Spoiler do título do informe: "O uso da autenticación forte aumenta debido á ameaza de novos riscos e requisitos regulamentarios".
A empresa de investigación "Javelin Strategy & Research" publicou o informe "The State of Strong Authentication 2019" (). Este informe di: que porcentaxe de empresas estadounidenses e europeas usan contrasinais (e por que poucas persoas usan contrasinais agora); por que o uso da autenticación de dous factores baseada en tokens criptográficos está a crecer tan rapidamente; Por que os códigos únicos enviados por SMS non son seguros.
Calquera persoa interesada no presente, pasado e futuro da autenticación en empresas e aplicacións de consumo é benvida.
Do tradutor
Por desgraza, o idioma no que está escrito este informe é bastante "seco" e formal. E o uso cinco veces da palabra "autenticación" nunha frase curta non é as mans tortas (ou o cerebro) do tradutor, senón o capricho dos autores. Ao traducir desde dúas opcións: ofrecer aos lectores un texto máis próximo ao orixinal ou outro máis interesante, ás veces escollín a primeira e outras a segunda. Pero teñan paciencia, queridos lectores, o contido da reportaxe paga a pena.
Elimináronse algunhas pezas sen importancia e innecesarias para a historia, se non, a maioría non sería capaz de atravesar todo o texto. Os que desexen ler o informe "sen cortar" poden facelo na lingua orixinal seguindo a ligazón.
Por desgraza, os autores non sempre teñen coidado coa terminoloxía. Así, os contrasinais únicos (One Time Password - OTP) chámanse ás veces "contrasinais" e ás veces "códigos". É aínda peor cos métodos de autenticación. Non sempre é doado para o lector non adestrado adiviñar que "autenticación mediante claves criptográficas" e "autenticación forte" son o mesmo. Tentei unificar os termos o máximo posible, e no propio informe hai un fragmento coa súa descrición.
Non obstante, a lectura do informe é moi recomendable porque contén resultados de investigación únicos e conclusións correctas.
Todas as cifras e feitos preséntanse sen os máis mínimos cambios, e se non estás de acordo con eles, é mellor discutir non co tradutor, senón cos autores do informe. E aquí están os meus comentarios (presentados como citas e marcados no texto italiano) son o meu xuízo de valor e estarei encantado de discutir sobre cada un deles (así como sobre a calidade da tradución).
Comentar
Hoxe en día, as canles dixitais de comunicación cos clientes son máis importantes que nunca para as empresas. E dentro da empresa, as comunicacións entre os empregados están máis orientadas dixitalmente que nunca. E como seguras serán estas interaccións depende do método escollido de autenticación do usuario. Os atacantes usan unha autenticación débil para piratear masivamente as contas dos usuarios. En resposta, os reguladores están reforzando os estándares para obrigar ás empresas a protexer mellor as contas e os datos dos usuarios.
As ameazas relacionadas coa autenticación van máis aló das aplicacións de consumo; os atacantes tamén poden acceder ás aplicacións que se executan dentro da empresa. Esta operación permítelles suplantar a identidade dos usuarios corporativos. Os atacantes que usan puntos de acceso cunha autenticación débil poden roubar datos e realizar outras actividades fraudulentas. Afortunadamente, hai medidas para combater isto. A autenticación forte axudará a reducir significativamente o risco de ataque por parte dun atacante, tanto en aplicacións de consumo como en sistemas empresariais.
Este estudo examina: como as empresas implementan a autenticación para protexer as aplicacións dos usuarios finais e os sistemas empresariais; factores que consideran á hora de elixir unha solución de autenticación; o papel que xoga a autenticación forte nas súas organizacións; os beneficios que estas organizacións reciben.
Resumo
Principais achados
Desde 2017, o uso da autenticación forte aumentou drasticamente. Co aumento do número de vulnerabilidades que afectan ás solucións de autenticación tradicionais, as organizacións están reforzando as súas capacidades de autenticación cunha autenticación forte. O número de organizacións que utilizan a autenticación criptográfica multifactor (MFA) triplicouse desde 2017 para as aplicacións de consumo e aumentou case un 50 % para as aplicacións empresariais. O crecemento máis rápido obsérvase na autenticación móbil debido á crecente dispoñibilidade da autenticación biométrica.
Aquí vemos unha ilustración do refrán "ata que o trono non se persignará". Cando os expertos advertiron sobre a inseguridade dos contrasinais, ninguén tiña présa por implementar a autenticación de dous factores. Tan pronto como os piratas informáticos comezaron a roubar contrasinais, a xente comezou a implementar a autenticación de dous factores.
É certo que os individuos están implementando 2FA de forma moito máis activa. En primeiro lugar, é máis fácil para eles calmar os seus medos confiando na autenticación biométrica integrada nos teléfonos intelixentes, que de feito é moi pouco fiable. As organizacións deben gastar cartos na compra de tokens e realizar un traballo (de feito, moi sinxelo) para implementalos. E, en segundo lugar, só os preguiceiros non escribiron sobre filtracións de contrasinais de servizos como Facebook e Dropbox, pero baixo ningún concepto os CIO destas organizacións compartirán historias sobre como se roubaron os contrasinais (e que pasou despois) nas organizacións.
Aqueles que non usan unha autenticación forte están subestimando o risco para a súa empresa e os seus clientes. Algunhas organizacións que non usan actualmente unha autenticación forte tenden a ver os inicios de sesión e os contrasinais como un dos métodos máis eficaces e fáciles de usar de autenticación de usuarios. Outros non ven o valor dos activos dixitais que posúen. Despois de todo, paga a pena ter en conta que os cibercriminales están interesados en calquera información de consumidores e empresas. Dous terzos das empresas que só usan contrasinais para autenticar aos seus empregados fano porque cren que os contrasinais son o suficientemente bos para o tipo de información que protexen.
Non obstante, os contrasinais están camiño da tumba. A dependencia dos contrasinais baixou significativamente durante o último ano tanto para as aplicacións de consumo como para as empresariais (do 44 % ao 31 % e do 56 % ao 47 %, respectivamente) a medida que as organizacións aumentan o seu uso do MFA tradicional e da autenticación forte.
Pero se observamos a situación no seu conxunto, aínda prevalecen os métodos de autenticación vulnerables. Para a autenticación de usuarios, preto dunha cuarta parte das organizacións usan SMS OTP (contrasinal único) xunto con preguntas de seguridade. Como resultado, débense implementar medidas de seguridade adicionais para protexerse contra a vulnerabilidade, o que aumenta os custos. O uso de métodos de autenticación moito máis seguros, como as claves criptográficas de hardware, úsase con moita menos frecuencia, aproximadamente nun 5% das organizacións.
O entorno normativo en evolución promete acelerar a adopción dunha autenticación forte para as aplicacións de consumo. Coa introdución do PSD2, así como as novas regras de protección de datos na UE e en varios estados dos EE. UU., como California, as empresas están a sentir o calor. Case o 70% das empresas están de acordo en que se enfrontan a unha forte presión regulamentaria para proporcionar unha autenticación forte aos seus clientes. Máis da metade das empresas cre que dentro duns anos os seus métodos de autenticación non serán suficientes para cumprir as normas regulamentarias.
A diferenza nos enfoques dos lexisladores rusos e americano-europeos sobre a protección dos datos persoais dos usuarios de programas e servizos é claramente visible. Os rusos din: queridos propietarios de servizos, fagan o que queiran e como queiran, pero se o seu administrador fusiona a base de datos, castigarémosvos. Din no estranxeiro: hai que aplicar un conxunto de medidas que non o permitirá escorrer a base. É por iso que se están a implementar alí os requisitos para unha autenticación estrita de dous factores.
Certo, está lonxe de ser un feito que a nosa maquinaria lexislativa algún día non vai entrar en razón e ter en conta a experiencia occidental. Entón resulta que todos necesitan implementar 2FA, que cumpre cos estándares criptográficos rusos, e con urxencia.
Establecer un marco de autenticación forte permite ás empresas cambiar o seu foco de cumprir os requisitos regulamentarios para satisfacer as necesidades dos clientes. Para aquelas organizacións que aínda están utilizando contrasinais simples ou recibindo códigos por SMS, o factor máis importante á hora de escoller un método de autenticación será o cumprimento dos requisitos regulamentarios. Pero aquelas empresas que xa usan unha autenticación forte poden centrarse en escoller aqueles métodos de autenticación que aumenten a fidelidade dos clientes.
Ao elixir un método de autenticación corporativa dentro dunha empresa, os requisitos regulamentarios xa non son un factor importante. Neste caso, a facilidade de integración (32%) e o custo (26%) son moito máis importantes.
Na era do phishing, os atacantes poden usar o correo electrónico corporativo para estafar para acceder fraudulentamente a datos, contas (cos dereitos de acceso adecuados) e mesmo convencer aos empregados de que fagan unha transferencia de diñeiro á súa conta. Polo tanto, o correo electrónico corporativo e as contas do portal deben estar especialmente ben protexidos.
Google reforzou a súa seguridade implementando unha autenticación forte. Hai máis de dous anos, Google publicou un informe sobre a implementación da autenticación de dous factores baseada en claves de seguranza criptográficas mediante o estándar FIDO U2F, informando de resultados impresionantes. Segundo a compañía, non se levou a cabo nin un só ataque de phishing contra máis de 85 empregados.
Recomendacións
Implementa unha autenticación forte para aplicacións móbiles e en liña. A autenticación multifactor baseada en claves criptográficas ofrece unha protección moito mellor contra a piratería que os métodos MFA tradicionais. Ademais, o uso de claves criptográficas é moito máis cómodo porque non é necesario usar e transferir información adicional: contrasinais, contrasinais únicos ou datos biométricos do dispositivo do usuario ao servidor de autenticación. Ademais, a estandarización dos protocolos de autenticación facilita moito a implementación de novos métodos de autenticación a medida que estean dispoñibles, reducindo os custos de implementación e protexendo contra esquemas de fraude máis sofisticados.
Prepárese para a desaparición dos contrasinais únicos (OTP). As vulnerabilidades inherentes ás OTP son cada vez máis evidentes a medida que os cibercriminales usan a enxeñaría social, a clonación de teléfonos intelixentes e o malware para comprometer estes medios de autenticación. E se os OTP nalgúns casos teñen certas vantaxes, só desde o punto de vista da dispoñibilidade universal para todos os usuarios, pero non desde o punto de vista da seguridade.
É imposible non notar que recibir códigos vía SMS ou notificacións Push, así como xerar códigos mediante programas para smartphones, é o uso deses mesmos contrasinais únicos (OTP) para os que se nos pide que nos preparemos para o descenso. Desde o punto de vista técnico, a solución é moi correcta, porque é un raro defraudador que non intenta descubrir o contrasinal único dun usuario crédulo. Pero creo que os fabricantes deste tipo de sistemas se aferrarán á tecnoloxía moribunda ata o final.
Use a autenticación forte como ferramenta de mercadotecnia para aumentar a confianza dos clientes. A autenticación forte pode facer máis que mellorar a seguridade real da túa empresa. Informar aos clientes de que a túa empresa utiliza unha autenticación forte pode reforzar a percepción pública da seguridade desa empresa, un factor importante cando hai unha demanda importante dos clientes de métodos de autenticación fortes.
Realiza un inventario exhaustivo e unha avaliación da criticidade dos datos corporativos e protexeos segundo a importancia. Incluso datos de baixo risco, como a información de contacto do cliente (non, a verdade, o informe di "baixo risco", é moi estraño que subestimen a importancia desta información), pode aportar un valor significativo aos defraudadores e causar problemas á empresa.
Use unha autenticación empresarial forte. Varios sistemas son os obxectivos máis atractivos para os criminais. Estes inclúen sistemas internos e conectados a Internet, como un programa de contabilidade ou un almacén de datos corporativo. A autenticación forte impide que os atacantes teñan acceso non autorizado e tamén permite determinar con precisión que empregado cometeu a actividade maliciosa.
Que é a autenticación forte?
Cando se usa a autenticación forte, utilízanse varios métodos ou factores para verificar a autenticidade do usuario:
- Factor de coñecemento: segredo compartido entre o usuario e o suxeito autenticado do usuario (como contrasinais, respostas a preguntas de seguridade, etc.)
- Factor de propiedade: un dispositivo que só ten o usuario (por exemplo, un dispositivo móbil, unha clave criptográfica, etc.)
- Factor de integridade: características físicas (a miúdo biométricas) do usuario (por exemplo, impresión dixital, patrón de iris, voz, comportamento, etc.)
A necesidade de hackear varios factores aumenta moito a probabilidade de fracaso dos atacantes, xa que para evitar ou enganar varios factores esixe utilizar varios tipos de tácticas de hackeo, para cada factor por separado.
Por exemplo, con 2FA "contrasinal + teléfono intelixente", un atacante pode realizar a autenticación mirando o contrasinal do usuario e facendo unha copia exacta do software do seu teléfono intelixente. E isto é moito máis difícil que simplemente roubar un contrasinal.
Pero se se usa un contrasinal e un token criptográfico para 2FA, a opción de copia non funciona aquí: é imposible duplicar o token. O defraudador terá que roubar furtivamente o token ao usuario. Se o usuario nota a perda a tempo e notifica ao administrador, o token bloquearase e os esforzos do defraudador serán en balde. É por iso que o factor propiedade require o uso de dispositivos seguros especializados (tokens) en lugar de dispositivos de propósito xeral (teléfonos intelixentes).
Usar os tres factores fará que este método de autenticación sexa bastante caro de implementar e bastante incómodo de usar. Polo tanto, adoitan utilizarse dous de cada tres factores.
Descríbense con máis detalle os principios da autenticación de dous factores , no bloque "Como funciona a autenticación de dous factores".
É importante ter en conta que polo menos un dos factores de autenticación utilizados na autenticación forte debe usar criptografía de clave pública.
A autenticación forte ofrece unha protección moito máis forte que a autenticación dun factor baseada en contrasinais clásicos e MFA tradicional. Os contrasinais pódense espiar ou interceptar mediante keyloggers, sitios de phishing ou ataques de enxeñería social (onde a vítima é enganada para que revele o seu contrasinal). Ademais, o propietario do contrasinal non saberá nada sobre o roubo. O MFA tradicional (incluíndo códigos OTP, vinculación a un teléfono intelixente ou tarxeta SIM) tamén se pode piratear con bastante facilidade, xa que non se basea na criptografía de chave pública (Por certo, hai moitos exemplos nos que, usando as mesmas técnicas de enxeñería social, os estafadores persuadían aos usuarios para que lles dean un contrasinal único.).
Afortunadamente, o uso da autenticación forte e MFA tradicional foi gañando tracción tanto en aplicacións de consumo como de empresas desde o ano pasado. O uso da autenticación forte en aplicacións de consumo creceu con especial rapidez. Se en 2017 só o usou o 5% das empresas, en 2018 xa era tres veces máis: o 16%. Isto pódese explicar pola maior dispoñibilidade de tokens que admiten algoritmos de criptografía de chave pública (PKC). Ademais, o aumento da presión dos reguladores europeos tras a adopción de novas regras de protección de datos como PSD2 e GDPR tivo un forte efecto mesmo fóra de Europa (incluso en Rusia).
Vexamos máis de cerca estes números. Como podemos ver, a porcentaxe de particulares que utilizan a autenticación multifactor creceu nun impresionante 11% ao longo do ano. E isto ocorreu claramente a costa dos amantes dos contrasinais, xa que os números dos que cren na seguridade das notificacións Push, SMS e biometría non cambiaron.
Pero coa autenticación de dous factores para uso corporativo, as cousas non son tan boas. En primeiro lugar, segundo o informe, só o 5% dos empregados foron transferidos da autenticación de contrasinal aos tokens. E en segundo lugar, o número de quen usa opcións alternativas de MFA nun entorno corporativo aumentou un 4%.
Intentarei facer de analista e dar a miña interpretación. No centro do mundo dixital dos usuarios individuais está o teléfono intelixente. Polo tanto, non é de estrañar que a maioría use as capacidades que lles proporciona o dispositivo: autenticación biométrica, notificacións de SMS e Push, así como contrasinais únicos xerados polas aplicacións do propio teléfono intelixente. A xente normalmente non pensa na seguridade e na fiabilidade cando usa as ferramentas ás que está afeita.
É por iso que a porcentaxe de usuarios dos factores de autenticación "tradicionais" primitivos permanece sen cambios. Pero aqueles que usaron previamente contrasinais entenden canto están arriscando e, ao elixir un novo factor de autenticación, optan pola opción máis nova e segura: un token criptográfico.
En canto ao mercado corporativo, é importante comprender en que sistema se realiza a autenticación. Se se implementa o inicio de sesión nun dominio de Windows, utilízanse tokens criptográficos. As posibilidades de usalos para 2FA xa están integradas tanto en Windows como en Linux, pero as opcións alternativas son longas e difíciles de implementar. Tanto para a migración do 5% de contrasinais a tokens.
E a implementación de 2FA nun sistema de información corporativo depende moito das cualificacións dos desenvolvedores. E é moito máis doado para os desenvolvedores tomar módulos preparados para xerar contrasinais únicos que comprender o funcionamento dos algoritmos criptográficos. E como resultado, incluso aplicacións incriblemente críticas para a seguridade, como o inicio de sesión único ou os sistemas de xestión de acceso privilexiado, usan OTP como segundo factor.
Moitas vulnerabilidades nos métodos de autenticación tradicionais
Aínda que moitas organizacións seguen a depender dos sistemas legados dun único factor, as vulnerabilidades na autenticación multifactor tradicional son cada vez máis evidentes. Os contrasinais únicos, normalmente de seis a oito caracteres, que se envían por SMS, seguen sendo a forma máis común de autenticación (ademais do factor de contrasinal, por suposto). E cando as palabras "autenticación de dous factores" ou "verificación en dous pasos" se mencionan na prensa popular, case sempre se refiren á autenticación de contrasinal única por SMS.
Aquí o autor está un pouco equivocado. A entrega de contrasinais únicos por SMS nunca foi unha autenticación de dous factores. Esta é na súa forma máis pura a segunda etapa da autenticación en dous pasos, onde a primeira etapa é introducir o teu usuario e contrasinal.
En 2016, o Instituto Nacional de Estándares e Tecnoloxía (NIST) actualizou as súas regras de autenticación para eliminar o uso de contrasinais únicos enviados por SMS. Non obstante, estas regras relaxáronse significativamente tras as protestas da industria.
Entón, imos seguir a trama. O regulador estadounidense recoñece con razón que a tecnoloxía obsoleta non é capaz de garantir a seguridade dos usuarios e está a introducir novos estándares. Estándares deseñados para protexer aos usuarios de aplicacións en liña e móbiles (incluídas as bancarias). A industria está a calcular cantos cartos terá que gastar na compra de tokens criptográficos verdadeiramente fiables, o redeseño de aplicacións, a implantación dunha infraestrutura de chave pública e está "levantándose sobre as súas patas traseiras". Por unha banda, os usuarios estaban convencidos da fiabilidade dos contrasinais únicos e, por outra banda, houbo ataques ao NIST. Como resultado, o estándar suavizouse e o número de pirateos e roubos de contrasinais (e diñeiro das aplicacións bancarias) aumentou drasticamente. Pero a industria non tivo que desembolsar diñeiro.
Desde entón, as debilidades inherentes do SMS OTP fixéronse máis evidentes. Os estafadores usan varios métodos para comprometer as mensaxes SMS:
- Duplicación da tarxeta SIM. Os atacantes crean unha copia da SIM (coa axuda de empregados de operadores móbiles, ou de forma independente, utilizando software e hardware especiais). Como resultado, o atacante recibe unha SMS cun contrasinal único. Nun caso especialmente famoso, os piratas informáticos incluso puideron comprometer a conta de AT&T do investidor en criptomoedas Michael Turpin e roubar case 24 millóns de dólares en criptomoedas. Como resultado, Turpin declarou que AT&T tiña a culpa debido ás débiles medidas de verificación que levaron á duplicación da tarxeta SIM.
Lóxica incrible. Entón, é só culpa de AT&T? Non, sen dúbida é culpa do operador móbil que os vendedores da tenda de comunicación emitiron unha tarxeta SIM duplicada. Que pasa co sistema de autenticación de intercambio de criptomonedas? Por que non usaron fichas criptográficas fortes? Foi unha mágoa gastar cartos na implementación? Non é o propio Michael a culpa? Por que non insistiu en cambiar o mecanismo de autenticación ou en utilizar só aqueles intercambios que implementan a autenticación de dous factores baseada en tokens criptográficos?
A introdución de métodos de autenticación verdadeiramente fiables atrasase precisamente porque os usuarios mostran un descoido sorprendente antes de piratear, e despois culpan dos seus problemas a calquera outra cousa que non sexan tecnoloxías de autenticación antigas e "fugas".
- Software malicioso. Unha das primeiras funcións do malware móbil foi interceptar e reenviar mensaxes de texto aos atacantes. Ademais, os ataques man-in-the-browser e man-in-the-middle poden interceptar contrasinais únicos cando se introducen en portátiles ou dispositivos de escritorio infectados.
Cando a aplicación Sberbank do teu teléfono intelixente parpadea unha icona verde na barra de estado, tamén busca "malware" no teu teléfono. O obxectivo deste evento é converter o ambiente de execución non fiable dun teléfono intelixente típico nun, polo menos dalgún xeito, de confianza.
Por certo, un teléfono intelixente, como un dispositivo completamente pouco fiable no que se pode facer calquera cousa, é outro motivo para usalo para a autenticación só fichas de hardware, que están protexidos e libres de virus e troianos. - Enxeñaría social. Cando os estafadores saben que unha vítima ten OTP activadas a través de SMS, poden contactar coa vítima directamente, facéndose pasar por unha organización de confianza, como o seu banco ou cooperativa de crédito, para enganar á vítima para que lle proporcione o código que acaba de recibir.
Persoalmente atopeime con este tipo de fraude moitas veces, por exemplo, cando tentaba vender algo nun popular mercado de pulgas en liña. Eu mesmo me burlei do estafador que intentou enganarme a gusto. Pero, por desgraza, leo regularmente nas noticias como outra vítima dos estafadores "non pensou", deu o código de confirmación e perdeu unha gran suma. E todo isto débese a que o banco simplemente non quere xestionar a implementación de tokens criptográficos nas súas aplicacións. Despois de todo, se ocorre algo, os clientes "téñense a culpa".
Aínda que os métodos de entrega OTP alternativos poden mitigar algunhas das vulnerabilidades deste método de autenticación, outras vulnerabilidades permanecen. As aplicacións de xeración de código autónomos son a mellor protección contra as escoitas, xa que ata o malware dificilmente pode interactuar directamente co xerador de código (en serio? O autor do informe esqueceuse do control remoto?), pero os OTP aínda se poden interceptar cando se introducen no navegador (por exemplo usando un keylogger), a través dunha aplicación móbil pirateada; e tamén se pode obter directamente do usuario mediante a enxeñaría social.
Usando varias ferramentas de avaliación de riscos como o recoñecemento de dispositivos (detección de intentos de realizar transaccións desde dispositivos que non pertencen a un usuario legal), xeolocalización (un usuario que acaba de estar en Moscova tenta realizar unha operación desde Novosibirsk) e a análise do comportamento son importantes para abordar as vulnerabilidades, pero ningunha das dúas solucións é unha panacea. Para cada situación e tipo de datos, é necesario avaliar coidadosamente os riscos e escoller que tecnoloxía de autenticación se debe utilizar.
Ningunha solución de autenticación é unha panacea
Figura 2. Táboa de opcións de autenticación
| Autenticación | Factor | Descrición | Vulnerabilidades clave |
| Contrasinal ou PIN | O coñecemento | Valor fixo, que pode incluír letras, números e outros caracteres | Pode ser interceptado, espiado, roubado, capturado ou pirateado |
| Autenticación baseada no coñecemento | O coñecemento | Pregunta as respostas ás que só pode coñecer un usuario legal | Pódese interceptar, recoller, obter mediante métodos de enxeñería social |
| OTP de hardware () | Posesión | Un dispositivo especial que xera contrasinais únicos | O código pode ser interceptado e repetido, ou o dispositivo pode ser roubado |
| OTP de software | Posesión | Unha aplicación (móbil, accesible a través dun navegador ou enviando códigos por correo electrónico) que xera contrasinais únicos | O código pode ser interceptado e repetido, ou o dispositivo pode ser roubado |
| SMS OTP | Posesión | Contrasinal único enviado mediante mensaxe de texto SMS | O código pode ser interceptado e repetido, ou o teléfono intelixente ou a tarxeta SIM pode ser roubada, ou a tarxeta SIM pode duplicarse |
| Tarxetas intelixentes () | Posesión | Unha tarxeta que contén un chip criptográfico e unha memoria de clave segura que utiliza unha infraestrutura de clave pública para a autenticación | Pode ser roubado fisicamente (pero un atacante non poderá utilizar o dispositivo sen coñecer o código PIN; en caso de varios intentos de entrada incorrectos, o dispositivo bloquearase) |
| Chaves de seguranza - tokens (, ) | Posesión | Un dispositivo USB que contén un chip criptográfico e unha memoria de chave segura que utiliza unha infraestrutura de chave pública para a autenticación | Pode ser roubado fisicamente (pero un atacante non poderá utilizar o dispositivo sen coñecer o código PIN; en caso de varios intentos de entrada incorrectos, o dispositivo bloquearase) |
| Vinculación a un dispositivo | Posesión | O proceso que crea un perfil, a miúdo usando JavaScript ou usando marcadores como cookies e Flash Shared Objects para garantir que se está a utilizar un dispositivo específico | As fichas pódense roubar (copiar) e un atacante pode imitar as características dun dispositivo legal no seu dispositivo |
| Comportamento | Inherencia | Analiza como interactúa o usuario cun dispositivo ou programa | O comportamento pódese imitar |
| Pegadas dixitais | Inherencia | As impresións dixitais almacenadas compáranse coas capturadas ópticamente ou electrónicamente | A imaxe pode ser roubada e usada para a autenticación |
| Escáner ocular | Inherencia | Compara as características dos ollos, como o patrón do iris, coas novas exploracións ópticas | A imaxe pode ser roubada e usada para a autenticación |
| Recoñecemento facial | Inherencia | Compáranse as características faciais coas novas exploracións ópticas | A imaxe pode ser roubada e usada para a autenticación |
| Recoñecemento de voz | Inherencia | Compáranse as características da mostra de voz gravada coas novas mostras | O rexistro pode ser roubado e usado para a autenticación, ou emulado |
Na segunda parte da publicación agárdannos as cousas máis deliciosas: números e feitos, nos que se basean as conclusións e recomendacións dadas na primeira parte. A autenticación en aplicacións de usuario e en sistemas corporativos tratarase por separado.
Ata pronto.
Fonte: www.habr.com