Spoiler bho thiotal na h-aithisg: “Tha cleachdadh dearbhaidh làidir ag àrdachadh mar thoradh air bagairt chunnartan ùra agus riatanasan riaghlaidh.”
Dh'fhoillsich a 'chompanaidh rannsachaidh "Javelin Strategy & Research" an aithisg "The State of Strong Authentication 2019" (). Tha an aithisg seo ag ràdh: dè an ceudad de chompanaidhean Ameireaganach is Eòrpach a bhios a’ cleachdadh faclan-faire (agus carson nach eil mòran dhaoine a’ cleachdadh faclan-faire a-nis); carson a tha cleachdadh dearbhadh dà-fhactar stèidhichte air comharran criptografach a’ fàs cho luath; Carson nach eil còdan aon-ùine air an cur tro SMS tèarainte.
Tha fàilte air neach sam bith aig a bheil ùidh anns an latha an-diugh, san àm a dh’ fhalbh agus san àm ri teachd de dhearbhadh ann an iomairtean agus tagraidhean luchd-cleachdaidh.
Bhon eadar-theangair
Och, tha an cànan anns a bheil an aithisg seo sgrìobhte gu math “tioram” agus foirmeil. Agus chan e cleachdadh còig tursan den fhacal “dearbhadh” ann an aon seantans ghoirid làmhan cam (no eanchainn) an eadar-theangair, ach whims nan ùghdaran. Nuair a bhios tu ag eadar-theangachadh bho dhà roghainn - gus teacsa a thoirt do luchd-leughaidh nas fhaisge air an fhear thùsail, no fear nas inntinniche, uaireannan thagh mi a’ chiad fhear, agus uaireannan an dàrna fear. Ach bi foighidneach, a leughadairean gràdhach, is fhiach na tha san aithisg e.
Chaidh cuid de phìosan neo-chudromach agus neo-riatanach airson na sgeòil a thoirt air falbh, air neo cha bhiodh a’ mhòr-chuid comasach air faighinn tron teacsa gu lèir. Faodaidh an fheadhainn a tha airson an aithisg “uncut” a leughadh sin a dhèanamh sa chànan tùsail le bhith a’ leantainn a’ cheangail.
Gu mì-fhortanach, chan eil ùghdaran an-còmhnaidh faiceallach le briathrachas. Mar sin, uaireannan canar “faclan-faire”, agus uaireannan “còdan” ri faclan-faire aon-ùine (Facal-faire Aon-ùine - OTP). Tha e eadhon nas miosa le dòighean dearbhaidh. Chan eil e an-còmhnaidh furasta don leughadair gun trèanadh tomhas gur e “dearbhadh a’ cleachdadh iuchraichean criptografach ”agus“ dearbhadh làidir ”an aon rud. Dh'fheuch mi ris na teirmean aonachadh cho mòr 's as urrainn, agus anns an aithisg fhèin tha criomag leis an tuairisgeul aca.
Ach a dh’ aindeoin sin, thathas a’ moladh an aithisg a leughadh gu mòr leis gu bheil toraidhean rannsachaidh gun samhail ann agus co-dhùnaidhean ceart.
Tha na figearan agus na fìrinnean uile air an taisbeanadh às aonais na h-atharrachaidhean as lugha, agus mura h-eil thu ag aontachadh riutha, tha e nas fheàrr argamaid a dhèanamh chan ann leis an eadar-theangair, ach le ùghdaran na h-aithisg. Agus seo na beachdan agam (air an cur sìos mar luachan, agus air an comharrachadh san teacsa Eadailteach) a bheil mo bhreithneachadh luach agus bidh mi toilichte argamaid a dhèanamh air gach fear dhiubh (a bharrachd air càileachd an eadar-theangachaidh).
sealladh farsaing
An-diugh, tha seanalan conaltraidh didseatach le luchd-ceannach nas cudromaiche na bha e a-riamh do ghnìomhachasan. Agus taobh a-staigh na companaidh, tha conaltradh eadar luchd-obrach ag amas nas didseatach na bha e a-riamh. Agus bidh dè cho tèarainte sa bhios na h-eadar-obrachaidhean sin an urra ris an dòigh dearbhaidh cleachdaiche a chaidh a thaghadh. Bidh luchd-ionnsaigh a’ cleachdadh dearbhadh lag gus cunntasan luchd-cleachdaidh a hackadh gu mòr. Mar fhreagairt, tha riaghladairean a’ teannachadh inbhean gus toirt air gnìomhachasan dìon nas fheàrr a dhèanamh air cunntasan luchd-cleachdaidh agus dàta.
Tha bagairtean co-cheangailte ri dearbhadh a’ leudachadh nas fhaide na tagraidhean luchd-cleachdaidh; faodaidh luchd-ionnsaigh cuideachd faighinn gu tagraidhean a tha a’ ruith taobh a-staigh na h-iomairt. Tha an obrachadh seo a’ toirt cothrom dhaibh atharrais a dhèanamh air luchd-cleachdaidh corporra. Faodaidh luchd-ionnsaigh a chleachdas puingean inntrigidh le dearbhadh lag dàta a ghoid agus gnìomhan meallta eile a dhèanamh. Gu fortanach, tha ceumannan ann gus cuir an-aghaidh seo. Cuidichidh dearbhadh làidir le bhith a 'lùghdachadh gu mòr an cunnart bho ionnsaigh neach-ionnsaigh, an dà chuid air tagraidhean luchd-cleachdaidh agus air siostaman gnìomhachais iomairt.
Bidh an sgrùdadh seo a’ sgrùdadh: mar a bhios iomairtean a’ cur an gnìomh dearbhadh gus tagraidhean cleachdaiche deireannach agus siostaman gnìomhachais iomairt a dhìon; feartan air am bi iad a’ beachdachadh nuair a tha iad a’ taghadh fuasgladh dearbhaidh; an àite a tha aig dearbhadh làidir anns na buidhnean aca; na buannachdan a tha na buidhnean sin a’ faighinn.
Geàrr-chunntas
Prìomh Thoraidhean
Bho 2017, tha cleachdadh dearbhaidh làidir air a dhol suas gu mòr. Leis an àireamh de chugallachd a tha a’ sìor fhàs a’ toirt buaidh air fuasglaidhean dearbhaidh traidiseanta, tha buidhnean a’ neartachadh an comasan dearbhaidh le dearbhadh làidir. Tha an àireamh de bhuidhnean a tha a’ cleachdadh dearbhadh ioma-fhactaraidh criptografach (MFA) air a dhol suas trì uiread bho 2017 airson tagraidhean luchd-cleachdaidh agus air a dhol suas faisg air 50% airson tagraidhean iomairt. Tha am fàs as luaithe ri fhaicinn ann an dearbhadh gluasadach mar thoradh air mar a tha barrachd dearbhaidh biometric ri fhaighinn.
Chì sinn ann an seo dealbh den abairt “Gus an toir an tàirneanach, cha tèid duine thairis air fhèin.” Nuair a thug eòlaichean rabhadh mu mhì-thèarainteachd faclan-faire, cha robh duine ann an cabhag gus dearbhadh dà-fhactaraidh a chuir an gnìomh. Cho luath ‘s a thòisich hackers a’ goid faclan-faire, thòisich daoine air dearbhadh dà-fhactaraidh a chuir an gnìomh.
Fìor, tha daoine fa leth mòran nas gnìomhaiche a’ buileachadh 2FA. An toiseach, tha e nas fhasa dhaibh na h-eagal aca a shocrachadh le bhith an urra ris an dearbhadh biometric a chaidh a thogail a-steach do fhònaichean sgairteil, a tha gu dearbh neo-earbsach. Feumaidh buidhnean airgead a chosg air tokens a cheannach agus obair a dhèanamh (gu dearbh, gu math sìmplidh) airson an cur an gnìomh. Agus san dàrna àite, is e dìreach daoine leisg nach do sgrìobh mu aoidion facal-faire bho sheirbheisean leithid Facebook agus Dropbox, ach cha bhith CIOn nam buidhnean sin ann an suidheachadh sam bith a’ roinn sgeulachdan mu mar a chaidh faclan-faire a ghoid (agus na thachair a-rithist) ann am buidhnean.
Tha an fheadhainn nach bi a’ cleachdadh dearbhadh làidir a’ dèanamh dì-meas air a’ chunnart aca don ghnìomhachas agus don luchd-ceannach aca. Tha cuid de bhuidhnean nach eil a’ cleachdadh dearbhadh làidir an-dràsta buailteach a bhith a’ faicinn logaichean agus faclan-faire mar aon de na dòighean as èifeachdaiche agus as fhasa a chleachdadh airson dearbhadh luchd-cleachdaidh. Chan eil cuid eile a’ faicinn luach a’ mhaoin dhidseatach a tha aca. Às deidh na h-uile, is fhiach beachdachadh gu bheil ùidh aig cybercriminals ann am fiosrachadh luchd-cleachdaidh is gnìomhachais sam bith. Bidh dà thrian de chompanaidhean a bhios a’ cleachdadh faclan-faire a-mhàin gus an luchd-obrach aca a dhearbhadh a’ dèanamh sin leis gu bheil iad den bheachd gu bheil na faclan-faire math gu leòr airson an seòrsa fiosrachaidh a tha iad a’ dìon.
Ach, tha faclan-faire air an t-slighe chun na h-uaighe. Tha eisimeileachd air faclan-faire air tuiteam gu mòr thar na bliadhna a dh’ fhalbh airson gach cuid tagraidhean luchd-cleachdaidh agus iomairt (bho 44% gu 31%, agus bho 56% gu 47%, fa leth) mar a bhios buidhnean ag àrdachadh an cleachdadh de MFA traidiseanta agus dearbhadh làidir.
Ach ma choimheadas sinn air an t-suidheachadh gu h-iomlan, tha dòighean dearbhaidh so-leònte fhathast ann. Airson dearbhadh luchd-cleachdaidh, bidh timcheall air cairteal de bhuidhnean a’ cleachdadh SMS OTP (facal-faire aon-ùine) còmhla ri ceistean tèarainteachd. Mar thoradh air an sin, feumar ceumannan tèarainteachd a bharrachd a chuir an gnìomh gus dìon an aghaidh so-leòntachd, a tha ag àrdachadh chosgaisean. Tha cleachdadh dhòighean dearbhaidh mòran nas tèarainte, leithid iuchraichean criptografach bathar-cruaidh, air a chleachdadh mòran nas trice, ann an timcheall air 5% de bhuidhnean.
Tha an àrainneachd riaghlaidh a tha a’ fàs a’ gealltainn luathachadh gabhail ri dearbhadh làidir airson tagraidhean luchd-cleachdaidh. Le toirt a-steach PSD2, a bharrachd air riaghailtean dìon dàta ùra san EU agus grunn stàitean na SA leithid California, tha companaidhean a’ faireachdainn an teas. Tha faisg air 70% de chompanaidhean ag aontachadh gu bheil cuideam riaghlaidh làidir orra gus dearbhadh làidir a thoirt don luchd-ceannach aca. Tha còrr air leth de na h-iomairtean den bheachd, taobh a-staigh beagan bhliadhnaichean, nach bi na dòighean dearbhaidh aca gu leòr gus coinneachadh ri inbhean riaghlaidh.
Tha an eadar-dhealachadh ann an dòighean-obrach luchd-reachdais Ruiseanach agus Ameireagaidh-Eòrpach a thaobh dìon dàta pearsanta luchd-cleachdaidh phrògraman agus sheirbheisean ri fhaicinn gu soilleir. Tha na Ruiseanaich ag ràdh: a shealbhadairean seirbheis, dèan na tha thu ag iarraidh agus mar a tha thu ag iarraidh, ach ma chuireas an rianaire agad an stòr-dàta còmhla, cuiridh sinn peanas ort. Tha iad ag ràdh thall thairis: feumaidh tu seata de cheumannan a chuir an gnìomh a tha cha cheadaich drain am bonn. Sin as coireach gu bheilear a’ cur an gnìomh riatanasan airson dearbhadh dà-fhactaraidh teann an sin.
Fìor, tha e fada bho bhith na fhìrinn nach bi an inneal reachdail againn aon latha a ’tighinn gu mothachadh agus a’ toirt aire do eòlas an Iar. An uairsin tha e a 'tionndadh a-mach gum feum a h-uile duine 2FA a chur an gnìomh, a tha a' gèilleadh ri inbhean criptografach na Ruis, agus gu h-èiginneach.
Tha stèidheachadh frèam dearbhaidh làidir a’ leigeil le companaidhean am fòcas a ghluasad bho bhith a’ coinneachadh ri riatanasan riaghlaidh gu bhith a’ coinneachadh ri feumalachdan luchd-cleachdaidh. Dha na buidhnean sin a tha fhathast a’ cleachdadh faclan-faire sìmplidh no a’ faighinn còdan tro SMS, is e am feart as cudromaiche nuair a thaghas iad dòigh dearbhaidh gèilleadh ri riatanasan riaghlaidh. Ach faodaidh na companaidhean sin a tha mar-thà a’ cleachdadh dearbhadh làidir fòcas a chuir air na dòighean dearbhaidh sin a tha ag àrdachadh dìlseachd teachdaiche a thaghadh.
Nuair a thaghas tu dòigh dearbhaidh corporra taobh a-staigh iomairt, chan eil riatanasan riaghlaidh na adhbhar cudromach tuilleadh. Anns a 'chùis seo, tha furasta an aonachadh (32%) agus cosgais (26%) mòran nas cudromaiche.
Ann an àm fiasgaich, faodaidh luchd-ionnsaigh post-d corporra a chleachdadh airson sgamadh gus cothrom fhaighinn gu meallta air dàta, cunntasan (le còraichean-slighe iomchaidh), agus eadhon toirt air luchd-obrach gluasad airgid a dhèanamh chun chunntas aca. Mar sin, feumaidh post-d corporra agus cunntasan portal a bhith air an dìon gu sònraichte.
Tha Google air a thèarainteachd a neartachadh le bhith a’ cur an gnìomh dearbhadh làidir. O chionn còrr is dà bhliadhna, dh'fhoillsich Google aithisg mu bhith a 'cur an gnìomh dearbhadh dà-fhactaraidh stèidhichte air iuchraichean tèarainteachd criptografach a' cleachdadh inbhe FIDO U2F, ag aithris air toraidhean iongantach. A rèir a 'chompanaidh, cha deach aon ionnsaigh fiasgach a dhèanamh an aghaidh còrr is 85 neach-obrach.
molaidhean
Cuir an gnìomh dearbhadh làidir airson tagraidhean gluasadach agus air-loidhne. Tha dearbhadh ioma-fhactaraidh stèidhichte air iuchraichean criptografach a’ toirt dìon fada nas fheàrr an aghaidh hacaidh na dòighean traidiseanta MFA. A bharrachd air an sin, tha cleachdadh iuchraichean criptografach mòran nas goireasaiche oir chan eil feum air fiosrachadh a bharrachd a chleachdadh agus a ghluasad - faclan-faire, faclan-faire aon-ùine no dàta biometric bho inneal an neach-cleachdaidh chun t-seirbheisiche dearbhaidh. A bharrachd air an sin, tha gnàthachadh phròtacalan dearbhaidh ga dhèanamh fada nas fhasa dòighean dearbhaidh ùra a chuir an gnìomh mar a bhios iad rim faighinn, a’ lughdachadh cosgaisean buileachaidh agus a’ dìon an aghaidh sgeamaichean foill nas ionnsaichte.
Dèan ullachadh airson crìonadh faclan-faire aon-ùine (OTP). Tha na so-leòntachd a tha dualach do OTPn a’ sìor fhàs follaiseach leis gu bheil cybercriminals a’ cleachdadh innleadaireachd sòisealta, clonadh fònaichean sgairteil agus malware gus na dòighean dearbhaidh sin a mhilleadh. Agus ma tha buannachdan sònraichte aig OTPn ann an cuid de chùisean, an uairsin dìreach bho shealladh ruigsinneachd uile-choitcheann airson a h-uile neach-cleachdaidh, ach chan ann bho shealladh tèarainteachd.
Tha e do-dhèanta gun a bhith mothachail gu bheil a bhith a’ faighinn còdan tro bhrathan SMS no Push, a bharrachd air a bhith a’ gineadh còdan a’ cleachdadh phrògraman airson fònaichean sgairteil, a’ cleachdadh na h-aon faclan-faire aon-ùine (OTP) airson a bheilear ag iarraidh oirnn ullachadh airson a’ chrìonaidh. Bho thaobh teignigeach, tha am fuasgladh gu math ceart, oir is e mealltaiche tearc a th 'ann nach eil a' feuchainn ri faighinn a-mach am facal-faire aon-ùine bho neach-cleachdaidh gullible. Ach tha mi a’ smaoineachadh gum bi luchd-saothrachaidh shiostaman mar sin a’ cumail ri teicneòlas a tha a’ bàsachadh chun an fhear mu dheireadh.
Cleachd dearbhadh làidir mar inneal margaidheachd gus earbsa teachdaiche àrdachadh. Faodaidh dearbhadh làidir barrachd a dhèanamh na dìreach tèarainteachd dha-rìribh do ghnìomhachas adhartachadh. Le bhith ag innse do luchd-ceannach gu bheil do ghnìomhachas a’ cleachdadh dearbhadh làidir faodaidh sin tuigse a’ phobaill a neartachadh mu thèarainteachd a’ ghnìomhachais sin - rud cudromach nuair a tha iarrtas mòr bho luchd-cleachdaidh airson dòighean dearbhaidh làidir.
Dèan clàr-seilbhe mionaideach agus measadh breithneachail air dàta corporra agus dìon e a rèir cudromachd. Eadhon dàta le cunnart ìosal leithid fiosrachadh conaltraidh teachdaiche (chan e, dha-rìribh, tha an aithisg ag ràdh “cunnart ìosal”, tha e gu math neònach gu bheil iad a’ dèanamh dì-meas air cho cudromach sa tha am fiosrachadh seo), luach mòr a thoirt do luchd-foill agus duilgheadasan adhbhrachadh don chompanaidh.
Cleachd dearbhadh iomairt làidir. Is e grunn shiostaman na targaidean as tarraingiche airson eucoirich. Tha iad sin a’ toirt a-steach siostaman taobh a-staigh agus eadar-lìn leithid prògram cunntasachd no taigh-bathair dàta corporra. Tha dearbhadh làidir a’ cur casg air luchd-ionnsaigh bho bhith a’ faighinn cothrom gun chead, agus cuideachd ga dhèanamh comasach faighinn a-mach gu ceart cò an neach-obrach a rinn an gnìomh droch-rùnach.
Dè a th’ ann an dearbhadh làidir?
Nuair a thathar a’ cleachdadh dearbhadh làidir, thathas a’ cleachdadh grunn dhòighean no fhactaran gus dearbhteachd an neach-cleachdaidh a dhearbhadh:
- Factor eòlais: dìomhaireachd co-roinnte eadar an neach-cleachdaidh agus cuspair dearbhte an neach-cleachdaidh (leithid faclan-faire, freagairtean do cheistean tèarainteachd, msaa)
- Factor seilbh: inneal aig nach eil ach an neach-cleachdaidh (mar eisimpleir, inneal gluasadach, iuchair criptografach, msaa.)
- Factor iomlanachd: feartan corporra (gu tric biometric) an neach-cleachdaidh (mar eisimpleir, lorgan-meòir, pàtran iris, guth, giùlan, msaa.)
Tha an fheum air grunn fhactaran a sheacadh a’ meudachadh gu mòr an coltas gum fàillig luchd-ionnsaigh, leis gu bheil a bhith a’ dol seachad air no a’ mealladh diofar fhactaran a’ feumachdainn iomadh seòrsa de innleachdan hacaidh a chleachdadh, airson gach factar fa leth.
Mar eisimpleir, le 2FA “facal-faire + fòn cliste,” faodaidh neach-ionnsaigh dearbhadh a dhèanamh le bhith a ’coimhead air facal-faire an neach-cleachdaidh agus a’ dèanamh leth-bhreac bathar-bog den fhòn-smart aige. Agus tha seo tòrr nas duilghe na dìreach facal-faire a ghoid.
Ach ma thèid facal-faire agus tòcan criptografach a chleachdadh airson 2FA, chan eil an roghainn copaidh ag obair an seo - tha e do-dhèanta an tòcan a dhùblachadh. Feumaidh an neach-foill an comharra a ghoid bhon neach-cleachdaidh gu stealth. Ma bheir an neach-cleachdaidh an aire don chall ann an ùine agus ma bheir e fios don rianaire, thèid an comharra a bhacadh agus bidh oidhirpean an neach-foill gu dìomhain. Sin as coireach gu feum am feart seilbh innealan tèarainte sònraichte (tokens) a chleachdadh seach innealan adhbhar coitcheann (fònaichean sgairteil).
Le bhith a’ cleachdadh nan trì factaran nì sin an dòigh dearbhaidh seo gu math daor a bhuileachadh agus gu math mì-ghoireasach a chleachdadh. Mar sin, mar as trice bidh dhà a-mach à trì factaran air an cleachdadh.
Tha prionnsapalan dearbhaidh dà-fhactaraidh air am mìneachadh nas mionaidiche , anns a’ bhloc “Mar a tha dearbhadh dà-fhactar ag obair”.
Tha e cudromach toirt fa-near gum feum co-dhiù aon de na factaran dearbhaidh a thathas a’ cleachdadh ann an dearbhadh làidir crioptachadh iuchrach poblach a chleachdadh.
Tha dearbhadh làidir a’ toirt dìon mòran nas làidire na dearbhadh aon-fhactaraidh stèidhichte air faclan-faire clasaigeach agus MFA traidiseanta. Faodar faclan-faire a spionadh no a ghlacadh le bhith a’ cleachdadh keyloggers, làraich fiasgach, no ionnsaighean innleadaireachd sòisealta (far a bheil an neach-fulang air a mhealladh gus am facal-faire aca fhoillseachadh). A bharrachd air an sin, cha bhi fios aig sealbhadair am facal-faire càil mun mhèirle. Faodar MFA traidiseanta (a’ toirt a-steach còdan OTP, ceangailte ri fòn cliste no cairt SIM) a sheacadh gu math furasta cuideachd, leis nach eil e stèidhichte air crioptachadh iuchair phoblach (Co-dhiù, tha mòran eisimpleirean ann nuair, a’ cleachdadh na h-aon dhòighean innleadaireachd sòisealta, a chuir sgamadairean ìmpidh air luchd-cleachdaidh facal-faire aon-ùine a thoirt dhaibh.).
Gu fortanach, tha cleachdadh dearbhadh làidir agus MFA traidiseanta air a bhith a 'faighinn tarraing an dà chuid ann an tagraidhean luchd-cleachdaidh agus iomairt bhon uiridh. Tha cleachdadh dearbhadh làidir ann an tagraidhean luchd-cleachdaidh air fàs gu sònraichte luath. Mura biodh ann an 2017 ach 5% de chompanaidhean ga chleachdadh, an uairsin ann an 2018 bha e trì tursan nas motha - 16%. Faodar seo a mhìneachadh leis na tha ri fhaighinn de chomharran a tha a’ toirt taic do dh’ algoirmean Crioptaireachd iuchrach Poblach (PKC). A bharrachd air an sin, tha barrachd cuideam bho riaghladairean Eòrpach às deidh gabhail ri riaghailtean dìon dàta ùra leithid PSD2 agus GDPR air buaidh làidir a thoirt eadhon taobh a-muigh na Roinn Eòrpa.gabhail a-steach anns an Ruis).
Bheir sinn sùil nas mionaidiche air na h-àireamhan sin. Mar a chì sinn, tha an àireamh sa cheud de dhaoine prìobhaideach a tha a’ cleachdadh dearbhadh ioma-fhactaraidh air a dhol suas 11% iongantach thar na bliadhna. Agus thachair seo gu soilleir aig cosgais leannanan facal-faire, leis nach eil na h-àireamhan den fheadhainn a tha a ’creidsinn ann an tèarainteachd fiosan Push, SMS agus biometrics air atharrachadh.
Ach le dearbhadh dà-fhactaraidh airson cleachdadh corporra, chan eil cùisean cho math. An toiseach, a rèir na h-aithisg, cha deach ach 5% den luchd-obrach a ghluasad bho dhearbhadh facal-faire gu comharran. Agus san dàrna àite, tha an àireamh de dhaoine a chleachdas roghainnean MFA eile ann an àrainneachd chorporra air a dhol suas 4%.
Feuchaidh mi ri anailisiche a chluich agus mo mhìneachadh a thoirt seachad. Aig cridhe saoghal didseatach luchd-cleachdaidh fa-leth tha am fòn cliste. Mar sin, chan eil e na iongnadh gu bheil a ’mhòr-chuid a’ cleachdadh na comasan a tha an inneal a ’toirt dhaibh - dearbhadh biometric, fiosan SMS agus Push, a bharrachd air faclan-faire aon-ùine air an cruthachadh le tagraidhean air a’ fòn cliste fhèin. Mar as trice cha bhith daoine a’ smaoineachadh mu shàbhailteachd agus earbsachd nuair a bhios iad a’ cleachdadh nan innealan air an cleachd iad.
Sin as coireach gu bheil an àireamh sa cheud de luchd-cleachdaidh prìomh fhactaran dearbhaidh “traidiseanta” fhathast gun atharrachadh. Ach tha an fheadhainn a chleachd faclan-faire roimhe seo a’ tuigsinn na tha iad ann an cunnart, agus nuair a thaghas iad feart dearbhaidh ùr, bidh iad a’ roghnachadh an roghainn as ùire agus as sàbhailte - comharra cryptographic.
A thaobh a’ mhargaidh chorporra, tha e cudromach tuigsinn dè an dearbhadh siostam a thathas a’ dèanamh. Ma thèid logadh a-steach gu àrainn Windows a chuir an gnìomh, thèid comharran criptografach a chleachdadh. Tha na cothroman airson an cleachdadh airson 2FA mu thràth air an togail a-steach do Windows agus Linux, ach tha roghainnean eile fada agus duilich an cur an gnìomh. Na h-uimhir airson gluasad 5% bho fhaclan-faire gu comharran.
Agus tha buileachadh 2FA ann an siostam fiosrachaidh corporra gu mòr an urra ri teisteanasan an luchd-leasachaidh. Agus tha e mòran nas fhasa do luchd-leasachaidh modalan deiseil a ghabhail airson faclan-faire aon-ùine a ghineadh na bhith a ’tuigsinn gnìomhachd algorithms criptografach. Agus mar thoradh air an sin, bidh eadhon tagraidhean a tha fìor chudromach airson tèarainteachd leithid siostaman Sign-On Singilte no Riaghladh Ruigsinneachd Sochairean a’ cleachdadh OTP mar dhàrna feart.
Mòran so-leòntachd ann an dòighean dearbhaidh traidiseanta
Ged a tha mòran bhuidhnean fhathast an urra ri siostaman dìleab aon-fhactaraidh, tha so-leòntachd ann an dearbhadh ioma-fhactaraidh traidiseanta a’ sìor fhàs follaiseach. Is e faclan-faire aon-ùine, mar as trice sia gu ochd caractaran de dh'fhaid, air an lìbhrigeadh tro SMS, an dòigh dearbhaidh as cumanta (a bharrachd air a’ bhàillidh facal-faire, gu dearbh). Agus nuair a tha na faclan “dearbhadh dà-fhactaraidh” no “dearbhadh dà cheum” air an ainmeachadh anns na meadhanan mòr-chòrdte, bidh iad cha mhòr an-còmhnaidh a ’toirt iomradh air dearbhadh facal-faire SMS aon-ùine.
An seo tha an t-ùghdar beagan ceàrr. Cha robh lìbhrigeadh faclan-faire aon-ùine tro SMS a-riamh na dhearbhadh dà-fhactaraidh. Tha seo anns an riochd fhìor-ghlan aige an dàrna ìre de dhearbhadh dà-cheum, far a bheil a 'chiad ìre a' dol a-steach don logadh a-steach agus am facal-faire agad.
Ann an 2016, dh’ ùraich Institiud Nàiseanta Inbhean is Teicneòlais (NIST) na riaghailtean dearbhaidh aca gus cuir às do chleachdadh faclan-faire aon-ùine air an cur tro SMS. Ach, chaidh na riaghailtean sin a shocrachadh gu mòr às deidh gearanan gnìomhachais.
Mar sin, leanaidh sinn an cuilbheart. Tha an riaghlaiche Ameireaganach gu ceart ag aithneachadh nach eil teicneòlas seann-fhasanta comasach air dèanamh cinnteach à sàbhailteachd luchd-cleachdaidh agus tha e a’ toirt a-steach inbhean ùra. Inbhean air an dealbhadh gus luchd-cleachdaidh thagraidhean air-loidhne agus gluasadach a dhìon (a’ toirt a-steach feadhainn bancaidh). Tha an gnìomhachas a’ tomhas na tha aige ri chosg air comharran criptografach a tha dha-rìribh earbsach a cheannach, ath-dhealbhadh thagraidhean, cleachdadh prìomh bhun-structar poblach, agus tha e “ag èirigh air a chasan deiridh.” Air an aon làimh, bha luchd-cleachdaidh cinnteach mu earbsachd faclan-faire aon-ùine, agus air an làimh eile, bha ionnsaighean air NIST. Mar thoradh air an sin, chaidh an ìre a lughdachadh, agus chaidh an àireamh de hacks agus goid faclan-faire (agus airgead bho thagraidhean bancaidh) suas gu mòr. Ach cha robh aig a’ ghnìomhachas ri airgead a shàbhaladh.
Bhon uairsin, tha laigsean gnèitheach SMS OTP air fàs nas follaisiche. Bidh luchd-foill a’ cleachdadh diofar dhòighean gus teachdaireachdan SMS a mhilleadh:
- Dùblachadh cairt SIM. Bidh luchd-ionnsaigh a’ cruthachadh leth-bhreac den SIM (le cuideachadh bho luchd-obrach gnìomhaiche gluasadach, no gu neo-eisimeileach, a’ cleachdadh bathar-bog is bathar-cruaidh sònraichte). Mar thoradh air an sin, gheibh an neach-ionnsaigh SMS le facal-faire aon-ùine. Ann an aon chùis gu sònraichte ainmeil, bha e comasach dha luchd-tarraing eadhon cunntas AT&T an neach-tasgaidh cryptocurrency Michael Turpin a mhilleadh, agus faisg air $ 24 millean a ghoid ann an cryptocurrencies. Mar thoradh air an sin, thuirt Turpin gur e AT&T a bha an coire mar thoradh air ceumannan dearbhaidh lag a lean gu dùblachadh cairt SIM.
Loidsig iongantach. Mar sin chan eil ann ach coire AT&T? Chan e, chan eil teagamh gur e coire a’ ghnìomhaiche fòn-làimhe gun do chuir an luchd-reic anns a’ bhùth conaltraidh cairt SIM dùblaichte a-mach. Dè mu dheidhinn an t-siostam dearbhaidh iomlaid cryptocurrency? Carson nach do chleachd iad comharran criptografach làidir? An robh e duilich airgead a chosg air buileachadh? Nach e Mìcheal fhèin as coireach? Carson nach do dh'iarr e air an uidheamachd dearbhaidh atharrachadh no a bhith a 'cleachdadh dìreach na h-iomlaidean sin a tha a' cur an gnìomh dearbhadh dà-fhactaraidh stèidhichte air comharran criptografach?
Tha dàil air a bhith a’ toirt a-steach dòighean dearbhaidh fìor earbsach leis gu bheil luchd-cleachdaidh a’ nochdadh neo-chùram iongantach mus tèid iad a hackadh, agus às deidh sin bidh iad a’ cur a’ choire air na duilgheadasan aca air duine sam bith agus rud sam bith eile a bharrachd air seann theicneòlasan dearbhaidh “leaky”.
- Malware. B ’e aon de na gnìomhan as tràithe aig malware gluasadach a bhith a’ toirt a-steach agus a ’cur air adhart teachdaireachdan teacsa gu luchd-ionnsaigh. Cuideachd, faodaidh ionnsaighean fear-sa-bhrabhsair agus fear-sa-meadhan casg a chuir air faclan-faire aon-ùine nuair a thèid an cur a-steach air coimpiutairean-uchd gabhaltach no innealan deasg.
Nuair a bhios an aplacaid Sberbank air an fhòn-smart agad a’ priobadh ìomhaigh uaine anns a’ bhàr inbhe, bidh e cuideachd a’ coimhead airson “malware” air an fhòn agad. Is e amas an tachartais seo àrainneachd cur gu bàs neo-earbsach fòn cliste àbhaisteach a thionndadh gu bhith, co-dhiù ann an dòigh air choreigin, na fhear earbsach.
Air an t-slighe, tha fòn cliste, mar inneal gu tur neo-earbsach air an urrainnear dad a dhèanamh, na adhbhar eile airson a chleachdadh airson dearbhadh comharran bathar-cruaidh a-mhàin, a tha air an dìon agus saor bho bhìorasan agus Trojans. - Innleadaireachd sòisealta. Nuair a bhios fios aig sgamadairean gu bheil OTPn air a chomasachadh le neach-fulang tro SMS, faodaidh iad fios a chuir chun neach-fulang gu dìreach, a’ seasamh mar bhuidheann earbsach leithid am banca no aonadh creideis aca, gus an neach-fulang a mhealladh gus an còd a fhuair iad a thoirt seachad.
Tha mi gu pearsanta air coinneachadh ris an t-seòrsa foill seo iomadh uair, mar eisimpleir, nuair a bha mi a’ feuchainn ri rudeigin a reic air margaidh flea air-loidhne mòr-chòrdte. Rinn mi fhein magadh air an neach a dh’ fheuch ri mo mhealladh gu tosd mo chridhe. Ach gu mì-fhortanach, bidh mi a’ leughadh anns na naidheachdan gu cunbhalach mar nach robh neach-fulang eile de sgamadairean “a’ smaoineachadh, ”a’ toirt seachad an còd dearbhaidh agus a ’call suim mhòr. Agus tha seo uile air sgàth nach eil am banca dìreach airson dèiligeadh ri buileachadh comharran criptografach anns na tagraidhean aige. Às deidh na h-uile, ma thachras rudeigin, tha an luchd-dèiligidh “iad fhèin as coireach.”
Ged a dh’ fhaodadh dòighean lìbhrigidh OTP eile cuid de na so-leòntachd san dòigh dearbhaidh seo a lasachadh, tha so-leòntachd eile ann fhathast. Is e tagraidhean gineadh còd neo-eisimeileach an dìon as fheàrr an aghaidh cluais, oir cha mhòr gum faod eadhon malware eadar-obrachadh gu dìreach leis a’ ghineadair còd (dha-rìribh? An do dhìochuimhnich ùghdar na h-aithisg mu smachd aig astar?), ach faodar OTPn a ghlacadh fhathast nuair a thèid iad a-steach don bhrobhsair (mar eisimpleir a 'cleachdadh keylogger), tro thagradh gluasadach air a slaodadh; agus gheibhear iad gu dìreach bhon neach-cleachdaidh a’ cleachdadh innleadaireachd sòisealta.
A’ cleachdadh iomadh inneal measaidh cunnairt leithid aithneachadh innealan (lorg oidhirpean gus gnothaichean a dhèanamh bho innealan nach buin do neach-cleachdaidh laghail), geolocation (bidh neach-cleachdaidh a tha dìreach air a bhith ann am Moscow a’ feuchainn ri gnìomhachd a dhèanamh bho Novosibirsk) agus anailisean giùlain cudromach airson dèiligeadh ri so-leòntachd, ach chan eil fuasgladh sam bith na panacea. Airson gach suidheachadh agus seòrsa de dhàta, feumar na cunnartan a mheasadh gu faiceallach agus taghadh dè an teicneòlas dearbhaidh a bu chòir a chleachdadh.
Chan e panacea a th’ ann am fuasgladh dearbhaidh sam bith
Figear 2. Clàr roghainnean dearbhaidh
| Dearbhadh | Factor | Tuairisgeul | Prìomh so-leòntachd |
| Facal-faire no PIN | An t-eòlas | Luach stèidhichte, a dh’ fhaodadh a bhith a’ toirt a-steach litrichean, àireamhan agus grunn charactaran eile | Faodar a ghlacadh, a spionadh, a ghoid, a thogail no a sheacadh |
| Dearbhadh stèidhichte air eòlas | An t-eòlas | Ceistean na freagairtean air nach urrainn ach neach-cleachdaidh laghail fios a bhith aca | Faodar a ghlacadh, a thogail, fhaighinn a’ cleachdadh dòighean innleadaireachd sòisealta |
| Bathar-cruaidh OTP () | Seilbh | Inneal sònraichte a ghineas faclan-faire aon-ùine | Faodar an còd a ghlacadh agus a-rithist, no faodar an inneal a ghoid |
| OTP bathar-bog saor a | Seilbh | Iarrtas (fòn-làimhe, ruigsinneach tro bhrobhsair, no a’ cur còdan air post-d) a ghineas faclan-faire aon-ùine | Faodar an còd a ghlacadh agus a-rithist, no faodar an inneal a ghoid |
| SMS OTP saor an asgaidh | Seilbh | Facal-faire aon-ùine air a lìbhrigeadh tro theachdaireachd teacsa SMS | Faodar an còd a ghlacadh agus a-rithist, no faodar am fòn cliste no a ’chairt SIM a ghoid, no faodar a’ chairt SIM a dhùblachadh |
| Cairtean snasail () | Seilbh | Cairt anns a bheil sgiob criptografach agus prìomh chuimhne tèarainte a chleachdas bun-structar iuchair phoblach airson dearbhadh | Faodar a ghoid gu corporra (ach cha bhith e comasach do neach-ionnsaigh an inneal a chleachdadh gun fhios a bhith aige air a’ chòd PIN; ma thachras grunn oidhirpean cuir a-steach ceàrr, thèid an inneal a bhacadh) |
| Iuchraichean tèarainteachd - comharran (, ) | Seilbh | Inneal USB anns a bheil sgiob criptografach agus prìomh chuimhne tèarainte a chleachdas bun-structar iuchair phoblach airson dearbhadh | Faodar a ghoid gu corporra (ach cha bhith e comasach do neach-ionnsaigh an inneal a chleachdadh gun a bhith eòlach air a ’chòd PIN; ma thachras grunn oidhirpean inntrigidh ceàrr, thèid an inneal a bhacadh) |
| A 'ceangal ri inneal | Seilbh | Am pròiseas a chruthaicheas pròifil, gu tric a’ cleachdadh JavaScript, no a’ cleachdadh comharran leithid briosgaidean agus Flash Shared Objects gus dèanamh cinnteach gu bheilear a’ cleachdadh inneal sònraichte | Faodar comharran a ghoid (copaidh), agus faodaidh neach-ionnsaigh atharrais air feartan inneal laghail air an inneal aige |
| Giùlan | ionmhuinn | Mion-sgrùdadh air mar a tha an neach-cleachdaidh ag eadar-obrachadh le inneal no prògram | Faodar aithris a dhèanamh air giùlan |
| Lorgan-meòir | ionmhuinn | Tha lorgan-meòir air an stòradh air an coimeas ris an fheadhainn a chaidh an glacadh gu optigeach no gu dealanach | Faodar an ìomhaigh a ghoid agus a chleachdadh airson dearbhadh |
| Sgan sùil | ionmhuinn | Dèan coimeas eadar feartan sùla, leithid pàtran iris, le sganaidhean optigeach ùra | Faodar an ìomhaigh a ghoid agus a chleachdadh airson dearbhadh |
| Aithneachadh aghaidh | ionmhuinn | Tha feartan aghaidh air an coimeas ri sganaidhean optigeach ùra | Faodar an ìomhaigh a ghoid agus a chleachdadh airson dearbhadh |
| Aithneachadh guth | ionmhuinn | Tha feartan an sampall guth clàraichte air an coimeas ri sampallan ùra | Faodar an clàr a ghoid agus a chleachdadh airson dearbhadh, no aithris |
Anns an dàrna pàirt den fhoillseachadh, tha na rudan as blasta a ’feitheamh rinn - àireamhan agus fìrinnean, air a bheil na co-dhùnaidhean agus na molaidhean a chaidh a thoirt seachad sa chiad phàirt stèidhichte. Thèid beachdachadh air dearbhadh ann an tagraidhean luchd-cleachdaidh agus ann an siostaman corporra air leth.
Chì mi thu a dh ’aithghearr!
Source: www.habr.com