Spoiler iz naslova izvješća: "Upotreba snažne autentifikacije raste zbog prijetnji novim rizicima i regulatornim zahtjevima."
Istraživačka tvrtka "Javelin Strategy & Research" objavila je izvješće "The State of Strong Authentication 2019" (). Ovo izvješće kaže: koliki postotak američkih i europskih kompanija koristi lozinke (i zašto malo ljudi sada koristi lozinke); zašto korištenje dvofaktorske autentifikacije temeljene na kriptografskim tokenima tako brzo raste; Zašto jednokratni kodovi poslani SMS-om nisu sigurni.
Svi zainteresirani za sadašnjost, prošlost i budućnost autentifikacije u poduzećima i korisničkim aplikacijama su dobrodošli.
Od prevoditelja
Nažalost, jezik na kojem je ovo izvješće napisano prilično je "suh" i formalan. A peterostruko korištenje riječi “autentifikacija” u jednoj kratkoj rečenici nije krive ruke (ili mozak) prevoditelja, već hir autora. Kad sam prevodio s dvije mogućnosti – da čitateljima dam tekst bliži izvorniku, ili zanimljiviji, ponekad sam birao prvu, a ponekad drugu. Ali budite strpljivi, dragi čitatelji, sadržaj izvješća je vrijedan toga.
Izbačeni su neki za priču nevažni i nepotrebni dijelovi, inače većina ne bi mogla proći cijeli tekst. Oni koji žele pročitati izvješće “nerezano” mogu to učiniti na izvornom jeziku slijedeći poveznicu.
Nažalost, autori nisu uvijek pažljivi s terminologijom. Tako se jednokratne lozinke (One Time Password - OTP) ponekad nazivaju “lozinke”, a ponekad “kodovi”. Još je gore s metodama provjere autentičnosti. Neupućenom čitatelju nije uvijek lako pogoditi da su "provjera autentičnosti pomoću kriptografskih ključeva" i "jaka provjera autentičnosti" ista stvar. Pojmove sam nastojao što više unificirati, au samom izvješću nalazi se fragment s njihovim opisom.
Međutim, izvješće se preporučuje za čitanje jer sadrži jedinstvene rezultate istraživanja i točne zaključke.
Sve brojke i činjenice prikazane su bez ikakvih izmjena, a ako se s njima ne slažete, onda je bolje raspravljati ne s prevoditeljem, već s autorima izvješća. A evo i mojih komentara (iznesenih kao citati i označenih u tekstu talijanski) moj su vrijednosni sud i rado ću argumentirati svaki od njih (kao i kvalitetu prijevoda).
Pregled
Danas su digitalni kanali komunikacije s kupcima važniji nego ikad za tvrtke. I unutar tvrtke, komunikacija među zaposlenicima više je digitalno orijentirana nego ikada prije. A koliko će te interakcije biti sigurne ovisi o odabranoj metodi autentifikacije korisnika. Napadači koriste slabu autentifikaciju za masovno hakiranje korisničkih računa. Kao odgovor, regulatori pooštravaju standarde kako bi prisilili tvrtke da bolje zaštite korisničke račune i podatke.
Prijetnje povezane s autentifikacijom šire se izvan korisničkih aplikacija; napadači također mogu dobiti pristup aplikacijama koje se izvode unutar poduzeća. Ova im operacija omogućuje lažno predstavljanje korporativnih korisnika. Napadači koji koriste pristupne točke sa slabom autentifikacijom mogu ukrasti podatke i izvesti druge lažne aktivnosti. Srećom, postoje mjere za borbu protiv toga. Snažna provjera autentičnosti značajno će smanjiti rizik napada od strane napadača, kako na korisničke aplikacije tako i na poslovne sustave poduzeća.
Ova studija ispituje: kako poduzeća implementiraju autentifikaciju za zaštitu aplikacija krajnjih korisnika i poslovnih sustava poduzeća; faktore koje uzimaju u obzir pri odabiru rješenja za autentifikaciju; ulogu koju snažna autentifikacija igra u njihovim organizacijama; koristi koje te organizacije imaju.
Rezime
Glavni nalazi
Od 2017. upotreba jake autentifikacije naglo je porasla. Uz sve veći broj ranjivosti koje utječu na tradicionalna autentifikacijska rješenja, organizacije jačaju svoje autentifikacijske sposobnosti snažnom autentifikacijom. Broj organizacija koje koriste kriptografsku višefaktorsku autentifikaciju (MFA) utrostručio se od 2017. za potrošačke aplikacije i povećao se za gotovo 50% za poslovne aplikacije. Najbrži rast bilježi se kod mobilne autentifikacije zbog sve veće dostupnosti biometrijske autentifikacije.
Ovdje vidimo ilustraciju izreke “dok grom ne udari, čovjek se neće prekrižiti”. Kad su stručnjaci upozorili na nesigurnost lozinki, nitko nije žurio implementirati dvofaktornu autentifikaciju. Čim su hakeri počeli krasti lozinke, ljudi su počeli implementirati dvostruku autentifikaciju.
Istina, pojedinci mnogo aktivnije implementiraju 2FA. Prvo, lakše im je smiriti strahove oslanjajući se na biometrijsku autentifikaciju ugrađenu u pametne telefone, koja je zapravo vrlo nepouzdana. Organizacije moraju potrošiti novac na kupnju tokena i izvršiti posao (zapravo vrlo jednostavan) za njihovu implementaciju. I drugo, samo lijeni ljudi nisu pisali o curenju lozinki iz servisa kao što su Facebook i Dropbox, ali ni pod kojim okolnostima CIO-ovi ovih organizacija neće dijeliti priče o tome kako su lozinke ukradene (i što se zatim dogodilo) u organizacijama.
Oni koji ne koriste jaku autentifikaciju podcjenjuju rizik za svoje poslovanje i kupce. Neke organizacije koje trenutačno ne koriste snažnu autentifikaciju gledaju na prijave i lozinke kao na jedan od najučinkovitijih i najlakših metoda autentifikacije korisnika. Drugi ne vide vrijednost digitalne imovine koju posjeduju. Uostalom, vrijedno je uzeti u obzir da su kiberkriminalci zainteresirani za sve potrošačke i poslovne informacije. Dvije trećine tvrtki koje koriste samo lozinke za autentifikaciju svojih zaposlenika čine to jer vjeruju da su lozinke dovoljno dobre za vrstu informacija koje štite.
Međutim, lozinke su na putu do groba. Ovisnost o lozinkama značajno je pala tijekom prošle godine i za potrošačke i za poslovne aplikacije (s 44% na 31%, odnosno s 56% na 47%) kako organizacije povećavaju svoju upotrebu tradicionalnog MFA-a i jake autentifikacije.
Ali ako promatramo situaciju u cjelini, još uvijek prevladavaju ranjive metode autentifikacije. Za autentifikaciju korisnika, oko četvrtina organizacija koristi SMS OTP (jednokratnu lozinku) zajedno sa sigurnosnim pitanjima. Kao rezultat toga, moraju se primijeniti dodatne sigurnosne mjere za zaštitu od ranjivosti, što povećava troškove. Korištenje mnogo sigurnijih metoda provjere autentičnosti, kao što su hardverski kriptografski ključevi, koristi se puno rjeđe, u otprilike 5% organizacija.
Regulatorno okruženje koje se razvija obećava ubrzanje usvajanja snažne autentifikacije za potrošačke aplikacije. Uvođenjem PSD2, kao i novih pravila o zaštiti podataka u EU i nekoliko američkih država poput Kalifornije, tvrtke osjećaju vrućinu. Gotovo 70% tvrtki slaže se da se suočavaju sa snažnim regulatornim pritiskom da svojim klijentima pruže snažnu autentifikaciju. Više od polovice poduzeća vjeruje da u roku od nekoliko godina njihove metode autentifikacije neće biti dovoljne za ispunjavanje regulatornih standarda.
Jasno je vidljiva razlika u pristupu ruskih i američko-europskih zakonodavaca zaštiti osobnih podataka korisnika programa i usluga. Rusi kažu: dragi serviseri, radite što hoćete i kako hoćete, ali ako vam admin spoji bazu, mi ćemo vas kazniti. U inozemstvu kažu: morate provesti niz mjera koje neće dopustiti ocijedite temeljac. Zato se tamo provode zahtjevi za striktnu dvofaktorsku autentifikaciju.
Istina, daleko je od činjenice da se naš zakonodavni stroj jednog dana neće opametiti i uzeti u obzir zapadna iskustva. Onda se ispostavilo da svi trebaju implementirati 2FA, koji je u skladu s ruskim kriptografskim standardima, i to hitno.
Uspostavljanje snažnog autentifikacijskog okvira omogućuje tvrtkama da prebace fokus s ispunjavanja regulatornih zahtjeva na ispunjavanje potreba kupaca. Za one organizacije koje još uvijek koriste jednostavne lozinke ili primaju kodove putem SMS-a, najvažniji čimbenik pri odabiru metode autentifikacije bit će usklađenost s regulatornim zahtjevima. Ali one tvrtke koje već koriste snažnu autentifikaciju mogu se usredotočiti na odabir onih metoda autentifikacije koje povećavaju lojalnost kupaca.
Pri odabiru korporativne metode autentifikacije unutar poduzeća, regulatorni zahtjevi više nisu bitan faktor. U ovom slučaju puno je važnija jednostavnost integracije (32%) i cijena (26%).
U eri krađe identiteta, napadači mogu koristiti korporativnu e-poštu za prijevaru prijevarom dobiti pristup podacima, računima (s odgovarajućim pravima pristupa), pa čak i uvjeriti zaposlenike da izvrše prijenos novca na njegov račun. Stoga korporativna e-pošta i računi portala moraju biti posebno dobro zaštićeni.
Google je ojačao svoju sigurnost implementacijom jake autentifikacije. Google je prije više od dvije godine objavio izvješće o implementaciji dvofaktorske autentifikacije temeljene na kriptografskim sigurnosnim ključevima pomoću FIDO U2F standarda, izvijestivši o impresivnim rezultatima. Prema tvrtki, niti jedan phishing napad nije izvršen protiv više od 85 zaposlenika.
Preporuke
Implementirajte jaku autentifikaciju za mobilne i online aplikacije. Višefaktorska autentifikacija temeljena na kriptografskim ključevima pruža puno bolju zaštitu od hakiranja od tradicionalnih MFA metoda. Osim toga, korištenje kriptografskih ključeva puno je praktičnije jer nema potrebe za korištenjem i prijenosom dodatnih informacija - lozinki, jednokratnih lozinki ili biometrijskih podataka s uređaja korisnika na autentifikacijski poslužitelj. Dodatno, standardizacija autentifikacijskih protokola znatno olakšava implementaciju novih autentifikacijskih metoda čim postanu dostupne, smanjujući troškove implementacije i štiteći od sofisticiranijih shema prijevara.
Pripremite se za nestanak jednokratnih lozinki (OTP). Ranjivosti svojstvene OTP-ovima postaju sve očiglednije jer kibernetički kriminalci koriste društveni inženjering, kloniranje pametnih telefona i zlonamjerni softver kako bi ugrozili ove načine autentifikacije. I ako OTP-ovi u nekim slučajevima imaju određene prednosti, onda samo sa stajališta univerzalne dostupnosti za sve korisnike, ali ne i sa stajališta sigurnosti.
Nemoguće je ne primijetiti da je primanje kodova putem SMS-a ili Push obavijesti, kao i generiranje kodova pomoću programa za pametne telefone, korištenje istih onih jednokratnih lozinki (OTP) za koje se od nas traži da se pripremimo za odbijanje. Tehnički gledano, rješenje je vrlo ispravno, jer je rijedak prevarant koji ne pokušava doznati jednokratnu lozinku od lakovjernog korisnika. Ali mislim da će se proizvođači takvih sustava do kraja držati tehnologije koja umire.
Koristite jaku autentifikaciju kao marketinški alat za povećanje povjerenja kupaca. Snažna autentifikacija može učiniti više nego samo poboljšati stvarnu sigurnost vašeg poslovanja. Informiranje kupaca da vaša tvrtka koristi snažnu autentifikaciju može ojačati percepciju javnosti o sigurnosti te tvrtke - važan čimbenik kada postoji značajna potražnja kupaca za snažnim metodama autentifikacije.
Provedite temeljitu inventarizaciju i procjenu kritičnosti korporativnih podataka i zaštitite ih prema važnosti. Čak i podaci niskog rizika kao što su podaci za kontakt s kupcima (ne, stvarno, izvješće kaže "niskog rizika", vrlo je čudno da podcjenjuju važnost ovih informacija), može donijeti značajnu vrijednost prevarantima i uzrokovati probleme tvrtki.
Koristite jaku autentifikaciju poduzeća. Niz sustava najatraktivnije su mete za kriminalce. To uključuje interne i internetske sustave kao što su računovodstveni program ili korporativno skladište podataka. Snažna autentifikacija sprječava napadače od neovlaštenog pristupa, a također omogućuje točno određivanje koji je zaposlenik počinio zlonamjernu aktivnost.
Što je jaka autentifikacija?
Pri korištenju jake provjere autentičnosti koristi se nekoliko metoda ili čimbenika za provjeru autentičnosti korisnika:
- Faktor znanja: dijeljena tajna između korisnika i subjekta s autentifikacijom korisnika (kao što su lozinke, odgovori na sigurnosna pitanja itd.)
- Faktor vlasništva: uređaj koji ima samo korisnik (na primjer, mobilni uređaj, kriptografski ključ itd.)
- Faktor integriteta: fizičke (često biometrijske) karakteristike korisnika (na primjer, otisak prsta, uzorak šarenice, glas, ponašanje itd.)
Potreba za hakiranjem više faktora uvelike povećava vjerojatnost neuspjeha za napadače, jer zaobilaženje ili obmana različitih faktora zahtijeva korištenje više vrsta taktika hakiranja, za svaki faktor posebno.
Na primjer, s 2FA "lozinkom + pametnim telefonom", napadač može izvršiti autentifikaciju gledajući korisničku lozinku i praveći točnu softversku kopiju svog pametnog telefona. A to je puno teže nego jednostavno ukrasti lozinku.
Ali ako se za 2FA koriste lozinka i kriptografski token, tada opcija kopiranja ovdje ne radi - nemoguće je duplicirati token. Prevarant će morati potajno ukrasti token od korisnika. Ako korisnik na vrijeme primijeti gubitak i obavijesti administratora, token će biti blokiran i trud prevaranta bit će uzaludan. Zbog toga faktor vlasništva zahtijeva korištenje specijaliziranih sigurnih uređaja (tokena) umjesto uređaja opće namjene (pametnih telefona).
Korištenje sva tri faktora učinit će ovu metodu provjere autentičnosti prilično skupom za implementaciju i prilično nezgodnom za korištenje. Stoga se obično koriste dva od tri faktora.
Detaljnije su opisani principi dvofaktorske autentifikacije , u bloku "Kako radi autentifikacija s dva faktora".
Važno je napomenuti da barem jedan od faktora provjere autentičnosti koji se koristi u snažnoj autentifikaciji mora koristiti kriptografiju s javnim ključem.
Snažna autentifikacija pruža mnogo jaču zaštitu od autentifikacije s jednim faktorom temeljene na klasičnim lozinkama i tradicionalnom MFA-u. Lozinke se mogu špijunirati ili presresti korištenjem keyloggera, stranica za krađu identiteta ili napada društvenog inženjeringa (gdje se žrtva prevari da otkrije svoju lozinku). Štoviše, vlasnik lozinke neće znati ništa o krađi. Tradicionalni MFA (uključujući OTP kodove, vezanje na pametni telefon ili SIM karticu) također se može prilično lako hakirati, jer se ne temelji na kriptografiji s javnim ključem (Usput, postoji mnogo primjera kada su, koristeći iste tehnike društvenog inženjeringa, prevaranti nagovorili korisnike da im daju jednokratnu lozinku).
Na sreću, korištenje snažne autentifikacije i tradicionalnog MFA-a od prošle godine dobiva na snazi iu potrošačkim i u poslovnim aplikacijama. Upotreba jake autentifikacije u korisničkim aplikacijama posebno je brzo porasla. Ako ga je 2017. koristilo samo 5% tvrtki, onda ga je 2018. već trostruko više – 16%. To se može objasniti povećanom dostupnošću tokena koji podržavaju algoritme kriptografije s javnim ključem (PKC). Osim toga, pojačani pritisak europskih regulatora nakon usvajanja novih pravila o zaštiti podataka kao što su PSD2 i GDPR imao je snažan učinak čak i izvan Europe (uključujući i u Rusiji).
Pogledajmo pobliže ove brojke. Kao što vidimo, postotak privatnih osoba koje koriste višefaktorsku autentifikaciju porastao je za impresivnih 11% tijekom godine. I to se očito dogodilo na štetu ljubitelja lozinki, budući da se broj onih koji vjeruju u sigurnost Push obavijesti, SMS-a i biometrije nije promijenio.
Ali s dvofaktorskom autentifikacijom za korporativnu upotrebu stvari nisu tako dobre. Prvo, prema izvješću, samo je 5% zaposlenika prešlo s autentifikacije lozinkom na tokene. I drugo, broj onih koji koriste alternativne MFA opcije u korporativnom okruženju porastao je za 4%.
Pokušat ću glumiti analitičara i dati svoje tumačenje. U središtu digitalnog svijeta individualnih korisnika je pametni telefon. Stoga ne čudi što većina koristi mogućnosti koje im uređaj pruža - biometrijsku autentifikaciju, SMS i Push obavijesti, kao i jednokratne lozinke koje generiraju aplikacije na samom pametnom telefonu. Ljudi obično ne razmišljaju o sigurnosti i pouzdanosti kada koriste alate na koje su navikli.
Zbog toga postotak korisnika primitivnih “tradicionalnih” faktora provjere autentičnosti ostaje nepromijenjen. No, oni koji su već koristili lozinke znaju koliko riskiraju te se pri odabiru novog autentifikacijskog faktora odlučuju za najnoviju i najsigurniju opciju - kriptografski token.
Što se tiče korporativnog tržišta, važno je razumjeti u kojem se sustavu provodi autentifikacija. Ako je implementirana prijava na Windows domenu, tada se koriste kriptografski tokeni. Mogućnosti za njihovo korištenje za 2FA već su uključene u Windows i Linux, a alternativne opcije su duge i teške za implementaciju. Toliko o migraciji od 5% sa zaporki na tokene.
A implementacija 2FA u korporativni informacijski sustav uvelike ovisi o kvalifikacijama programera. A programerima je mnogo lakše uzeti gotove module za generiranje jednokratnih lozinki nego razumjeti rad kriptografskih algoritama. I kao rezultat toga, čak i sigurnosno kritične aplikacije kao što su Single Sign-On ili sustavi upravljanja povlaštenim pristupom koriste OTP kao drugi faktor.
Mnoge ranjivosti u tradicionalnim metodama provjere autentičnosti
Dok se mnoge organizacije i dalje oslanjaju na naslijeđene jednofaktorske sustave, ranjivosti u tradicionalnoj višefaktorskoj autentifikaciji postaju sve očiglednije. Jednokratne lozinke, obično duge šest do osam znakova, isporučene SMS-om, ostaju najčešći oblik provjere autentičnosti (osim faktora lozinke, naravno). A kada se u popularnom tisku spomenu riječi "dvofaktorska provjera autentičnosti" ili "potvrda u dva koraka", gotovo se uvijek odnose na SMS provjeru autentičnosti jednokratnom lozinkom.
Ovdje autor malo griješi. Isporuka jednokratnih zaporki putem SMS-a nikada nije bila dvofaktorska autentifikacija. Ovo je u svom najčišćem obliku druga faza autentifikacije u dva koraka, gdje je prva faza unos vaše prijave i lozinke.
Godine 2016. Nacionalni institut za standarde i tehnologiju (NIST) ažurirao je svoja pravila autentifikacije kako bi uklonio upotrebu jednokratnih zaporki koje se šalju putem SMS-a. Međutim, ta su pravila znatno ublažena nakon prosvjeda industrije.
Dakle, pratimo radnju. Američki regulator s pravom prepoznaje da zastarjela tehnologija nije u stanju osigurati sigurnost korisnika i uvodi nove standarde. Standardi osmišljeni za zaštitu korisnika online i mobilnih aplikacija (uključujući bankarske). Industrija kalkulira koliko će novca morati potrošiti na kupnju istinski pouzdanih kriptografskih tokena, redizajniranje aplikacija, implementaciju infrastrukture javnih ključeva i "diže se na stražnje noge". S jedne strane korisnici su se uvjeravali u pouzdanost jednokratnih lozinki, as druge strane dolazilo je do napada na NIST. Kao rezultat toga, standard je omekšan, a broj hakiranja i krađe lozinki (i novca iz bankovnih aplikacija) naglo je porastao. Ali industrija nije morala izdvajati novac.
Od tada su inherentne slabosti SMS OTP-a postale očitije. Prevaranti koriste razne metode za kompromitaciju SMS poruka:
- Dupliciranje SIM kartice. Napadači stvaraju kopiju SIM kartice (uz pomoć djelatnika mobilnog operatera ili samostalno, pomoću posebnog softvera i hardvera). Kao rezultat toga, napadač prima SMS s jednokratnom lozinkom. U jednom posebno poznatom slučaju, hakeri su čak uspjeli kompromitirati AT&T račun investitora u kriptovalute Michaela Turpina i ukrasti gotovo 24 milijuna dolara u kriptovalutama. Kao rezultat toga, Turpin je izjavio da je AT&T kriv zbog slabih mjera verifikacije koje su dovele do dupliciranja SIM kartice.
Nevjerojatna logika. Dakle, doista je samo AT&T kriv? Ne, nedvojbeno je kriv mobilni operater što su prodavači u prodavaonici komunikacija izdali duplikat SIM kartice. Što je sa sustavom provjere autentičnosti mjenjačnice kriptovalute? Zašto nisu koristili jake kriptografske tokene? Je li bilo šteta potrošiti novac na implementaciju? Nije li sam Michael kriv? Zašto nije inzistirao na promjeni mehanizma autentifikacije ili koristio samo one burze koje implementiraju dvofaktorsku autentifikaciju temeljenu na kriptografskim tokenima?
Uvođenje istinski pouzdanih metoda autentifikacije kasni upravo zato što korisnici pokazuju nevjerojatnu nepažnju prije hakiranja, a nakon toga za svoje nevolje krive bilo koga i bilo što osim prastarih i "propusnih" tehnologija autentifikacije
- Malware. Jedna od najranijih funkcija mobilnog zlonamjernog softvera bila je presretanje i prosljeđivanje tekstualnih poruka napadačima. Također, napadi "čovjek u pregledniku" i "čovjek u sredini" mogu presresti jednokratne lozinke kada se unesu na zaraženim prijenosnim ili stolnim uređajima.
Kada aplikacija Sberbank na vašem pametnom telefonu trepće zelenom ikonom na statusnoj traci, ona također traži “malware” na vašem telefonu. Cilj ovog događaja je pretvoriti nepouzdano izvršno okruženje tipičnog pametnog telefona u, barem na neki način, pouzdano.
Inače, pametni telefon, kao potpuno nepouzdan uređaj na kojem se može svašta raditi, još je jedan razlog da ga koristite za autentifikaciju samo hardverski tokeni, koji su zaštićeni i bez virusa i trojanaca. - Socijalni inženjering. Kada prevaranti znaju da žrtva ima omogućene OTP-ove putem SMS-a, mogu je izravno kontaktirati, predstavljajući se kao organizacija od povjerenja, poput svoje banke ili kreditne unije, kako bi prevarili žrtvu da im da kôd koji su upravo primili.
Osobno sam se puno puta susreo s ovom vrstom prijevare, primjerice, kada sam pokušavao nešto prodati na popularnom online buvljaku. I sam sam se do mile volje našalio s prevarantom koji me pokušao nasamariti. Ali nažalost, redovito čitam u vijestima kako još jedna žrtva prevaranata "nije razmišljala", dala je kod za potvrdu i izgubila veliki iznos. A sve to zato što se banka jednostavno ne želi baviti implementacijom kriptografskih tokena u svoje aplikacije. Uostalom, ako se nešto dogodi, klijenti su "sami krivi".
Dok alternativne metode isporuke OTP-a mogu ublažiti neke od ranjivosti u ovoj metodi provjere autentičnosti, druge ranjivosti ostaju. Samostalne aplikacije za generiranje koda najbolja su zaštita od prisluškivanja, jer čak i malware teško može izravno komunicirati s generatorom koda (ozbiljno? Je li autor reportaže zaboravio na daljinsko upravljanje?), ali OTP-ovi se i dalje mogu presresti kada se unesu u preglednik (na primjer pomoću keyloggera), putem hakirane mobilne aplikacije; a može se dobiti i izravno od korisnika pomoću društvenog inženjeringa.
Korištenje višestrukih alata za procjenu rizika kao što je prepoznavanje uređaja (otkrivanje pokušaja obavljanja transakcija s uređaja koji ne pripadaju legalnom korisniku), geolokacija (korisnik koji je upravo bio u Moskvi pokušava izvesti operaciju iz Novosibirska) i bihevioralna analitika važni su za rješavanje ranjivosti, ali nijedno rješenje nije lijek za sve. Za svaku situaciju i vrstu podataka potrebno je pažljivo procijeniti rizike i odabrati koju tehnologiju autentifikacije koristiti.
Nijedno rješenje za autentifikaciju nije lijek za sve
Slika 2. Tablica s opcijama provjere autentičnosti
| ovjera | Faktor | Opis | Ključne ranjivosti |
| Lozinka ili PIN | Znanje | Fiksna vrijednost, koja može uključivati slova, brojke i niz drugih znakova | Može se presresti, špijunirati, ukrasti, pokupiti ili hakirati |
| Autentikacija temeljena na znanju | Znanje | Pitanja čije odgovore može znati samo legalni korisnik | Može se presresti, pokupiti, dobiti pomoću metoda društvenog inženjeringa |
| Hardverski OTP () | Posjed | Poseban uređaj koji generira jednokratne lozinke | Šifra može biti presretnuta i ponovljena ili uređaj može biti ukraden |
| OTP-ovi softvera | Posjed | Aplikacija (mobilna, dostupna putem preglednika ili slanje kodova e-poštom) koja generira jednokratne lozinke | Šifra može biti presretnuta i ponovljena ili uređaj može biti ukraden |
| SMS OTP | Posjed | Jednokratna lozinka dostavljena putem SMS poruke | Kod može biti presretnut i ponovljen, pametni telefon ili SIM kartica mogu biti ukradeni ili SIM kartica može biti duplicirana |
| Pametne kartice () | Posjed | Kartica koja sadrži kriptografski čip i memoriju sigurnog ključa koja koristi infrastrukturu javnog ključa za autentifikaciju | Može biti fizički ukraden (ali napadač neće moći koristiti uređaj bez poznavanja PIN koda; u slučaju nekoliko netočnih pokušaja unosa, uređaj će biti blokiran) |
| Sigurnosni ključevi - tokeni (, ) | Posjed | USB uređaj koji sadrži kriptografski čip i memoriju sigurnog ključa koji koristi infrastrukturu javnog ključa za provjeru autentičnosti | Može se fizički ukrasti (ali napadač neće moći koristiti uređaj bez znanja PIN koda; u slučaju nekoliko netočnih pokušaja unosa, uređaj će biti blokiran) |
| Povezivanje s uređajem | Posjed | Proces koji stvara profil, često korištenjem JavaScripta ili korištenjem markera kao što su kolačići i Flash dijeljeni objekti kako bi se osiguralo da se koristi određeni uređaj | Tokene je moguće ukrasti (kopirati), a karakteristike legalnog uređaja napadač može imitirati na svom uređaju |
| ponašanje | Bitno pripadanje | Analizira kako korisnik komunicira s uređajem ili programom | Ponašanje se može oponašati |
| otisci prstiju | Bitno pripadanje | Pohranjeni otisci prstiju uspoređuju se s onima snimljenim optički ili elektronički | Slika se može ukrasti i koristiti za provjeru autentičnosti |
| Skeniranje oka | Bitno pripadanje | Uspoređuje karakteristike oka, kao što je uzorak šarenice, s novim optičkim skeniranjima | Slika se može ukrasti i koristiti za provjeru autentičnosti |
| Prepoznavanje lica | Bitno pripadanje | Karakteristike lica uspoređuju se s novim optičkim skenovima | Slika se može ukrasti i koristiti za provjeru autentičnosti |
| Prepoznavanje glasa | Bitno pripadanje | Karakteristike snimljenog uzorka glasa uspoređuju se s novim uzorcima | Zapis se može ukrasti i koristiti za provjeru autentičnosti ili emulirati |
U drugom dijelu publikacije čeka nas ono najukusnije - brojke i činjenice, na kojima se temelje zaključci i preporuke dani u prvom dijelu. O autentifikaciji u korisničkim aplikacijama iu korporativnim sustavima bit će riječi zasebno.
Vidimo se uskoro!
Izvor: www.habr.com