Spoiler ó theideal na tuarascála: "Úsáidtear méaduithe fíordheimhnithe láidre mar gheall ar bhagairt rioscaí nua agus ceanglais rialála."
D'fhoilsigh an chuideachta taighde "Javelin Strategy & Research" an tuarascáil "The State of Strong Authentication 2019" (). Deir an tuarascáil seo: cén céatadán de chuideachtaí Mheiriceá agus Eorpacha a úsáideann pasfhocail (agus cén fáth nach n-úsáideann mórán daoine pasfhocail anois); cén fáth a bhfuil fás chomh tapa sin ar úsáid fíordheimhnithe dhá fhachtóir atá bunaithe ar chomharthaí cripteagrafacha; Cén fáth nach bhfuil cóid aonuaire a sheoltar trí SMS slán.
Tá fáilte roimh dhuine ar bith a bhfuil suim acu san am atá inniu ann, san am atá caite agus sa todhchaí fíordheimhnithe i bhfiontair agus iarratais tomhaltóirí.
Ón aistritheoir
Faraoir, tá an teanga ina scríobhtar an tuairisc seo sách “tirim” agus foirmiúil. Agus ní hí úsáid an fhocail “fíordheimhnithe” cúig huaire in aon abairt ghairid amháin ná lámha (nó inchinn) cam an aistritheora, ach whim na n-údar. Nuair a bhítear ag aistriú ó dhá rogha - chun téacs a thabhairt do léitheoirí níos gaire don bhunleagan, nó ceann níos suimiúla, roghnaigh mé uaireanta an chéad cheann, agus uaireanta an dara ceann. Ach bí foighneach, a léitheoirí daor, is fiú go mór ábhar na tuarascála.
Baineadh roinnt píosaí nach raibh tábhacht agus nach raibh gá leo don scéal, nó ní bheadh a bhformhór in ann dul tríd an téacs ar fad. Is féidir leo siúd ar mian leo an tuairisc “gan ghearradh” a léamh sa bhunteanga ach an nasc a leanúint.
Ar an drochuair, ní bhíonn údair i gcónaí cúramach leis an téarmaíocht. Mar sin, tugtar “pasfhocail” ar phasfhocail aonuaire (Pasfhocal Aonuaire - OTP) agus uaireanta “cóid”. Tá sé níos measa fós le modhanna fíordheimhnithe. Ní bhíonn sé éasca i gcónaí don léitheoir neamhoilte a buille faoi thuairim gurb ionann “fíordheimhniú ag úsáid eochracha cripteagrafacha” agus “fíordheimhniú láidir”. Rinne mé iarracht na téarmaí a aontú oiread agus is féidir, agus sa tuarascáil féin tá blúire lena gcur síos.
Mar sin féin, moltar go mór an tuarascáil a léamh toisc go bhfuil torthaí uathúla taighde agus conclúidí cearta inti.
Cuirtear na figiúirí agus na fíricí ar fad i láthair gan na hathruithe is lú, agus mura n-aontaíonn tú leo, is fearr argóint a dhéanamh ní leis an aistritheoir, ach le húdair na tuarascála. Agus seo mo chuid tuairimí (leagtha amach mar athfhriotail, agus marcáilte sa téacs Iodálach) mo bhreithiúnas ar luach agus beidh mé sásta argóint a dhéanamh ar gach ceann acu (chomh maith le cáilíocht an aistriúcháin).
Athbhreithniú a dhéanamh ar
Sa lá atá inniu ann, tá bealaí digiteacha cumarsáide le custaiméirí níos tábhachtaí ná riamh do ghnólachtaí. Agus laistigh den chuideachta, tá cumarsáid idir fostaithe níos dírithe ar dhigiteach ná riamh. Agus braitheann cé chomh slán agus a bheidh na hidirghníomhaíochtaí sin ar an modh roghnaithe fíordheimhnithe úsáideora. Úsáideann ionsaitheoirí fíordheimhniú lag chun cuntais úsáideora a hack go mór. Mar fhreagra air sin, tá na rialtóirí ag teannadh le caighdeáin chun iallach a chur ar ghnóthais cuntais agus sonraí úsáideoirí a chosaint níos fearr.
Síneann bagairtí a bhaineann le fíordheimhniú níos faide ná feidhmchláir tomhaltóirí; is féidir le hionsaitheoirí rochtain a fháil ar fheidhmchláir a ritheann laistigh den ghnóthas. Ligeann an oibríocht seo dóibh aithris a dhéanamh ar úsáideoirí corparáideacha. Is féidir le hionsaitheoirí a úsáideann pointí rochtana le fíordheimhniú lag sonraí a ghoid agus gníomhaíochtaí calaoiseacha eile a dhéanamh. Ar ámharaí an tsaoil, tá bearta ann chun é seo a chomhrac. Cabhróidh fíordheimhniú láidir le laghdú suntasach a dhéanamh ar an mbaol ionsaí ó ionsaitheoir, ar fheidhmchláir tomhaltóra agus ar chórais ghnó na bhfiontar araon.
Scrúdaíonn an staidéar seo: conas a chuireann fiontair fíordheimhniú i bhfeidhm chun feidhmchláir úsáideoirí deiridh agus córais ghnó na bhfiontar a chosaint; fachtóirí a chuireann siad san áireamh agus réiteach fíordheimhnithe á roghnú acu; an ról atá ag fíordheimhniú láidir ina n-eagraíochtaí; na buntáistí a fhaigheann na heagraíochtaí seo.
Achoimre
Príomhthorthaí
Ó 2017, tá méadú mór tagtha ar úsáid fíordheimhnithe láidir. Leis an méadú ar líon na leochaileachtaí a dhéanann difear do réitigh fíordheimhnithe traidisiúnta, tá eagraíochtaí ag neartú a gcumas fíordheimhnithe le fíordheimhniú láidir. Tá méadú faoi thrí tagtha ar líon na n-eagraíochtaí a úsáideann fíordheimhniú ilfhachtóiriúil cripteagrafach (MFA) ó 2017 i leith iarratais tomhaltóra agus tháinig méadú beagnach 50% ar iarratais fiontair. Tá an fás is tapúla le feiceáil i bhfíordheimhniú soghluaiste mar gheall ar infhaighteacht mhéadaithe ar fhíordheimhniú bithmhéadrach.
Feicimid anseo léiriú ar an bhfocal “go dtí go mbuaileann toirneach, ní thrasnóidh fear é féin.” Nuair a thug saineolaithe rabhadh faoi neamhshlándáil pasfhocail, ní raibh aon duine i deifir fíordheimhniú dhá fhachtóir a chur i bhfeidhm. Chomh luath agus a thosaigh hackers ag goid pasfhocail, thosaigh daoine fíordheimhniú dhá fhachtóir a chur i bhfeidhm.
Is fíor go bhfuil daoine aonair i bhfad níos gníomhaí ag cur 2FA i bhfeidhm. Ar an gcéad dul síos, tá sé níos éasca dóibh a n-eagla a mhaolú trí bheith ag brath ar an bhfíordheimhniú bithmhéadrach atá mar chuid de na fóin chliste, rud atá an-neamhiontaofa i ndáiríre. Caithfidh eagraíochtaí airgead a chaitheamh ar chomharthaí a cheannach agus obair a dhéanamh (go deimhin, an-simplí) chun iad a chur i bhfeidhm. Agus ar an dara dul síos, níor scríobh ach daoine leisciúla faoi sceitheadh pasfhocail ó sheirbhísí mar Facebook agus Dropbox, ach ní roinnfidh CIOanna na n-eagraíochtaí seo scéalta faoi conas a goideadh pasfhocail (agus cad a tharla ina dhiaidh sin) in eagraíochtaí in aon chás.
Iad siúd nach n-úsáideann fíordheimhniú láidir, tá an riosca dá ngnó agus dá gcustaiméirí á meas faoina luach. Tá claonadh ag eagraíochtaí áirithe nach n-úsáideann fíordheimhniú láidir faoi láthair féachaint ar logáil isteach agus pasfhocail mar cheann de na modhanna fíordheimhnithe úsáideoirí is éifeachtaí agus is éasca le húsáid. Ní fheiceann daoine eile luach na sócmhainní digiteacha ar leo iad. Tar éis an tsaoil, is fiú smaoineamh go bhfuil suim ag cibearchoirpigh in aon fhaisnéis tomhaltóra agus gnó. Déanann dhá thrian de na cuideachtaí nach n-úsáideann ach pasfhocail chun a gcuid fostaithe a fhíordheimhniú amhlaidh toisc go gcreideann siad go bhfuil na pasfhocail maith go leor don chineál faisnéise a chosnaíonn siad.
Mar sin féin, tá pasfhocail ar a mbealach go dtí an uaigh. Tá laghdú suntasach tagtha ar spleáchas ar phasfhocail le bliain anuas d’iarratais tomhaltóirí agus fiontair araon (ó 44% go 31%, agus ó 56% go 47%, faoi seach) de réir mar a mhéadaíonn eagraíochtaí a n-úsáid MFA traidisiúnta agus fíordheimhniú láidir.
Ach má fhéachaimid ar an gcás ina iomláine, tá modhanna fíordheimhnithe leochaileacha fós i réim. Maidir le fíordheimhniú úsáideoirí, úsáideann thart ar an ceathrú cuid de na heagraíochtaí SMS OTP (pasfhocal aonuaire) mar aon le ceisteanna slándála. Mar thoradh air sin, ní mór bearta slándála breise a chur i bhfeidhm chun cosaint a dhéanamh ar an leochaileacht, rud a mhéadaíonn costais. Ní úsáidtear modhanna fíordheimhnithe i bhfad níos sláine, mar eochracha cripteagrafacha crua-earraí, i bhfad níos lú, i thart ar 5% d'eagraíochtaí.
Leis an timpeallacht rialála atá ag athrú, táthar ag súil go gcuirfear dlús le glacadh fíordheimhnithe láidir d’fheidhmchláir tomhaltóirí. Le tabhairt isteach PSD2, chomh maith le rialacha nua um chosaint sonraí san AE agus i roinnt stát SAM mar California, tá an teas ag teacht ar chuideachtaí. Aontaíonn beagnach 70% de chuideachtaí go bhfuil brú rialála láidir orthu chun fíordheimhniú láidir a sholáthar dá gcustaiméirí. Creideann níos mó ná leath de na fiontair, laistigh de chúpla bliain nach mbeidh a gcuid modhanna fíordheimhnithe leordhóthanach chun caighdeáin rialála a chomhlíonadh.
Tá an difríocht i gcur chuige reachtóirí na Rúise agus na Meiriceánach-Eorpacha maidir le cosaint sonraí pearsanta úsáideoirí clár agus seirbhísí le feiceáil go soiléir. Deir na Rúiseach: a stór úinéirí seirbhíse, déan cad is mian leat agus conas is mian leat, ach má chumasc do riarthóir an bunachar sonraí, cuirfimid pionós ort. Deir siad thar lear: ní mór duit a chur i bhfeidhm sraith de bhearta a ní cheadóidh taosc an bonn. Sin é an fáth go bhfuil ceanglais maidir le fíordheimhniú dian dhá fhachtóir á gcur i bhfeidhm ann.
True, tá sé i bhfad ó bhfíric go bhfuil ár n-inneall reachtach lá amháin nach dtiocfaidh a chuid céadfaí agus a chur san áireamh taithí an Iarthair. Ansin tharlaíonn sé go gcaithfidh gach duine 2FA a chur i bhfeidhm, a chomhlíonann caighdeáin cripteagrafacha na Rúise, agus go práinneach.
Trí chreat fíordheimhnithe láidir a bhunú, is féidir le cuideachtaí a bhfócas a athrú ó riachtanais rialála a chomhlíonadh go dtí freastal ar riachtanais na gcustaiméirí. I gcás na n-eagraíochtaí sin atá fós ag baint úsáide as pasfhocail shimplí nó ag fáil cóid trí SMS, is é an fachtóir is tábhachtaí agus modh fíordheimhnithe á roghnú acu ná comhlíonadh na gceanglas rialála. Ach is féidir leis na cuideachtaí sin a úsáideann fíordheimhniú láidir cheana féin díriú ar na modhanna fíordheimhnithe sin a roghnú a mhéadaíonn dílseacht na gcustaiméirí.
Agus modh fíordheimhnithe corparáideach á roghnú laistigh d'fhiontar, ní fachtóir suntasach iad ceanglais rialála a thuilleadh. Sa chás seo, tá éascaíocht an chomhtháthaithe (32%) agus an costas (26%) i bhfad níos tábhachtaí.
I ré na fioscaireachta, is féidir le hionsaitheoirí ríomhphost corparáideach a úsáid chun scamáil rochtain a fháil go calaoiseach ar shonraí, ar chuntais (le cearta rochtana cuí), agus fiú cur ina luí ar fhostaithe aistriú airgid a dhéanamh chuig a chuntas. Mar sin, ní mór cuntais ríomhphoist chorparáideacha agus tairsí a chosaint go han-mhaith.
Neartaigh Google a shlándáil trí fhíordheimhniú láidir a chur i bhfeidhm. Níos mó ná dhá bhliain ó shin, d'fhoilsigh Google tuarascáil ar chur i bhfeidhm fíordheimhnithe dhá-fhachtóir bunaithe ar eochracha slándála cripteagrafacha ag baint úsáide as an gcaighdeán FIDO U2F, ag tuairisciú torthaí suntasacha. De réir na cuideachta, ní dhearnadh aon ionsaí fioscaireachta amháin ar níos mó ná 85 fostaí.
Moltaí
Fíordheimhniú láidir a chur i bhfeidhm maidir le feidhmchláir shoghluaiste agus ar líne. Soláthraíonn fíordheimhniú ilfhachtóiriúil bunaithe ar eochracha cripteagrafacha cosaint i bhfad níos fearr ar hackáil ná modhanna traidisiúnta MFA. Ina theannta sin, tá úsáid eochracha cripteagrafacha i bhfad níos áisiúla toisc nach gá faisnéis bhreise a úsáid agus a aistriú - pasfhocail, pasfhocail aonuaire nó sonraí bithmhéadracha ó ghléas an úsáideora chuig an bhfreastalaí fíordheimhnithe. Ina theannta sin, trí phrótacail fíordheimhnithe a chaighdeánú, bíonn sé i bhfad níos éasca modhanna fíordheimhnithe nua a chur i bhfeidhm de réir mar a bhíonn siad ar fáil, rud a laghdaíonn costais cur chun feidhme agus ag cosaint i gcoinne scéimeanna calaoise níos sofaisticiúla.
Ullmhaigh do dhul i léig pasfhocail aonuaire (OTP). Tá na leochaileachtaí is gné dhílis de OTPanna ag éirí níos soiléire de réir mar a úsáideann cibearchoirpigh innealtóireacht shóisialta, clónáil fón cliste agus bogearraí mailíseacha chun na modhanna fíordheimhnithe seo a chomhréiteach. Agus má tá buntáistí áirithe ag OTPanna i gcásanna áirithe, ansin ní hamháin ó thaobh infhaighteacht uilíoch do gach úsáideoir, ach ní ó thaobh na slándála de.
Ní féidir a thabhairt faoi deara go n-úsáidfear na pasfhocail aonuaire céanna sin (OTP) a n-iarrtar orainn ullmhú don mheath sin cóid a fháil trí SMS nó fógraí Brúigh, chomh maith le cóid a ghiniúint ag baint úsáide as cláir le haghaidh fóin chliste. Ó thaobh teicniúil de, tá an réiteach an-ceart, toisc go bhfuil sé ina chaimiléirí annamh nach bhfuil iarracht a fháil amach an focal faire aon-uaire ó úsáideoir gullible. Ach is dóigh liom go gcloífidh monaróirí córas den sórt sin leis an teicneolaíocht atá ag fáil bháis go dtí an ceann deireanach.
Bain úsáid as fíordheimhniú láidir mar uirlis mhargaíochta chun muinín na gcustaiméirí a mhéadú. Is féidir le fíordheimhniú láidir níos mó a dhéanamh ná slándáil iarbhír do ghnó a fheabhsú. Má chuirtear custaiméirí ar an eolas go n-úsáideann do ghnó fíordheimhniú láidir, féadtar dearcadh an phobail ar shlándáil an ghnó sin a neartú - fachtóir tábhachtach nuair a bhíonn éileamh suntasach ó chustaiméirí ar mhodhanna láidre fíordheimhnithe.
Déan fardal críochnúil agus measúnú criticiúil ar shonraí corparáideacha agus iad a chosaint de réir tábhachta. Fiú sonraí a mbaineann riosca íseal leo amhail faisnéis teagmhála custaiméara (ní hea, i ndáiríre, deir an tuarascáil “riosca íseal”, tá sé an-aisteach go ndéanann siad gannmheas ar thábhacht na faisnéise seo), féadann sé luach suntasach a thabhairt do chaimiléirí agus fadhbanna a chruthú don chuideachta.
Bain úsáid as fíordheimhniú fiontair láidir. Tá roinnt córas ar na spriocanna is tarraingtí do choirpigh. Áirítear orthu sin córais inmheánacha agus Idirlín-nasctha amhail clár cuntasaíochta nó stóras sonraí corparáideach. Cuireann fíordheimhniú láidir cosc ar ionsaitheoirí rochtain neamhúdaraithe a fháil, agus is féidir a chinneadh go cruinn freisin cén fostaí a rinne an ghníomhaíocht mhailíseach.
Cad is Fíordheimhnithe Láidir ann?
Agus fíordheimhniú láidir in úsáid, úsáidtear roinnt modhanna nó fachtóirí chun barántúlacht an úsáideora a fhíorú:
- Fachtóir eolais: rún roinnte idir an t-úsáideoir agus ábhar fíordheimhnithe an úsáideora (amhail pasfhocail, freagraí ar cheisteanna slándála, etc.)
- Fachtóir úinéireachta: gléas nach bhfuil ach ag an úsáideoir (mar shampla, gléas soghluaiste, eochair chripteagrafach, etc.)
- Fachtóir sláine: tréithe fisiceacha (go minic bithmhéadracha) an úsáideora (mar shampla, méarloirg, patrún inteachán, guth, iompar, etc.)
Méadaíonn an gá atá le fachtóirí iolracha an dóchúlacht go dteipfidh ar ionsaitheoirí go mór, ós rud é go n-éilíonn fachtóirí éagsúla a sheachaint nó a mheabhlaireacht úsáid a bhaint as cineálacha éagsúla tactics hacking, do gach fachtóir ar leithligh.
Mar shampla, le 2FA “focal faire + fón cliste,” is féidir le hionsaitheoir fíordheimhniú a dhéanamh trí bhreathnú ar phasfhocal an úsáideora agus cóip bhogearraí beacht a dhéanamh dá fhón cliste. Agus tá sé seo i bhfad níos deacra ná díreach pasfhocal a ghoid.
Ach má úsáidtear focal faire agus comhartha cripteagrafach le haghaidh 2FA, ansin ní oibríonn an rogha cóipeála anseo - ní féidir an comhartha a dhúbailt. Beidh ar an chaimiléir an comhartha a ghoid ón úsáideoir go stealthily. Má thugann an t-úsáideoir an caillteanas in am faoi deara agus má thugann sé fógra don riarthóir, cuirfear bac ar an chomhartha agus beidh iarrachtaí an chalaoisigh in vain. Sin é an fáth go n-éilíonn fachtóir na húinéireachta go n-úsáidfear feistí slána speisialaithe (tokens) seachas feistí ginearálta (cliste fóin).
Má úsáidtear na trí thoisc go léir beidh an modh fíordheimhnithe seo costasach go leor le cur i bhfeidhm agus ní bheidh sé áisiúil é a úsáid. Dá bhrí sin, úsáidtear dhá cheann as trí fhachtóir de ghnáth.
Déantar cur síos níos mine ar phrionsabail an fhíordheimhnithe dhá fhachtóir , sa bhloc “Conas a oibríonn fíordheimhniú dhá fhachtóir”.
Tá sé tábhachtach a thabhairt faoi deara go gcaithfidh ceann amháin ar a laghad de na fachtóirí fíordheimhnithe a úsáidtear i bhfíordheimhniú láidir úsáid a bhaint as cripteagrafaíocht eochair phoiblí.
Soláthraíonn fíordheimhniú láidir cosaint i bhfad níos láidre ná fíordheimhniú aonfhachtóir bunaithe ar phasfhocail clasaiceacha agus MFA traidisiúnta. Is féidir pasfhocail a spiaireachtáil nó a idircheapadh trí úsáid a bhaint as eochairlogálaithe, suíomhanna fioscaireachta, nó ionsaithe innealtóireachta sóisialta (nuair a chuirtear iallach ar an íospartach a phasfhocal a nochtadh). Thairis sin, ní bheidh a fhios ag úinéir an fhocail faire rud ar bith faoin goid. Is féidir MFA traidisiúnta (lena n-áirítear cóid OTP, ceangailte le fón cliste nó cárta SIM) a hack go héasca freisin, ós rud é nach bhfuil sé bunaithe ar chripteagrafaíocht eochair phoiblí (Dála an scéil, tá go leor samplaí ann nuair a d'áitigh scammers úsáideoirí pasfhocal aonuaire a thabhairt dóibh agus na teicnící innealtóireachta sóisialta céanna á n-úsáid acu.).
Go fortunately, tá úsáid fíordheimhnithe láidir agus MFA traidisiúnta ag dul i ngleic le hiarratais tomhaltóra agus fiontair araon ón mbliain seo caite. Tá fás go háirithe go tapa tagtha ar úsáid fíordheimhnithe láidir in iarratais tomhaltóirí. Más rud é in 2017 níor úsáid ach 5% de na cuideachtaí é, ansin in 2018 bhí sé trí huaire níos mó cheana féin - 16%. Is féidir é seo a mhíniú trí infhaighteacht mhéadaithe comharthaí a thacaíonn le halgartaim Chripteagrafaíochta Eochracha Poiblí (PKC). Ina theannta sin, bhí tionchar láidir ag brú méadaithe ó rialtóirí Eorpacha tar éis glacadh le rialacha nua um chosaint sonraí ar nós PSD2 agus GDPR fiú lasmuigh den Eoraip (lena n-áirítear sa Rúis).
Breathnaímis ar na huimhreacha seo. Mar a fheicimid, tá méadú suntasach 11% tagtha ar chéatadán na ndaoine príobháideacha a úsáideann fíordheimhniú ilfhachtóiriúil i rith na bliana. Agus tharla sé seo go soiléir ar chostas lovers phasfhocal, ós rud é nach bhfuil athrú tagtha ar líon na ndaoine a chreideann i slándáil fógraí Brúigh, SMS agus bithmhéadracht.
Ach le fíordheimhniú dhá fhachtóir le húsáid chorparáideach, níl rudaí chomh maith. Ar an gcéad dul síos, de réir na tuarascála, níor aistríodh ach 5% d'fhostaithe ó fhíordheimhniú pasfhocail go comharthaí. Agus ar an dara dul síos, tá méadú 4% tagtha ar líon na ndaoine a úsáideann roghanna malartacha MFA i dtimpeallacht chorparáideach.
Déanfaidh mé iarracht anailísí a imirt agus mo léirmhíniú a thabhairt. I lár an domhain dhigitigh na n-úsáideoirí aonair tá an smartphone. Mar sin, ní haon ionadh é go n-úsáideann tromlach na cumais a sholáthraíonn an gléas dóibh - fíordheimhniú bithmhéadrach, fógraí SMS agus Brúigh, chomh maith le pasfhocail aonuaire a ghineann feidhmchláir ar an bhfón cliste féin. De ghnáth ní smaoiníonn daoine ar shábháilteacht agus ar iontaofacht agus iad ag úsáid na n-uirlisí a bhfuil taithí acu orthu.
Sin an fáth nach bhfuil aon athrú ar an gcéatadán úsáideoirí fachtóirí fíordheimhnithe “traidisiúnta” primitive. Ach tuigeann na daoine a d'úsáid pasfhocail roimhe seo cé chomh mór is atá siad, agus nuair a roghnaíonn siad fachtóir fíordheimhnithe nua, roghnaíonn siad an rogha is nuaí agus is sábháilte - comhartha cripteagrafach.
Maidir leis an margadh corparáideach, tá sé tábhachtach a thuiscint cén córas fíordheimhnithe a dhéantar. Má chuirtear logáil isteach chuig fearann Windows i bhfeidhm, úsáidtear comharthaí cripteagrafacha. Tá na féidearthachtaí chun iad a úsáid le haghaidh 2FA ionsuite cheana féin i Windows agus Linux, ach tá roghanna eile fada agus deacair a chur i bhfeidhm. An oiread sin maidir le haistriú 5% ó phasfhocail go comharthaí.
Agus braitheann cur i bhfeidhm 2FA i gcóras faisnéise corparáideach go mór ar cháilíochtaí na bhforbróirí. Agus tá sé i bhfad níos éasca d'fhorbróirí modúil réamhdhéanta a ghlacadh chun pasfhocail aonuaire a ghiniúint ná oibriú na n-algartam cripteagrafach a thuiscint. Agus mar thoradh air sin, úsáideann feidhmchláir atá thar a bheith tábhachtach ó thaobh slándála amhail córais Sign-On Aonair nó Bainistiú Rochtana Pribhléidithe OTP mar dhara fachtóir.
Go leor leochaileachtaí i modhanna fíordheimhnithe traidisiúnta
Cé go bhfuil go leor eagraíochtaí fós ag brath ar chórais oidhreachta aonfhachtóirí, tá leochaileachtaí i bhfíordheimhniú traidisiúnta ilfhachtóir ag éirí níos soiléire. Tá pasfhocail aonuaire, idir sé agus ocht gcarachtar ar fad de ghnáth, a sheachadtar trí SMS, fós ar an gcineál fíordheimhnithe is coitianta (seachas fachtóir an phasfhocail, ar ndóigh). Agus nuair a luaitear na focail “fíordheimhniú dhá fhachtóir” nó “fíorú dhá chéim” sa phreas coitianta, tagraíonn siad beagnach i gcónaí do fhíordheimhniú pasfhocal aonuaire SMS.
Anseo tá an t-údar beagán mícheart. Ní fíordheimhniú dhá fhachtóir riamh é pasfhocail aonuaire a sheachadadh trí SMS. Tá sé seo ina fhoirm íon an dara céim den fhíordheimhniú dhá chéim, áit a bhfuil an chéad chéim ag dul isteach do logáil isteach agus do phasfhocal.
In 2016, nuashonraigh an Institiúid Náisiúnta um Chaighdeáin agus Teicneolaíocht (NIST) a rialacha fíordheimhnithe chun deireadh a chur le húsáid pasfhocail aonuaire a sheoltar trí SMS. Mar sin féin, rinneadh na rialacha seo a mhaolú go suntasach tar éis agóidí tionscail.
Mar sin, leanaimis an plota. Aithníonn an rialtóir Meiriceánach i gceart nach bhfuil teicneolaíocht atá as dáta in ann sábháilteacht úsáideoirí a chinntiú agus tá caighdeáin nua á dtabhairt isteach aige. Caighdeáin atá deartha chun úsáideoirí feidhmchlár ar líne agus soghluaiste a chosaint (lena n-áirítear cinn bhaincéireachta). Tá an tionscal ag ríomh cé mhéad airgid a chaithfidh sé a chaitheamh ar chomharthaí cripteagrafacha fíor-iontaofa a cheannach, feidhmchláir a athdhearadh, príomh-bhonneagar poiblí a úsáid, agus tá sé “ag ardú ar a chosa deiridh”. Ar thaobh amháin, bhí úsáideoirí cinnte faoi iontaofacht pasfhocail aonuaire, agus ar an láimh eile, bhí ionsaithe ar NIST. Mar thoradh air sin, rinneadh an caighdeán a mhaolú, agus tháinig méadú mór ar líon na hacks agus goid pasfhocail (agus airgead ó iarratais bhaincéireachta). Ach ní raibh ar an tionscal airgead a bhlaosc amach.
Ó shin i leith, tá laigí bunúsacha SMS OTP tar éis éirí níos soiléire. Úsáideann calaoiseoirí modhanna éagsúla chun teachtaireachtaí SMS a chomhréiteach:
- Dúbailt chárta SIM. Cruthaíonn ionsaitheoirí cóip den SIM (le cabhair ó fhostaithe oibreoirí teileafón soghluaiste, nó go neamhspleách, ag baint úsáide as bogearraí agus crua-earraí speisialta). Mar thoradh air sin, faigheann an t-ionsaitheoir SMS le pasfhocal aonuaire. I gcás amháin thar a bheith cáiliúil, bhí hackers in ann fiú cuntas AT&T an infheisteora cryptocurrency Michael Turpin a chomhréiteach, agus beagnach $24 milliún a ghoid in cryptocurrencies. Mar thoradh air sin, dúirt Turpin go raibh an locht ar AT&T mar gheall ar bhearta fíoraithe laga a d’eascair dúbláil chárta SIM.
Loighic iontach. Mar sin níl ann i ndáiríre ach AT&T an locht? Níl, gan amhras is é locht an oibreora mhóibíligh ná gur eisigh na díoltóirí sa siopa cumarsáide cárta SIM dúblach. Cad mar gheall ar an gcóras fíordheimhnithe malairte cryptocurrency? Cén fáth nár úsáid siad comharthaí cripteagrafacha láidre? Ar mhór an trua airgead a chaitheamh ar chur i bhfeidhm? Nach é Michael féin an milleán? Cén fáth nár áitigh sé ar an meicníocht fíordheimhnithe a athrú nó gan úsáid a bhaint as ach na malartuithe sin a chuireann fíordheimhniú dhá fhachtóir i bhfeidhm bunaithe ar chomharthaí cripteagrafacha?
Cuirtear moill ar mhodhanna fíordheimhnithe fíor-iontaofa a thabhairt isteach go beacht mar go léiríonn úsáideoirí míchúramach iontach roimh hackáil, agus ina dhiaidh sin cuireann siad an milleán ar a gcuid trioblóidí ar dhuine ar bith agus ar aon rud seachas teicneolaíochtaí fíordheimhnithe ársa agus “sceitheadh”.
- Malware. Ba é ceann de na feidhmeanna is luaithe a bhí ag malware soghluaiste ná teachtaireachtaí téacs a thascradh agus a chur ar aghaidh chuig ionsaitheoirí. Chomh maith leis sin, is féidir le hionsaithe fear-i-an-bhrabhsálaí agus fear-i-lár pasfhocail aonuaire a thascradh nuair a chuirtear isteach iad ar ríomhairí glúine ionfhabhtaithe nó gléasanna deisce.
Nuair a bhionn feidhmchlár Sberbank ar do ghuthán cliste deilbhín glas sa bharra stádais, lorgaíonn sé “malearraí” ar do ghuthán freisin. Is é sprioc na hócáide seo timpeallacht fhorghníomhaithe neamhiontaofa gnáthfhón cliste a iompú isteach, ar bhealach éigin ar a laghad, ina timpeallacht iontaofa.
Dála an scéil, is cúis eile é fón cliste, mar fheiste go hiomlán neamhiontaofa ar féidir aon rud a dhéanamh, é a úsáid le haghaidh fíordheimhnithe comharthaí crua-earraí amháin, atá cosanta agus saor ó víris agus Trojans. - Innealtóireacht shóisialta. Nuair a bhíonn a fhios ag scammers go bhfuil OTPanna cumasaithe ag íospartach trí SMS, is féidir leo teagmháil dhíreach a dhéanamh leis an íospartach, ag seasamh mar eagraíocht iontaofa ar nós a mbanc nó comhar creidmheasa, chun an t-íospartach a mhealladh chun an cód a fuair sé díreach a sholáthar.
Is iomaí uair a tháinig mé go pearsanta ar an gcineál seo calaoise, mar shampla, agus mé ag iarraidh rud éigin a dhíol ar mhargadh flea ar líne a bhfuil an-tóir air. Rinne mé féin magadh ar an té a rinne iarracht mé a mhealladh le hábhar mo chroí. Ach faraor, léigh mé go rialta sa nuacht conas a thug íospartach eile de scammers “Níor cheap,” an cód deimhnithe agus chaill sé suim mhór. Agus tá sé seo go léir toisc nach bhfuil an banc ag iarraidh déileáil le cur i bhfeidhm comharthaí cripteagrafach ina chuid feidhmeanna. Tar éis an tsaoil, má tharlaíonn rud éigin, is iad na cliaint "an milleán a bheidh orthu féin."
Cé go bhféadfadh modhanna seachadta OTP malartacha cuid de na leochaileachtaí sa mhodh fíordheimhnithe seo a mhaolú, tá leochaileachtaí eile fós ann. Is iad feidhmchláir ghiniúna cód neamhspleácha an chosaint is fearr in aghaidh cluastuisceana, mar is ar éigean gur féidir le malware fiú idirghníomhú go díreach leis an gineadóir cóid (dáiríre? An ndearna údar na tuarascála dearmad ar chianrialtán?), ach is féidir OTPanna a idircheapadh fós nuair a chuirtear isteach sa bhrabhsálaí iad (mar shampla ag baint úsáide as keylogger), trí fheidhmchlár soghluaiste hacked; agus is féidir iad a fháil go díreach freisin ón úsáideoir ag baint úsáide as innealtóireacht shóisialta.
Uirlisí measúnaithe riosca iolracha a úsáid amhail aithint gléas (iarrachtaí ar idirbhearta a dhéanamh a bhrath ó fheistí nach le húsáideoir dleathach iad), geolocation (déanann úsáideoir atá díreach i Moscó iarracht oibríocht a dhéanamh ó Novosibirsk) agus tá anailís iompraíochta tábhachtach chun aghaidh a thabhairt ar leochaileachtaí, ach ní uile-íoc é ceachtar den dá réiteach. I gcás gach cás agus gach cineál sonraí, is gá measúnú cúramach a dhéanamh ar na rioscaí agus roghnú cén teicneolaíocht fíordheimhnithe ba cheart a úsáid.
Níl aon réiteach fíordheimhnithe ina uile-íoc
Fíor 2. Tábla roghanna fíordheimhnithe
| Fíordheimhniú | Fachtóir | Cur síos | Príomh-leochaileachtaí |
| Pasfhocal nó UAP | An t-eolas | Luach seasta, ar féidir litreacha, uimhreacha agus roinnt carachtair eile a áireamh | Is féidir é a idircheapadh, a spiaireacht, a ghoid, a phiocadh suas nó a hack |
| Fíordheimhniú bunaithe ar eolas | An t-eolas | Ceistíonn sé na freagraí nach féidir ach le húsáideoir dlíthiúil a fhios | Is féidir é a idircheapadh, a phiocadh suas, a fháil ag baint úsáide as modhanna innealtóireachta sóisialta |
| Crua-earraí OTP () | Seilbh | Feiste speisialta a ghineann pasfhocail aonuaire | Féadfar an cód a idircheapadh agus a athdhéanamh, nó féadfar an gléas a ghoid |
| Bogearraí OTP | Seilbh | Feidhmchlár (soghluaiste, inrochtana trí bhrabhsálaí, nó a sheolann cóid trí ríomhphost) a ghineann pasfhocail aonuaire | Féadfar an cód a idircheapadh agus a athdhéanamh, nó féadfar an gléas a ghoid |
| Íosluchtaigh SMS OTP | Seilbh | Pasfhocal aonuaire seachadta trí theachtaireacht téacs SMS | Is féidir an cód a idircheapadh agus a athdhéanamh, nó d'fhéadfaí an fón cliste nó cárta SIM a ghoid, nó féadfar an cárta SIM a mhacasamhlú |
| cártaí cliste () | Seilbh | Cárta ina bhfuil sliseanna cripteagrafach agus cuimhne eochrach slán a úsáideann bonneagar eochair phoiblí le haghaidh fíordheimhnithe | Is féidir é a ghoid go fisiciúil (ach ní bheidh ionsaitheoir in ann an gléas a úsáid gan an cód PIN a fhios aige; i gcás roinnt iarrachtaí ionchuir mícheart, cuirfear bac ar an bhfeiste) |
| Eochracha slándála - comharthaí (, ) | Seilbh | Feiste USB ina bhfuil sliseanna cripteagrafach agus cuimhne eochrach slán a úsáideann bonneagar eochair phoiblí le haghaidh fíordheimhnithe | Is féidir é a ghoid go fisiciúil (ach ní bheidh ionsaitheoir in ann an gléas a úsáid gan an cód PIN a bheith ar eolas aige; i gcás roinnt iarrachtaí iontrála míchearta, cuirfear bac ar an ngléas) |
| Ag nascadh le gléas | Seilbh | An próiseas a chruthaíonn próifíl, ag baint úsáide as JavaScript go minic, nó ag baint úsáide as marcóirí ar nós fianáin agus Flash Shared Objects chun a chinntiú go bhfuil gléas ar leith á úsáid | Is féidir comharthaí a ghoid (a chóipeáil), agus is féidir le hionsaitheoir tréithe feiste dhlíthiúil a aithris ar a ghléas |
| Iompar | Ionchas | Déanann sé anailís ar an gcaoi a n-idirghníomhaíonn an t-úsáideoir le gléas nó le clár | Is féidir aithris a dhéanamh ar iompar |
| Méarloirg | Ionchas | Cuirtear méarloirg stóráilte i gcomparáid leo siúd a gabhadh go optúil nó go leictreonach | Is féidir an íomhá a ghoid agus a úsáid le haghaidh fíordheimhnithe |
| Scanadh súl | Ionchas | Déantar comparáid idir tréithe súl, mar phatrún inteachán, le scananna optúla nua | Is féidir an íomhá a ghoid agus a úsáid le haghaidh fíordheimhnithe |
| Aitheantas aghaidhe | Ionchas | Cuirtear tréithe aghaidhe i gcomparáid le scananna optúla nua | Is féidir an íomhá a ghoid agus a úsáid le haghaidh fíordheimhnithe |
| Aitheantas gutha | Ionchas | Cuirtear saintréithe an tsampla gutha taifeadta i gcomparáid le samplaí nua | Is féidir an taifead a ghoid agus a úsáid le haghaidh fíordheimhnithe, nó aithris a dhéanamh air |
Sa dara cuid den fhoilseachán, tá na rudaí is delicious ag fanacht linn - uimhreacha agus fíricí, ar a bhfuil na conclúidí agus na moltaí a thugtar sa chéad chuid bunaithe. Déanfar fíordheimhniú i bhfeidhmchláir úsáideoirí agus i gcórais chorparáideacha a phlé ar leithligh.
Féach tú go luath!
Foinse: will.com