuwe fan legacy single-factor systemen, wurde kwetsberens yn tradisjonele multi-factor autentikaasje hieltyd dúdliker. Ienmalige wachtwurden, typysk seis oant acht tekens lang, levere fia SMS, bliuwe de meast foarkommende foarm fan autentikaasje (njonken de wachtwurdfaktor, fansels). En as de wurden "twa-factor autentikaasje" of "twa-stap ferifikaasje" wurde neamd yn 'e populêre parse, ferwize se hast altyd nei SMS ienmalige wachtwurdferifikaasje.
Hjir is de skriuwer in bytsje mis. It leverjen fan ienmalige wachtwurden fia SMS hat nea twa-faktora-autentikaasje west. Dit is yn syn suverste foarm de twadde etappe fan twa-stap autentikaasje, wêrby't de earste faze jo oanmelding en wachtwurd ynfiere.
Yn 2016 hat it Nasjonaal Ynstitút foar Standards en Technology (NIST) har autentikaasjeregels bywurke om it gebrûk fan ienmalige wachtwurden te eliminearjen dy't fia SMS ferstjoerd binne. Dizze regels waarden lykwols signifikant ûntspannen nei protesten fan 'e yndustry.
Dus, litte wy it plot folgje. De Amerikaanske tafersjochhâlder erkent mei rjocht dat ferâldere technology net by steat is om brûkersfeiligens te garandearjen en yntrodusearret nije noarmen. Noarmen ûntworpen om brûkers fan online en mobile applikaasjes te beskermjen (ynklusyf bankieren). De yndustry berekkent hoefolle jild it sil moatte besteegje oan it keapjen fan wirklik betroubere kryptografyske tokens, it opnij ûntwerpen fan applikaasjes, it ynsetten fan in ynfrastruktuer foar iepenbiere kaaien, en "riist op 'e efterpoaten." Oan 'e iene kant wiene brûkers oertsjûge fan' e betrouberens fan ienmalige wachtwurden, en oan 'e oare kant wiene der oanfallen op NIST. Dêrtroch waard de standert fersachte, en it oantal hacks en stellerij fan wachtwurden (en jild fan bankapplikaasjes) naam flink ta. Mar de yndustry hoegde gjin jild te skodzjen.
Sûnt dy tiid binne de ynherinte swakkens fan SMS OTP dúdliker wurden. Fraudeurs brûke ferskate metoaden om SMS-berjochten te kompromittearjen:
- SIM-kaart duplikaasje. Oanfallers meitsje in kopy fan de SIM (mei help fan meiwurkers fan mobile operators, of selsstannich, mei help fan spesjale software en hardware). Dêrtroch krijt de oanfaller in sms mei in ienmalige wachtwurd. Yn ien benammen ferneamd gefal koene hackers sels it AT&T-akkount fan cryptocurrency-ynvestearder Michael Turpin kompromittearje, en hast $ 24 miljoen yn cryptocurrencies stelle. As resultaat stelde Turpin dat AT&T de skuld wie troch swakke ferifikaasjemaatregels dy't liede ta SIM-kaartduplikaasje.
Amazing logika. Dat it is echt allinich de skuld fan AT&T? Nee, it is sûnder mis de skuld fan 'e mobile operator dat de ferkeapers yn' e kommunikaasjewinkel in dûbele SIM-kaart útjûn hawwe. Hoe sit it mei it ferifikaasjesysteem foar cryptocurrency-útwikseling? Wêrom brûkten se gjin sterke kryptografyske tokens? Wie it spitich om jild út te jaan oan útfiering? Is Michael sels net de skuld? Wêrom stie er net op it feroarjen fan it autentikaasjemeganisme of brûkte hy allinich dy útwikselingen dy't twa-faktora-autentikaasje ymplementearje basearre op kryptografyske tokens?
De yntroduksje fan wirklik betroubere autentikaasjemetoaden wurdt fertrage krekt om't brûkers geweldige achtleazens sjen litte foar hacking, en dêrnei jouwe se har problemen oan elkenien en alles oars as âlde en "lekke" autentikaasjetechnologyen
- Malware. Ien fan 'e ierste funksjes fan mobile malware wie it ûnderskeppen en trochstjoere fan tekstberjochten nei oanfallers. Ek, man-in-the-browser en man-in-the-middle oanfallen kinne ienmalige wachtwurden ûnderskeppe as se ynfierd wurde op ynfekteare laptops of buroblêdapparaten.
As de Sberbank-applikaasje op jo smartphone in grien ikoan yn 'e statusbalke blinkt, siket it ek nei "malware" op jo tillefoan. It doel fan dit evenemint is om de net-fertroude útfieringsomjouwing fan in typyske smartphone te feroarjen yn, op syn minst op ien of oare manier, in fertroude.
Trouwens, in smartphone, as in folslein net-fertroud apparaat wêrop alles kin wurde dien, is in oare reden om it te brûken foar autentikaasje allinnich hardware tokens, dy't beskerme binne en frij binne fan firussen en Trojans. - Sosjaal technyk. As oplichters witte dat in slachtoffer OTP's ynskeakele hat fia SMS, kinne se direkt kontakt opnimme mei it slachtoffer, posearje as in fertroude organisaasje lykas har bank of credit union, om it slachtoffer te ferrifeljen om de koade te leverjen dy't se krekt krigen hawwe.
Ik haw persoanlik dit soarte fan fraude in protte kearen tsjinkaam, bygelyks as ik besykje wat te ferkeapjen op in populêre online rommelmerk. Ik sels makke de gek mei de oplichter dy't my nei hertstocht besocht te gek. Mar och, ik lês geregeld yn it nijs hoe’t noch in oar slachtoffer fan oplichters “net tocht”, de befêstigingskoade joech en in grut bedrach kwytrekke. En dit alles is om't de bank gewoan net wolle omgean mei de ymplemintaasje fan kryptografyske tokens yn har applikaasjes. As der wat bart, hawwe de kliïnten ommers "harsels de skuld."
Wylst alternative OTP-leveringsmetoaden guon fan 'e kwetsberens yn dizze autentikaasjemetoade kinne ferminderje, bliuwe oare kwetsberens. Standalone applikaasjes foar generaasje fan koade binne de bêste beskerming tsjin ôflústerjen, om't sels malware amper direkt kin ynteraksje mei de koadegenerator (serieus? Hat de skriuwer fan it rapport fergetten oer remote control?), mar OTP's kinne noch ûnderskept wurde as se yn 'e browser ynfierd wurde (bygelyks mei help fan in keylogger), fia in hackte mobile applikaasje; en kin ek direkt krije fan de brûker mei help fan sosjale technyk.
It brûken fan meardere ark foar risiko-beoardieling lykas apparaatherkenning (opspoaren fan besykjen om transaksjes út te fieren fan apparaten dy't net ta in juridyske brûker hearre), geolokaasje (in brûker dy't krekt yn Moskou west hat, besiket in operaasje út Novosibirsk út te fieren) en gedrachsanalyses binne wichtich foar it oanpakken fan kwetsberens, mar gjin oplossing is in panacea. Foar elke situaasje en type gegevens is it nedich om de risiko's soarchfâldich te beoardieljen en te kiezen hokker autentikaasjetechnology moat wurde brûkt.
Gjin autentikaasje-oplossing is in panacee
figuer 2. Autentikaasje opsjes tabel
| Ferifikaasje | Faktor | beskriuwing | Key kwetsberens |
| Wachtwurd of PIN | De kennis | Fêste wearde, dy't letters, sifers en in oantal oare tekens kin befetsje | Kin wurde ûnderskept, bispiede, stellen, oppakt of hacked |
| Kennis-basearre autentikaasje | De kennis | Stelt fragen oer de antwurden wêrop allinich in juridyske brûker kin witte | Kin wurde ûnderskept, ophelle, krigen mei metoaden fan sosjale yngenieur |
| Hardware OTP () | Besit | In spesjaal apparaat dat ienmalige wachtwurden genereart | De koade kin wurde ûnderskept en werhelle, of it apparaat kin stellen wurde |
| Software OTP's | Besit | In applikaasje (mobyl, tagonklik fia in browser, of it ferstjoeren fan koades per e-post) dy't ienmalige wachtwurden genereart | De koade kin wurde ûnderskept en werhelle, of it apparaat kin stellen wurde |
| SMS OTP | Besit | Ien kear wachtwurd levere fia SMS-tekstberjocht | De koade kin ûnderskept en werhelle wurde, of de smartphone of SIM-kaart kin stellen wurde, of de SIM-kaart kin duplikearre wurde |
| Smart cards () | Besit | In kaart dy't in kryptografyske chip en in feilich kaaiûnthâld befettet dat in iepenbiere kaaiynfrastruktuer brûkt foar autentikaasje | Kin fysyk stellen wurde (mar in oanfaller sil it apparaat net brûke kinne sûnder de PIN-koade te kennen; yn gefal fan ferskate ferkearde ynfierpogingen sil it apparaat blokkearre wurde) |
| Feiligenskaaien - tokens (, ) | Besit | In USB-apparaat dat in kryptografyske chip en feilich kaaiûnthâld befettet dat in iepenbiere kaaiynfrastruktuer brûkt foar autentikaasje | Kin fysyk stellen wurde (mar in oanfaller kin it apparaat net brûke sûnder de PIN-koade te kennen; yn gefal fan ferskate ferkearde ynfierpogingen sil it apparaat blokkearre wurde) |
| Keppeling nei in apparaat | Besit | It proses dat in profyl oanmakket, faaks mei JavaScript, of gebrûk fan markers lykas cookies en Flash Shared Objects om te soargjen dat in spesifyk apparaat wurdt brûkt | Tokens kinne stellen wurde (kopieard), en de skaaimerken fan in juridysk apparaat kinne wurde neimakke troch in oanfaller op syn apparaat |
| Behavior | Inherence | Analysearret hoe't de brûker ynteraksje mei in apparaat of programma | Gedrach kin neimakke wurde |
| Fingerprints | Inherence | Opsleine fingerprinten wurde fergelike mei dy dy't optysk as elektroanysk fêstlein binne | De ôfbylding kin stellen wurde en brûkt wurde foar autentikaasje |
| Eye scan | Inherence | Fergeliket eachkarakteristiken, lykas irispatroan, mei nije optyske scans | De ôfbylding kin stellen wurde en brûkt wurde foar autentikaasje |
| Gesichtsherkenning | Inherence | Facial skaaimerken wurde fergelike mei nije optyske scans | De ôfbylding kin stellen wurde en brûkt wurde foar autentikaasje |
| Stim erkenning | Inherence | De skaaimerken fan it opnommen stimmonster wurde fergelike mei nije samples | It rekord kin stellen en brûkt wurde foar autentikaasje, of emulearre |
Yn it twadde diel fan 'e publikaasje wachtsje ús de lekkerste dingen - sifers en feiten, wêrop't de konklúzjes en oanbefellings dy't yn it earste diel jûn binne basearre binne. Autentikaasje yn brûkersapplikaasjes en yn bedriuwssystemen sil apart wurde besprutsen.
Sjoch jo gau!
Boarne: www.habr.com