Mai ɓarna daga taken rahoton: "Amfani da ingantaccen tabbaci yana ƙaruwa saboda barazanar sabbin haɗari da buƙatun tsari."
Kamfanin binciken "Javelin Strategy & Research" ya buga rahoton "Jihar Ƙarfin Tabbatarwa 2019" (). Wannan rahoto ya ce: kashi nawa ne kaso na kamfanonin Amurka da na Turai ke amfani da kalmar sirri (kuma me yasa mutane kalilan ne ke amfani da kalmar sirri a yanzu); dalilin da ya sa yin amfani da takaddun shaida guda biyu bisa ga alamomin cryptographic yana girma da sauri; Me yasa lambobin lokaci ɗaya da aka aika ta SMS ba su da tsaro.
Ana maraba ga duk wanda ke sha'awar halin yanzu, da, da kuma makomar tabbatarwa a cikin masana'antu da aikace-aikacen mabukaci.
Daga mai fassara
Kash, harshen da aka rubuta wannan rahoto a cikinsa “bushe” ne kuma na yau da kullun. Kuma sau biyar ana amfani da kalmar “tabbaci” a cikin gajeren jimla ɗaya ba karkatattun hannaye (ko kwakwalwa) na mai fassara ba ne, amma son zuciyar marubuta. Lokacin fassara daga zaɓuɓɓuka guda biyu - don ba masu karatu rubutu kusa da asali, ko kuma mafi ban sha'awa, wani lokaci na zaɓi na farko, wani lokacin kuma na biyu. Amma ku yi haƙuri, ya ku masu karatu, abin da ke cikin rahoton yana da daraja.
An cire wasu sassan da ba su da mahimmanci kuma waɗanda ba dole ba don labarin, in ba haka ba da mafi rinjaye ba za su iya shiga cikin dukan rubutun ba. Masu son karanta rahoton "ba tare da yankewa ba" za su iya yin hakan a cikin yaren asali ta bin hanyar haɗin yanar gizon.
Abin baƙin ciki shine, marubuta ba koyaushe suke yin taka-tsantsan da kalmomi ba. Don haka, kalmomin sirri na lokaci ɗaya (Password na Lokaci ɗaya - OTP) wani lokaci ana kiran su “passwords”, wani lokacin kuma “codes”. Har ma ya fi muni tare da hanyoyin tantancewa. Ba koyaushe ba ne mai sauƙi ga mai karatu wanda ba a horar da shi ya yi tsammani cewa "tabbatar da ta amfani da maɓallan sirri" da "ƙwaƙƙwaran tabbaci" abu ɗaya ne. Na yi ƙoƙari na haɗa ƙa'idodin gwargwadon iyawa, kuma a cikin rahoton da kansa akwai guntu tare da bayanin su.
Duk da haka, rahoton an ba da shawarar karantawa sosai saboda ya ƙunshi sakamakon bincike na musamman da kuma kyakkyawan ƙarshe.
Ana gabatar da dukkan adadi da hujjoji ba tare da sauye-sauye kaɗan ba, kuma idan ba ku yarda da su ba, yana da kyau a yi jayayya ba tare da mai fassara ba, amma tare da marubutan rahoton. Kuma ga tsokaci na (wanda aka shimfida a matsayin ambato, kuma an yi masa alama a cikin rubutu Italiyanci) su ne hukunci na kima kuma zan yi farin cikin yin jayayya akan kowannensu (da kuma ingancin fassarar).
Siffar
A zamanin yau, hanyoyin sadarwa na dijital tare da abokan ciniki sun fi mahimmanci fiye da kowane lokaci ga kasuwanci. Kuma a cikin kamfanin, sadarwa tsakanin ma'aikata sun fi dacewa da lambobi fiye da kowane lokaci. Kuma yadda amintaccen waɗannan hulɗar za su kasance ya dogara da zaɓin hanyar tantance mai amfani. Maharan suna amfani da ingantaccen tabbaci don yin hacking na asusun mai amfani da yawa. Dangane da martani, masu gudanarwa suna tsaurara matakai don tilastawa 'yan kasuwa su kara kare asusun mai amfani da bayanai.
Barazanar da ke da alaƙa sun wuce fiye da aikace-aikacen mabukaci; maharan kuma za su iya samun damar yin amfani da aikace-aikacen da ke gudana a cikin kamfani. Wannan aikin yana ba su damar yin kwaikwayon masu amfani da kamfanoni. Maharan da ke amfani da wuraren shiga tare da ingantaccen tabbaci na iya satar bayanai da yin wasu ayyukan zamba. Abin farin ciki, akwai matakan yaƙar wannan. Tabbatarwa mai ƙarfi zai taimaka sosai wajen rage haɗarin harin maharin, duka akan aikace-aikacen mabukaci da kuma tsarin kasuwancin kasuwanci.
Wannan binciken yana nazarin: yadda kamfanoni ke aiwatar da ingantaccen aiki don kare aikace-aikacen masu amfani na ƙarshe da tsarin kasuwancin kasuwanci; abubuwan da suka yi la'akari lokacin zabar wani bayani na tabbatarwa; rawar da ingantaccen tabbaci ke takawa a cikin ƙungiyoyin su; ribar da wadannan kungiyoyi ke samu.
Takaitaccen
Nemo Mabuɗi
Tun daga 2017, yin amfani da ingantaccen tabbaci ya karu sosai. Tare da karuwar yawan rashin lahani da ke shafar hanyoyin tabbatar da al'ada, ƙungiyoyi suna ƙarfafa ikon tabbatar da su tare da ingantaccen tabbaci. Adadin ƙungiyoyin da ke amfani da ingantaccen abun ciki mai mahimmanci (MFA) ya ninka sau uku tun 2017 don aikace-aikacen mabukaci kuma ya ƙaru da kusan 50% don aikace-aikacen kasuwanci. Ana ganin ci gaba mafi sauri a cikin tantancewar wayar hannu saboda karuwar samuwar tantancewar halittu.
Anan mun ga kwatanci na cewa “har sai aradu ta fado, mutum ba zai ketare kansa ba.” Lokacin da masana suka yi gargadi game da rashin tsaro na kalmomin shiga, babu wanda ya yi gaggawar aiwatar da tantance abubuwa biyu. Da masu kutse suka fara satar kalmomin shiga, sai mutane suka fara aiwatar da tantance abubuwa biyu.
Gaskiya ne, daidaikun mutane suna aiwatar da 2FA sosai. Da fari dai, yana da sauƙi a gare su su kwantar da hankalinsu ta hanyar dogaro da ingantattun na'urorin da aka gina a cikin wayoyin hannu, wanda a zahiri ba abin dogaro bane. Ƙungiyoyi suna buƙatar kashe kuɗi don siyan alamu da aiwatar da aiki (a zahiri, mai sauqi qwarai) don aiwatar da su. Na biyu kuma, malalaci ne kawai ba su rubuta game da leken asirin kalmar sirri daga ayyuka kamar Facebook da Dropbox ba, amma a cikin wani hali CIO na waɗannan ƙungiyoyi ba za su raba labarun yadda aka sace kalmomin shiga (da abin da ya faru na gaba) a cikin ƙungiyoyi ba.
Wadanda ba sa amfani da ingantaccen ingantaccen tabbaci suna raina haɗarin su ga kasuwancin su da abokan cinikin su. Wasu ƙungiyoyi waɗanda ba sa amfani da ingantaccen tabbaci a halin yanzu suna kallon shiga da kalmomin shiga a matsayin ɗayan mafi inganci da sauƙin amfani da hanyoyin tantance mai amfani. Wasu ba sa ganin ƙimar kadarorin dijital da suka mallaka. Bayan haka, yana da daraja la'akari da cewa cybercriminals suna sha'awar kowane mabukaci da bayanan kasuwanci. Kashi biyu bisa uku na kamfanonin da ke amfani da kalmar sirri kawai don tantance ma'aikatansu suna yin hakan ne saboda sun yi imanin cewa kalmar sirri ta isa ga nau'in bayanan da suke kariya.
Koyaya, kalmomin sirri suna kan hanyarsu ta zuwa kabari. Dogaro da kalmar sirri ya ragu sosai a cikin shekarar da ta gabata don duka mabukaci da aikace-aikacen kasuwanci (daga 44% zuwa 31%, kuma daga 56% zuwa 47%, bi da bi) yayin da ƙungiyoyi ke haɓaka amfani da MFA na gargajiya da ingantaccen ingantaccen tabbaci.
Amma idan muka kalli halin da ake ciki gabaɗaya, hanyoyin tabbatarwa masu rauni har yanzu suna kan gaba. Don tabbatar da mai amfani, kusan kashi ɗaya bisa huɗu na ƙungiyoyi suna amfani da SMS OTP (maɓallin kalmar sirri na lokaci ɗaya) tare da tambayoyin tsaro. A sakamakon haka, dole ne a aiwatar da ƙarin matakan tsaro don karewa daga raunin da ya faru, wanda ya kara farashin. Amfani da mafi amintattun hanyoyin tabbatarwa, kamar maɓallan rubutun kayan masarufi, ana amfani da shi ƙasa akai-akai, a cikin kusan kashi 5% na ƙungiyoyi.
Yanayi mai haɓakawa yana yin alƙawarin haɓaka ɗaukar ingantaccen tabbaci don aikace-aikacen mabukaci. Tare da gabatar da PSD2, da kuma sabbin ka'idojin kariya na bayanai a cikin EU da wasu jihohin Amurka da yawa kamar California, kamfanoni suna jin zafi. Kusan 70% na kamfanoni sun yarda cewa suna fuskantar matsin lamba mai ƙarfi don samar da ingantaccen tabbaci ga abokan cinikin su. Fiye da rabin kamfanoni sun yi imanin cewa a cikin 'yan shekarun nan hanyoyin tabbatar da su ba za su isa su cika ka'idodin tsari ba.
Bambance-bambance a cikin hanyoyin da 'yan majalisar dokokin Rasha da Amurka-Turai suka yi don kare bayanan sirri na masu amfani da shirye-shirye da ayyuka a bayyane yake. Rashawa sun ce: masoyi masu sabis, yi abin da kuke so da yadda kuke so, amma idan mai kula da ku ya haɗu da bayanan, za mu hukunta ku. Suna cewa a ƙasashen waje: Dole ne ku aiwatar da matakan da suka dace ba zai yarda ba zubar da tushe. Abin da ya sa ake aiwatar da buƙatun tabbatar da ingantaccen abu biyu a can.
Gaskiya ne, ya yi nisa daga gaskiyar cewa na'urar mu na majalisa wata rana ba za ta dawo cikin hayyacinta ba kuma ta yi la'akari da kwarewar Yammacin Turai. Sa'an nan kuma ya zama cewa kowa yana buƙatar aiwatar da 2FA, wanda ya dace da ka'idodin rubutun kalmomi na Rasha, kuma cikin gaggawa.
Ƙaddamar da ƙaƙƙarfan tsarin tabbatarwa yana bawa kamfanoni damar karkata hankalinsu daga biyan buƙatun tsari don biyan bukatun abokin ciniki. Ga waɗancan ƙungiyoyin waɗanda har yanzu suke amfani da kalmomin sirri masu sauƙi ko karɓar lambobin ta SMS, mafi mahimmancin abu lokacin zabar hanyar tantancewa zai kasance bin ka'idodi. Amma waɗannan kamfanonin da suka riga sun yi amfani da ingantaccen tabbaci na iya mayar da hankali kan zabar waɗannan hanyoyin tabbatarwa waɗanda ke ƙara amincin abokin ciniki.
Lokacin zabar hanyar tabbatar da kamfani a cikin kamfani, buƙatun ƙa'ida ba su da mahimmanci. A wannan yanayin, sauƙin haɗin kai (32%) da farashi (26%) sun fi mahimmanci.
A zamanin phishing, maharan na iya amfani da imel na kamfani don zamba don yaudarar samun damar yin amfani da bayanai, asusu (tare da haƙƙin samun damar da ya dace), har ma don shawo kan ma'aikata don yin canja wurin kuɗi zuwa asusunsa. Don haka, imel ɗin kamfanoni da asusun portal dole ne a kiyaye su musamman da kyau.
Google ya karfafa tsaro ta hanyar aiwatar da ingantaccen tabbaci. Fiye da shekaru biyu da suka gabata, Google ya buga rahoto game da aiwatar da ingantattun abubuwa biyu dangane da maɓallan tsaro na sirri ta amfani da ma'aunin FIDO U2F, yana ba da rahoton sakamako mai ban sha'awa. A cewar kamfanin, babu wani hari da aka kai wa sama da ma’aikata 85 da aka kai masu lalata.
shawarwari
Aiwatar da ingantaccen tabbaci don aikace-aikacen hannu da kan layi. Tabbatar da abubuwa da yawa dangane da maɓallan sirri suna ba da kariya mafi kyau daga hacking fiye da hanyoyin MFA na gargajiya. Bugu da kari, yin amfani da maɓallan sirri ya fi dacewa saboda babu buƙatar amfani da canja wurin ƙarin bayani - kalmomin shiga, kalmomin shiga lokaci ɗaya ko bayanan biometric daga na'urar mai amfani zuwa uwar garken tantancewa. Bugu da ƙari, daidaita ƙa'idodin tabbatarwa yana ba da sauƙin aiwatar da sabbin hanyoyin tabbatarwa yayin da suke samuwa, rage farashin aiwatarwa da kuma kariya daga manyan tsare-tsare na zamba.
Shirya don halakar kalmomin shiga na lokaci ɗaya (OTP). Lalacewar da ke cikin OTPs na ƙara fitowa fili yayin da masu aikata laifuka ta yanar gizo ke amfani da injiniyan zamantakewa, cloning na wayar hannu da malware don lalata waɗannan hanyoyin tabbatarwa. Kuma idan OTPs a wasu lokuta suna da wasu fa'idodi, to kawai daga ra'ayi na samuwa na duniya don duk masu amfani, amma ba daga ra'ayi na tsaro ba.
Ba shi yiwuwa a lura cewa karɓar lambobin ta hanyar SMS ko sanarwar turawa, da kuma samar da lambobin ta amfani da shirye-shirye don wayoyin hannu, shine amfani da waɗannan kalmomin sirri guda ɗaya (OTP) waɗanda aka nemi mu shirya don raguwa. Ta fuskar fasaha, mafita ta yi daidai sosai, domin ƴan damfara ne da ba kasafai ba ya yi ƙoƙarin gano kalmar sirri ta lokaci ɗaya daga mai amfani da ba ta da hankali. Amma ina tsammanin cewa masana'antun irin waɗannan tsarin za su manne da fasahar mutuwa har zuwa ƙarshe.
Yi amfani da ingantaccen tabbaci azaman kayan aikin talla don ƙara amincewar abokin ciniki. Ƙarfafan tabbaci na iya yin fiye da inganta ainihin amincin kasuwancin ku. Sanar da abokan ciniki cewa kasuwancin ku yana amfani da ingantaccen tabbaci na iya ƙarfafa fahimtar jama'a game da tsaron waccan kasuwancin-wani muhimmin al'amari lokacin da akwai mahimman buƙatun abokin ciniki na hanyoyin tabbatarwa masu ƙarfi.
Gudanar da cikakken ƙima da ƙima mai mahimmanci na bayanan kamfani da kare shi gwargwadon mahimmanci. Ko da ƙananan bayanan haɗari kamar bayanin tuntuɓar abokin ciniki (a'a, da gaske, rahoton ya ce "ƙananan haɗari", yana da ban mamaki sosai cewa sun raina mahimmancin wannan bayanin.), zai iya kawo ƙima mai mahimmanci ga masu zamba da haifar da matsala ga kamfani.
Yi amfani da ingantaccen ingantaccen kamfani. Yawancin tsarin sune mafi kyawun hari ga masu laifi. Waɗannan sun haɗa da tsarin ciki da haɗin Intanet kamar shirin lissafin kuɗi ko ma'ajiyar bayanan kamfanoni. Tabbatarwa mai ƙarfi yana hana maharan samun damar shiga mara izini, kuma yana ba da damar tantance daidai wanne ma'aikaci ne ya aikata mugun aikin.
Menene Ƙarfin Tabbatarwa?
Lokacin amfani da ingantaccen tabbaci, ana amfani da hanyoyi ko dalilai da yawa don tabbatar da sahihancin mai amfani:
- Fasali na ilimi: an raba sirri tsakanin mai amfani da ingantacciyar batun mai amfani (kamar kalmomin shiga, amsoshin tambayoyin tsaro, da sauransu).
- Abubuwan mallakar mallaka: na'urar da kawai mai amfani ke da ita (misali, na'urar hannu, maɓalli na sirri, da sauransu)
- Halin Mutunci: na zahiri (sau da yawa biometric) halaye na mai amfani (misali, sawun yatsa, ƙirar iris, murya, hali, da sauransu)
Bukatar hacking abubuwa da yawa yana ƙara yuwuwar gazawa ga maharan, tunda ketare ko yaudarar abubuwa daban-daban na buƙatar amfani da nau'ikan dabarun kutse, ga kowane abu daban.
Misali, tare da 2FA “Password + smartphone,” maharin na iya yin tantancewa ta hanyar duba kalmar sirrin mai amfani da yin ainihin kwafin software na wayarsa. Kuma wannan ya fi wuya fiye da satar kalmar sirri kawai.
Amma idan ana amfani da kalmar sirri da alamar sirri don 2FA, to, zaɓin kwafin ba ya aiki a nan - ba shi yiwuwa a kwafi alamar. Mai zamba zai buƙaci ya saci alamar daga mai amfani a hankali. Idan mai amfani ya lura da asarar a cikin lokaci kuma ya sanar da admin, za a toshe alamar kuma ƙoƙarin mai zamba zai zama a banza. Wannan shine dalilin da yasa ma'aunin ikon mallakar ke buƙatar amfani da na'urori masu aminci na musamman (alamu) maimakon na'urorin manufa na gaba ɗaya (wayoyin hannu).
Yin amfani da duk abubuwan guda uku zai sa wannan hanyar tabbatarwa ta yi tsada sosai don aiwatarwa kuma ba ta dace da amfani ba. Don haka, ana amfani da biyu cikin abubuwa uku.
Ka'idodin tabbatar da abubuwa biyu an bayyana su dalla-dalla , a cikin toshe "Yadda tabbatarwa abubuwa biyu ke aiki".
Yana da mahimmanci a lura cewa aƙalla ɗaya daga cikin abubuwan tabbatarwa da aka yi amfani da su a cikin ingantaccen tabbaci dole ne su yi amfani da ɓoyayyen maɓalli na jama'a.
Ƙarfi mai ƙarfi yana ba da kariya mai ƙarfi fiye da ingantaccen abu ɗaya bisa manyan kalmomin shiga da MFA na gargajiya. Ana iya yin leƙen asirin ko kuma kutse kalmomin shiga ta amfani da maɓallan maɓalli, rukunin yanar gizo, ko harin injiniyan zamantakewa (inda aka yaudare wanda aka azabtar ya bayyana kalmar sirri). Haka kuma, mai kalmar sirri ba zai san komai ba game da satar. MFA na al'ada (ciki har da lambobin OTP, ɗaure ga wayar hannu ko katin SIM) kuma ana iya yin kutse cikin sauƙi, tunda bai dogara da bayanan sirri na jama'a ba (Af, akwai misalai da yawa lokacin da, ta yin amfani da dabarun injiniya iri ɗaya, masu zamba sun rinjayi masu amfani don ba su kalmar sirri ta lokaci ɗaya.).
Abin farin ciki, amfani da ingantaccen tabbaci da MFA na al'ada yana samun karɓuwa a cikin mabukaci da aikace-aikacen kasuwanci tun bara. Amfani da ingantaccen tabbaci a aikace-aikacen mabukaci ya girma musamman cikin sauri. Idan a cikin 2017 kawai 5% na kamfanoni sun yi amfani da shi, to a cikin 2018 ya riga ya ninka sau uku - 16%. Ana iya yin bayanin wannan ta ƙara yawan isar da alamun da ke goyan bayan Algorithm din Maɓallin Maɓalli na Jama'a (PKC). Bugu da kari, karuwar matsin lamba daga masu kula da Turai biyo bayan amincewa da sabbin ka'idojin kariyar bayanai kamar PSD2 da GDPR ya yi tasiri mai karfi har ma a wajen Turai (ciki har da Rasha).
Mu kalli wadannan lambobi. Kamar yadda muke iya gani, yawan mutane masu zaman kansu da ke amfani da ingantattun abubuwa masu yawa ya karu da 11% mai ban sha'awa a cikin shekara. Kuma wannan ya faru a fili a kan kudi na masoya kalmar sirri, tun da lambobin waɗanda suka yi imani da tsaro na sanarwar turawa, SMS da biometrics ba su canza ba.
Amma tare da ingantaccen abu biyu don amfani da kamfanoni, abubuwa ba su da kyau sosai. Da fari dai, a cewar rahoton, kashi 5% na ma'aikata ne kawai aka canjawa wuri daga tantance kalmar sirri zuwa alamomi. Na biyu kuma, adadin waɗanda ke amfani da madadin zaɓuɓɓukan MFA a cikin mahallin kamfani ya karu da kashi 4%.
Zan yi ƙoƙari in kunna manazarci kuma in ba da fassarara. A tsakiyar duniyar dijital na kowane masu amfani shine wayar hannu. Don haka, ba abin mamaki ba ne cewa yawancin suna amfani da damar da na'urar ke ba su - tantancewar biometric, SMS da sanarwar turawa, da kuma kalmar sirri na lokaci ɗaya da aikace-aikace akan wayar kanta ke samarwa. Mutane yawanci ba sa tunanin aminci da aminci lokacin amfani da kayan aikin da aka yi amfani da su.
Wannan shine dalilin da ya sa adadin masu amfani da abubuwan tabbatarwa na "gargajiya" na farko ba su canzawa. Amma waɗanda suka yi amfani da kalmomin shiga a baya sun fahimci yawan haɗarin da suke ciki, kuma lokacin zabar wani sabon abin tabbatarwa, sun zaɓi sabon zaɓi mafi aminci - alamar cryptographic.
Dangane da kasuwar kamfani, yana da mahimmanci a fahimci wane tsarin tantancewar tsarin ne. Idan an aiwatar da shiga cikin yankin Windows, to ana amfani da alamun sirri. Yiwuwar amfani da su don 2FA an riga an gina su cikin duka Windows da Linux, amma madadin zaɓuɓɓukan suna da tsayi da wahalar aiwatarwa. Da yawa don ƙaura na 5% daga kalmomin shiga zuwa alamomi.
Kuma aiwatar da 2FA a cikin tsarin bayanan kamfani ya dogara sosai akan cancantar masu haɓakawa. Kuma yana da sauƙi ga masu haɓakawa su ɗauki shirye-shiryen da aka yi don samar da kalmomin shiga lokaci ɗaya fiye da fahimtar aikin algorithms. Kuma a sakamakon haka, har ma da ƙa'idodi masu mahimmanci na tsaro kamar Sa hannu guda ɗaya ko Tsarin Gudanar da Gatacce suna amfani da OTP azaman abu na biyu.
Yawancin lahani a cikin hanyoyin tabbatarwa na gargajiya
Yayin da ƙungiyoyi da yawa ke ci gaba da dogaro da tsarin gado guda ɗaya, lahani a cikin tantance abubuwa da yawa na gargajiya suna ƙara bayyana. Kalmomin sirri na lokaci ɗaya, yawanci tsayin haruffa shida zuwa takwas, waɗanda ake bayarwa ta hanyar SMS, sun kasance mafi yawan nau'in tantancewa (ban da kalmar kalmar sirri, ba shakka). Kuma lokacin da aka ambaci kalmomin “Tabbacin abubuwa biyu” ko “tabbatar da matakai biyu” a cikin shahararrun latsawa, kusan koyaushe suna nufin tantance kalmar sirri ta SMS sau ɗaya.
Anan marubucin ya ɗan yi kuskure. Isar da kalmomin shiga na lokaci ɗaya ta hanyar SMS bai taɓa zama ingantaccen abu biyu ba. Wannan shine mafi kyawun tsari mataki na biyu na tabbatar da matakai biyu, inda matakin farko shine shigar da login da kalmar sirri.
A cikin 2016, Cibiyar Ƙididdiga da Fasaha ta Ƙasa (NIST) ta sabunta ka'idojin tabbatarwa don kawar da amfani da kalmomin shiga na lokaci ɗaya da aka aika ta hanyar SMS. Koyaya, waɗannan dokokin sun sami sassauci sosai bayan zanga-zangar masana'antu.
Don haka, bari mu bi makircin. Mai tsara na Amurka daidai ya gane cewa tsohuwar fasahar ba ta da ikon tabbatar da amincin mai amfani kuma tana gabatar da sabbin ka'idoji. Matsayin da aka tsara don kare masu amfani da aikace-aikacen kan layi da na wayar hannu (ciki har da na banki). Masana'antar tana ƙididdige adadin kuɗin da za ta kashe don siyan amintattun amintattun alamomi, sake fasalin aikace-aikace, tura mahimman abubuwan more rayuwa na jama'a, kuma yana "tashi akan kafafunsa na baya." A gefe guda, masu amfani sun gamsu da amincin kalmomin shiga na lokaci guda, kuma a daya bangaren, an kai hari kan NIST. Sakamakon haka, ma'aunin ya yi laushi, kuma adadin masu satar bayanai da satar kalmomin shiga (da kuɗi daga aikace-aikacen banki) ya ƙaru sosai. Amma ba lallai ne masana'antar ta fitar da kudi ba.
Tun daga wannan lokacin, rashin ƙarfi na asali na SMS OTP sun ƙara bayyana. Masu zamba suna amfani da hanyoyi daban-daban don daidaita saƙonnin SMS:
- Kwafin katin SIM. Mahara suna ƙirƙirar kwafin SIM ɗin (tare da taimakon ma'aikatan afaretan wayar hannu, ko kuma da kansa, ta amfani da software na musamman da hardware). Sakamakon haka, maharin yana karɓar SMS tare da kalmar sirri ta lokaci ɗaya. A cikin wani sanannen lamarin, masu satar bayanai sun ma iya yin sulhu da asusun AT&T na mai saka hannun jari na cryptocurrency Michael Turpin, kuma sun sace kusan dala miliyan 24 a cikin cryptocurrencies. Sakamakon haka, Turpin ya bayyana cewa AT&T yana da laifi saboda raunin matakan tantancewa wanda ya haifar da kwafin katin SIM.
Hankali mai ban mamaki. Don haka da gaske laifin AT&T ne kawai? A'a, babu shakka laifin ma'aikacin wayar hannu ne masu tallace-tallace a cikin shagon sadarwa suka ba da katin SIM kwafi. Menene tsarin tabbatar da musayar cryptocurrency? Me ya sa ba su yi amfani da ƙaƙƙarfan alamun sirri ba? Shin abin tausayi ne kashe kuɗi don aiwatarwa? Ashe Mika'ilu ba shi da laifi? Me ya sa bai dage kan canza hanyar tantancewa ba ko kuma ya yi amfani da waɗancan mu’amalar da ke aiwatar da tantance abubuwa biyu bisa ga alamun sirri?
Gabatarwar hanyoyin tabbatar da abin dogaro da gaske an jinkirta shi daidai saboda masu amfani suna nuna rashin kulawa na ban mamaki kafin hacking, kuma daga baya suna zargin matsalolinsu akan kowa da wani abu banda tsohuwar fasahar tantancewa da “leaky”
- Malware. Ɗaya daga cikin ayyukan farko na malware ta wayar hannu shine tsangwama da tura saƙonnin rubutu ga maharan. Har ila yau, hare-haren mutum-in-the-browser da na mutum-a-tsakiyar na iya satar kalmomin shiga lokaci guda idan aka shigar da su a kan kwamfutar tafi-da-gidanka masu kamuwa da cuta ko na'urorin tebur.
Lokacin da aikace-aikacen Sberbank akan wayoyinku ya kyalkyale alamar kore a cikin matsayi, yana kuma neman "malware" akan wayarka. Manufar wannan taron shine a juya yanayin aiwatar da rashin amana na wayar salula ta yau da kullun zuwa, aƙalla ta wata hanya, amintaccen.
Af, wayowin komai da ruwan, a matsayin na'urar da ba a amince da ita gaba daya ba, wanda za a iya yin komai a kai, wani dalili ne na amfani da shi don tantancewa. hardware tokens kawai, waɗanda ke da kariya kuma ba su da ƙwayoyin cuta da Trojans. - Injiniyan zamantakewa. Lokacin da masu zamba suka san cewa wanda aka azabtar yana da OTPs ta hanyar SMS, za su iya tuntuɓar wanda aka azabtar kai tsaye, suna nuna a matsayin amintacciyar ƙungiya kamar bankin su ko ƙungiyar bashi, don yaudarar wanda aka azabtar ya ba da lambar da suka karɓa.
Ni da kaina na ci karo da wannan nau'in zamba sau da yawa, misali, lokacin ƙoƙarin sayar da wani abu a kan sanannen kasuwar ƙuma ta kan layi. Ni da kaina na yi wa dan damfara wanda ya yi kokarin yaudarata har ta koshi. Amma kash, na karanta a kai a kai a cikin labarai yadda har yanzu wani wanda aka azabtar da 'yan zamba "bai yi tunani ba," ya ba da lambar tabbatarwa kuma ya rasa babban adadin. Kuma duk wannan saboda banki kawai ba ya son yin aiki tare da aiwatar da alamun cryptographic a cikin aikace-aikacen sa. Bayan haka, idan wani abu ya faru, abokan ciniki "suna da kansu ga zargi."
Yayin da madadin hanyoyin isar da OTP na iya rage wasu lahani a cikin wannan hanyar tantancewa, sauran lahani sun kasance. Aikace-aikacen samar da lambar tsaye shine mafi kyawun kariya daga saurara, tunda ko malware ba zai iya yin hulɗa kai tsaye tare da janareta na lambar ba (da gaske? Marubucin rahoton ya manta da abin da ake kira remote control?), amma har yanzu ana iya katse OTPs lokacin shigar da mai lilo (browser).misali amfani da keylogger), ta hanyar aikace-aikacen hannu da aka yi kutse; kuma ana iya samun su kai tsaye daga mai amfani ta amfani da injiniyan zamantakewa.
Amfani da kayan aikin tantance haɗari da yawa kamar tantance na'urar (gano ƙoƙarin yin ma'amaloli daga na'urorin da ba na mai amfani da doka ba), wurin zama (Wani mai amfani wanda ya kasance a Moscow ya yi ƙoƙarin yin aiki daga Novosibirsk) da kuma nazarin halayen halayen suna da mahimmanci don magance raunin da ya faru, amma ba mafita ba shine panacea. Ga kowane yanayi da nau'in bayanai, ya zama dole a yi la'akari da haɗari a hankali kuma zaɓi wace fasahar tantancewa ya kamata a yi amfani da ita.
Babu ingantaccen bayani shine panacea
Hoto 2. Tebur na zaɓuɓɓukan tabbatarwa
| Gasktawa | Factor | Description | Maɓalli na rauni |
| Kalmar sirri ko PIN | Ilimi | Ƙimar ƙayyadaddun ƙima, wanda zai iya haɗawa da haruffa, lambobi da adadin wasu haruffa | Ana iya kamawa, leƙen asiri, sata, ɗauka ko yin kutse |
| Tabbatar da tushen ilimi | Ilimi | Tambayoyi amsoshin da mai amfani da doka kawai zai iya sani | Ana iya katsewa, ɗauka, samu ta amfani da hanyoyin injiniyan zamantakewa |
| Hardware OTP () | Mallaka | Na'ura ta musamman wacce ke samar da kalmomin shiga lokaci guda | Ana iya kama lambar kuma a maimaita, ko kuma a sace na'urar |
| OTPs na software | Mallaka | Aikace-aikace (wayar hannu, ana iya samun ta ta hanyar bincike, ko aika lambobin ta imel) wanda ke haifar da kalmomin shiga lokaci ɗaya. | Ana iya kama lambar kuma a maimaita, ko kuma a sace na'urar |
| SMS OTP | Mallaka | Kalmar wucewa ta lokaci ɗaya ana isar da saƙon rubutu ta SMS | Ana iya katse lambar kuma a maimaita, ko a sace wayoyi ko katin SIM, ko kuma a kwafi katin SIM ɗin. |
| Katunan wayo () | Mallaka | Katin da ke ƙunshe da guntun sirrin sirri da amintaccen mabuɗin maɓalli wanda ke amfani da kayan aikin maɓalli na jama'a don tantancewa | Ana iya yin sata ta jiki (amma mai hari ba zai iya amfani da na'urar ba tare da sanin lambar PIN ba; idan aka yi yunƙurin shigar da ba daidai ba, za a toshe na'urar) |
| Maɓallan tsaro - alamun (, ) | Mallaka | Na'urar USB wanda ke ƙunshe da guntun sirrin sirri da amintaccen ƙwaƙwalwar maɓalli wanda ke amfani da kayan aikin maɓalli na jama'a don tantancewa | Ana iya yin sata ta jiki (amma mai hari ba zai iya amfani da na'urar ba tare da sanin lambar PIN ba; idan an yi ƙoƙarin shigar da ba daidai ba, za a toshe na'urar) |
| Haɗa zuwa na'ura | Mallaka | Tsarin da ke ƙirƙirar bayanin martaba, galibi ta amfani da JavaScript, ko amfani da alamomi kamar kukis da Abubuwan Raba Flash don tabbatar da cewa ana amfani da takamaiman na'ura. | Ana iya satar alamomi (kofe), kuma maharani na iya yin koyi da halayen na'urar doka ta maharin da ke kan na'urarsa. |
| Zama | Halin da ake ciki | Yana nazarin yadda mai amfani ke hulɗa da na'ura ko shirin | Ana iya kwaikwayon hali |
| Alamun yatsa | Halin da ake ciki | Ana kwatanta hotunan yatsu da aka adana da waɗanda aka kama ta gani ko ta hanyar lantarki | Ana iya sace hoton kuma a yi amfani da shi don tantancewa |
| Duban ido | Halin da ake ciki | Yana kwatanta halayen ido, kamar tsarin iris, tare da sabbin sikanin gani | Ana iya sace hoton kuma a yi amfani da shi don tantancewa |
| Gane fuska | Halin da ake ciki | Ana kwatanta halayen fuska da sabbin sikanin gani | Ana iya sace hoton kuma a yi amfani da shi don tantancewa |
| Gane murya | Halin da ake ciki | Ana kwatanta halayen samfurin muryar da aka yi rikodin tare da sababbin samfurori | Ana iya satar rikodin kuma a yi amfani da shi don tantancewa, ko a kwaikwayi shi |
A cikin kashi na biyu na wallafe-wallafen, abubuwan da suka fi daɗi suna jiran mu - lambobi da gaskiya, waɗanda aka dogara da shawarwari da shawarwarin da aka bayar a kashi na farko. Tabbatarwa a cikin aikace-aikacen mai amfani da kuma a cikin tsarin kamfanoni za a tattauna daban.
Duba ku nan da nan!
source: www.habr.com