Spoiler soti nan tit la nan rapò a: "Itilizasyon otantifikasyon fò ogmante akòz menas nan nouvo risk ak kondisyon regilasyon."
Konpayi rechèch "Javelin Strategy & Research" pibliye rapò "Eta Otantifikasyon fò 2019 la" (). Rapò sa a di: ki pousantaj konpayi Ameriken ak Ewopeyen yo itilize modpas (e poukisa kèk moun sèvi ak modpas kounye a); poukisa itilizasyon de-faktè otantifikasyon ki baze sou siy kriptografik ap grandi tèlman vit; Poukisa kòd yon sèl fwa voye pa SMS yo pa an sekirite.
Nenpòt moun ki enterese nan prezan, sot pase, ak lavni nan otantifikasyon nan antrepriz ak aplikasyon pou konsomatè yo akeyi.
Soti nan tradiktè a
Ay, lang ki ekri rapò sa a se byen "sèk" ak fòmèl. Ak senk fwa itilizasyon mo "otantifikasyon" nan yon fraz kout se pa men kwochi (oswa sèvo) tradiktè a, men kapris otè yo. Lè m ap tradui de opsyon - pou bay lektè yo yon tèks ki pi pre orijinal la, oswa yon tèks ki pi enteresan, pafwa mwen chwazi premye a, epi pafwa dezyèm lan. Men, pran pasyans, chè lektè, sa ki nan rapò a vo li.
Gen kèk moso ki pa enpòtan e ki pa nesesè pou istwa a te retire, sinon majorite a pa t 'kapab jwenn nan tout tèks la. Moun ki vle li rapò a "non koupe" ka fè sa nan lang orijinal la lè yo swiv lyen an.
Malerezman, otè yo pa toujou fè atansyon ak tèminoloji. Kidonk, modpas yon sèl fwa (One Time Password - OTP) pafwa yo rele "modpas", epi pafwa "kòd". Li vin pi mal ak metòd otantifikasyon. Li pa toujou fasil pou lektè a ki pa antrene devine ke "otantifikasyon lè l sèvi avèk kle kriptografik" ak "otantifikasyon fò" se menm bagay la. Mwen te eseye inifye tèm yo otank posib, ak nan rapò a li menm gen yon fragman ak deskripsyon yo.
Men, rapò a trè rekòmande lekti paske li gen rezilta rechèch inik ak konklizyon kòrèk.
Tout figi ak reyalite yo prezante san chanjman yo mwendr, epi si ou pa dakò ak yo, Lè sa a, li pi bon diskite pa ak tradiktè a, men ak otè yo nan rapò a. Men kòmantè mwen yo (ki mete deyò kòm sitasyon, epi yo make nan tèks la Italyen) se jijman valè mwen epi mwen pral kontan diskite sou chak nan yo (menm jan tou sou kalite tradiksyon an).
Revize
Sèjousi, chanèl dijital kominikasyon ak kliyan yo pi enpòtan pase tout tan pou biznis yo. Ak nan konpayi an, kominikasyon ant anplwaye yo gen plis oryante dijital pase tout tan anvan. Ak ki jan an sekirite entèraksyon sa yo pral depann de metòd la chwazi nan otantifikasyon itilizatè. Atakè yo sèvi ak otantifikasyon fèb pou pirate masiv kont itilizatè yo. Kòm repons, regilatè yo ap pi sere estanda pou fòse biznis yo pi byen pwoteje kont itilizatè yo ak done yo.
Menas ki gen rapò ak otantifikasyon pwolonje pi lwen pase aplikasyon konsomatè yo; atakè yo ka jwenn aksè tou nan aplikasyon ki kouri andedan antrepriz la. Operasyon sa a pèmèt yo imite itilizatè antrepriz yo. Atakè ki sèvi ak pwen aksè ak otantifikasyon fèb ka vòlè done epi fè lòt aktivite fo. Erezman, gen mezi pou konbat sa. Otantifikasyon fò pral ede siyifikativman diminye risk pou atak pa yon atakè, tou de sou aplikasyon konsomatè yo ak sou sistèm biznis antrepriz.
Etid sa a egzamine: ki jan antrepriz aplike otantifikasyon pou pwoteje aplikasyon pou itilizatè fen yo ak sistèm biznis antrepriz; faktè yo konsidere lè w ap chwazi yon solisyon otantifikasyon; wòl ke otantifikasyon solid jwe nan òganizasyon yo; benefis òganizasyon sa yo resevwa.
Rezime
Konklizyon kle yo
Depi 2017, itilizasyon otantifikasyon fò te ogmante sevè. Ak ogmantasyon kantite frajilite ki afekte solisyon otantifikasyon tradisyonèl yo, òganizasyon yo ap ranfòse kapasite otantifikasyon yo ak otantifikasyon solid. Kantite òganizasyon ki sèvi ak kriptografik otantifikasyon milti-faktè (MFA) te triple depi 2017 pou aplikasyon konsomatè yo ak ogmante pa prèske 50% pou aplikasyon pou antrepriz. Se kwasans ki pi rapid la wè nan otantifikasyon mobil akòz disponiblite a ogmante nan otantifikasyon byometrik.
Isit la nou wè yon egzanp sou pawòl sa a “jouk loraj frape, yon moun p ap fè kwaze”. Lè ekspè yo te avèti sou ensekirite modpas yo, pa gen moun ki te prese pou aplike otantifikasyon de faktè. Le pli vit ke entru yo te kòmanse vòlè modpas, moun yo te kòmanse aplike otantifikasyon de faktè.
Se vre, moun yo ap aplike 2FA pi aktivman. Premyèman, li pi fasil pou yo kalme laperèz yo lè yo konte sou otantifikasyon byometrik ki bati nan smartphones, ki an reyalite trè enfidèl. Òganizasyon yo bezwen depanse lajan sou achte marqueur epi fè travay (an reyalite, trè senp) pou aplike yo. Epi dezyèmman, se sèlman moun ki parese ki pa te ekri sou fwit modpas ki soti nan sèvis tankou Facebook ak Dropbox, men nan okenn sikonstans CIO yo nan òganizasyon sa yo pa pral pataje istwa sou fason modpas yo te vòlè (ak sa ki te pase apre) nan òganizasyon yo.
Moun ki pa sèvi ak otantifikasyon fò yo souzèstime risk yo nan biznis yo ak kliyan yo. Gen kèk òganizasyon ki pa sèvi ak otantifikasyon fò kounye a gen tandans wè logins ak modpas kòm youn nan metòd otantifikasyon itilizatè ki pi efikas ak fasil pou itilize. Lòt moun pa wè valè a nan byen dijital yo posede. Apre yo tout, li vo konsidere ke sibèrkriminèl yo enterese nan nenpòt enfòmasyon konsomatè ak biznis. De tyè nan konpayi yo ki itilize sèlman modpas pou otantifye anplwaye yo fè sa paske yo kwè modpas yo bon ase pou kalite enfòmasyon yo pwoteje.
Sepandan, modpas yo sou wout yo nan kavo a. Depandans modpas te diminye anpil pandan ane ki sot pase a pou aplikasyon pou konsomatè ak antrepriz (de 44% a 31%, ak soti nan 56% a 47%, respektivman) kòm òganizasyon yo ogmante itilizasyon MFA tradisyonèl yo ak otantifikasyon solid.
Men, si nou gade sitiyasyon an an jeneral, metòd otantifikasyon vilnerab toujou genyen. Pou otantifikasyon itilizatè, apeprè yon ka nan òganizasyon yo itilize SMS OTP (yon sèl fwa modpas) ansanm ak kesyon sekirite. Kòm yon rezilta, mezi sekirite adisyonèl yo dwe aplike pou pwoteje kont vilnerabilite a, ki ogmante depans yo. Itilize metòd otantifikasyon ki pi an sekirite, tankou kle kriptografik pyès ki nan konpitè, yo itilize anpil mwens souvan, nan apeprè 5% òganizasyon yo.
Anviwònman regilasyon an evolye pwomèt akselere adopsyon otantifikasyon fò pou aplikasyon pou konsomatè yo. Avèk entwodiksyon PSD2, ansanm ak nouvo règ pwoteksyon done nan Inyon Ewopeyen an ak plizyè eta US tankou Kalifòni, konpayi yo santi chalè a. Prèske 70% konpayi yo dakò ke yo fè fas a gwo presyon regilasyon pou bay kliyan yo otantifikasyon solid. Plis pase mwatye nan antrepriz kwè ke nan kèk ane metòd otantifikasyon yo pa pral ase pou satisfè nòm regilasyon yo.
Diferans nan apwòch yo nan lejislatè Ris ak Ameriken-Ewopeyen an nan pwoteksyon an nan done pèsonèl itilizatè yo nan pwogram ak sèvis se vizib klèman. Larisi yo di: Chè pwopriyetè sèvis yo, fè sa ou vle ak ki jan ou vle, men si admin ou a melanje baz done a, nou pral pini ou. Yo di aletranje: ou dwe aplike yon seri mezi sa pa pral pèmèt drenaj baz la. Se poutèt sa egzijans pou otantifikasyon strik de faktè yo ap aplike la.
Se vre, li lwen yon reyalite ke machin lejislatif nou an yon jou pa pral vin nan sans li yo ak pran an kont eksperyans Lwès la. Lè sa a, li sanble ke tout moun bezwen aplike 2FA, ki konfòme ak estanda kriptografik Ris, ak ijan.
Etabli yon kad otantifikasyon solid pèmèt konpayi yo chanje konsantre yo soti nan satisfè kondisyon regilasyon yo satisfè bezwen kliyan yo. Pou òganizasyon sa yo ki toujou ap itilize modpas senp oswa k ap resevwa kòd via SMS, faktè ki pi enpòtan lè w ap chwazi yon metòd otantifikasyon yo pral konfòmite ak kondisyon regilasyon. Men, konpayi sa yo ki deja itilize otantifikasyon fò ka konsantre sou chwazi metòd otantifikasyon sa yo ki ogmante lwayote kliyan.
Lè w ap chwazi yon metòd otantifikasyon antrepriz nan yon antrepriz, kondisyon regilasyon yo pa yon faktè enpòtan ankò. Nan ka sa a, fasilite entegrasyon (32%) ak pri (26%) yo pi enpòtan.
Nan epòk èskrokri, atakè yo ka itilize imel antrepriz pou tronpe fwod jwenn aksè nan done, kont (ak dwa aksè apwopriye), e menm konvenk anplwaye yo fè yon transfè lajan sou kont li. Se poutèt sa, imel antrepriz ak kont pòtal dwe espesyalman byen pwoteje.
Google ranfòse sekirite li lè li aplike otantifikasyon solid. Plis pase de zan de sa, Google pibliye yon rapò sou aplikasyon otantifikasyon de-faktè ki baze sou kle sekirite kriptografik lè l sèvi avèk estanda FIDO U2F, ki rapòte rezilta enpresyonan. Dapre konpayi an, pa gen yon sèl atak èskrokri te fèt kont plis pase 85 anplwaye yo.
Rekòmandasyon
Aplike otantifikasyon solid pou aplikasyon mobil ak sou entènèt. Otantifikasyon milti-faktè ki baze sou kle kriptografik bay pi bon pwoteksyon kont piratage pase metòd MFA tradisyonèl yo. Anplis de sa, itilizasyon kle kriptografik se pi plis pratik paske pa gen okenn nesesite pou itilize ak transfere plis enfòmasyon - modpas, modpas yon sèl fwa oswa done byometrik soti nan aparèy itilizatè a nan sèvè otantifikasyon an. Anplis de sa, estandadize pwotokòl otantifikasyon yo fè li pi fasil pou aplike nouvo metòd otantifikasyon lè yo vin disponib, diminye depans aplikasyon yo epi pwoteje kont plan fwod ki pi sofistike.
Prepare pou disparisyon modpas yon sèl fwa (OTP). Fragilite nannan nan OTP yo ap vin de pli zan pli aparan kòm sibèrkriminèl yo itilize jeni sosyal, klonaj smartphone ak malveyan pou konpwomi mwayen otantifikasyon sa yo. Men, si OTP nan kèk ka gen sèten avantaj, Lè sa a, sèlman nan pwen de vi disponiblite inivèsèl pou tout itilizatè, men se pa nan pwen de vi nan sekirite.
Li enposib pa remake ke resevwa kòd via SMS oswa notifikasyon Push, osi byen ke jenere kòd lè l sèvi avèk pwogram pou smartphones, se itilize nan menm modpas sa yo yon sèl fwa (OTP) pou ki nou mande pou prepare pou n bès la. Soti nan yon pwen de vi teknik, solisyon an trè kòrèk, paske li se yon èskro ki ra ki pa eseye jwenn modpas la yon sèl fwa nan men yon itilizatè gullible. Men, mwen panse ke manifaktirè nan sistèm sa yo pral rete kole sou teknoloji mouri nan dènye a.
Sèvi ak otantifikasyon solid kòm yon zouti maketing pou ogmante konfyans kliyan. Otantifikasyon fò ka fè plis pase jis amelyore sekirite aktyèl la nan biznis ou. Enfòme kliyan yo ke biznis ou itilize otantifikasyon fò ka ranfòse pèsepsyon piblik la sou sekirite biznis sa a—yon faktè enpòtan lè gen yon demann kliyan enpòtan pou metòd otantifikasyon fò.
Fè yon envantè apwofondi ak evalyasyon kritik nan done antrepriz epi pwoteje li selon enpòtans. Menm done ki gen anpil risk tankou enfòmasyon kontak kliyan (non, reyèlman, rapò a di "ki ba-risk", li trè etranj ke yo souzèstime enpòtans enfòmasyon sa yo.), ka pote yon valè enpòtan nan èskro ak lakòz pwoblèm pou konpayi an.
Sèvi ak otantifikasyon antrepriz solid. Yon kantite sistèm yo se sib ki pi atiran pou kriminèl yo. Men sa yo enkli sistèm entèn ak entènèt ki konekte tankou yon pwogram kontablite oswa yon depo done antrepriz. Otantifikasyon fò anpeche atakè yo jwenn aksè san otorizasyon, epi tou li fè li posib pou detèmine avèk presizyon ki anplwaye ki komèt aktivite move a.
Ki sa ki se Strong Otantifikasyon?
Lè w ap itilize otantifikasyon fò, yo itilize plizyè metòd oswa faktè pou verifye otantisite itilizatè a:
- Faktè konesans: pataje sekrè ant itilizatè a ak sijè itilizatè a otantifye (tankou modpas, repons pou kesyon sekirite, elatriye)
- Faktè pwopriyetè: yon aparèy ke itilizatè a sèlman genyen (pa egzanp, yon aparèy mobil, yon kle kriptografik, elatriye)
- Faktè Entegrite: karakteristik fizik (souvan byometrik) itilizatè a (pa egzanp, anprent dwèt, modèl iris, vwa, konpòtman, elatriye)
Bezwen pou pirate plizyè faktè ogmante anpil chans pou atakè yo echèk, depi kontoune oswa twonpe divès faktè mande pou yo itilize plizyè kalite taktik Hacking, pou chak faktè separeman.
Pou egzanp, ak 2FA "modpas + smartphone," yon atakè ka fè otantifikasyon lè li gade modpas itilizatè a epi fè yon kopi lojisyèl egzak nan smartphone li. Lè sa a se pi difisil pase tou senpleman vòlè yon modpas.
Men, si yo itilize yon modpas ak yon siy kriptografik pou 2FA, Lè sa a, opsyon nan kopye pa travay isit la - li enposib kopi siy la. Èskro a ap bezwen vòlè siy la nan men itilizatè a. Si itilizatè a remake pèt la nan tan epi li notifye administratè a, siy la pral bloke epi efò èskro a pral anven. Se poutèt sa faktè pwopriyetè a mande pou yo sèvi ak aparèy espesyalize an sekirite (jeton) olye ke aparèy jeneral (smartphones).
Sèvi ak tout twa faktè sa a pral fè metòd otantifikasyon sa a byen chè pou aplike ak byen konvenyan pou itilize. Se poutèt sa, de sou twa faktè yo anjeneral yo itilize.
Prensip otantifikasyon de-faktè yo dekri an plis detay , nan blòk "Kijan de-faktè otantifikasyon travay".
Li enpòtan pou sonje ke omwen youn nan faktè otantifikasyon yo itilize nan otantifikasyon solid dwe itilize kriptografi kle piblik.
Otantifikasyon solid bay pwoteksyon pi fò pase otantifikasyon yon sèl faktè ki baze sou modpas klasik ak MFA tradisyonèl yo. Modpas yo ka espyone oswa entèsepte lè l sèvi avèk keyloggers, sit èskrokri, oswa atak jeni sosyal (kote viktim nan twonpe pou l revele modpas yo). Anplis, pwopriyetè modpas la pa pral konnen anyen sou vòl la. MFA tradisyonèl (ki gen ladan kòd OTP, obligatwa nan yon smartphone oswa kat SIM) kapab tou pirate byen fasil, paske li pa baze sou kriptografi kle piblik (By wout la, gen anpil egzanp lè, lè l sèvi avèk menm teknik jeni sosyal yo, SCAMMERS konvenk itilizatè yo ba yo yon modpas yon sèl fwa.).
Erezman, itilizasyon otantifikasyon fò ak MFA tradisyonèl yo te pran traction nan aplikasyon pou konsomatè ak antrepriz depi ane pase. Itilizasyon otantifikasyon fò nan aplikasyon konsomatè yo te grandi patikilyèman rapidman. Si nan 2017 sèlman 5% nan konpayi yo te itilize li, Lè sa a, nan 2018 li te deja twa fwa plis - 16%. Sa a ka eksplike pa disponiblite a ogmante nan marqueur ki sipòte algoritm kriptografi kle piblik (PKC). Anplis de sa, ogmante presyon regilatè Ewopeyen yo apre adopsyon nouvo règ pwoteksyon done tankou PSD2 ak GDPR te gen yon efè fò menm deyò Ewòp (enkli nan Larisi).
Ann pran yon gade pi pre nan nimewo sa yo. Kòm nou ka wè, pousantaj moun prive ki sèvi ak otantifikasyon milti-faktè ogmante pa yon enpresyonan 11% pandan ane a. Ak sa a klèman rive nan depans lan nan rayisab modpas, depi nimewo yo nan moun ki kwè nan sekirite a nan notifikasyon Pouse, SMS ak byometrik pa chanje.
Men, ak de-faktè otantifikasyon pou itilizasyon antrepriz, bagay yo pa tèlman bon. Premyèman, dapre rapò a, sèlman 5% nan anplwaye yo te transfere soti nan otantifikasyon modpas nan marqueur. E dezyenmman, lakantite dimoun ki servi opsyon MFA altènatif nan yon anviwonman antrepriz ogmante de 4%.
Mwen pral eseye jwe analis epi bay entèpretasyon mwen an. Nan sant mond dijital itilizatè endividyèl yo se smartphone la. Se poutèt sa, se pa etonan ke majorite a sèvi ak kapasite yo ke aparèy la bay yo ak - otantifikasyon byometrik, SMS ak notifikasyon pouse, osi byen ke yon sèl-fwa modpas ki te pwodwi pa aplikasyon sou smartphone nan tèt li. Moun anjeneral pa panse sou sekirite ak fyab lè w ap itilize zouti yo itilize yo.
Se poutèt sa pousantaj itilizatè yo nan faktè otantifikasyon primitif "tradisyonèl" rete san okenn chanjman. Men, moun ki te deja itilize modpas yo konprann konbyen yo riske, epi lè w ap chwazi yon nouvo faktè otantifikasyon, yo patisipe pou opsyon ki pi nouvo ak pi an sekirite - yon siy kriptografik.
Kòm pou mache antrepriz la, li enpòtan pou konprann nan ki sistèm otantifikasyon te pote soti. Si konekte nan yon domèn Windows aplike, Lè sa a, siy kriptografik yo itilize. Posiblite yo pou itilize yo pou 2FA yo deja bati nan tou de Windows ak Linux, men opsyon altènatif yo long ak difisil pou aplike. Se konsa, anpil pou migrasyon an nan 5% soti nan modpas nan marqueur.
Ak aplikasyon an nan 2FA nan yon sistèm enfòmasyon antrepriz anpil depann sou kalifikasyon yo nan devlopè yo. Epi li pi fasil pou devlopè yo pran modil pare pou jenere modpas yon sèl fwa pase pou konprann operasyon algoritm kriptografik yo. Epi kòm yon rezilta, menm aplikasyon ki enpòtan anpil pou sekirite tankou Single Sign-On oswa sistèm Jesyon Aksè Privilèj yo itilize OTP kòm yon dezyèm faktè.
Anpil vilnerabilite nan metòd otantifikasyon tradisyonèl yo
Pandan ke anpil òganizasyon rete depann sou sistèm yon sèl faktè eritaj, vilnerabilite nan otantifikasyon milti-faktè tradisyonèl yo ap vin de pli zan pli aparan. Modpas yon sèl fwa, anjeneral sis a uit karaktè nan longè, delivre atravè SMS, rete fòm ki pi komen nan otantifikasyon (anplis faktè modpas la, nan kou). Men, lè mo "de-faktè otantifikasyon" oswa "de-etap verifikasyon" yo mansyone nan laprès popilè a, yo prèske toujou refere a SMS otantifikasyon yon sèl-fwa modpas.
Isit la otè a se yon ti kras erè. Livre modpas yon sèl fwa via SMS pa janm te otantifikasyon de faktè. Sa a se nan fòm pi bon kalite li yo, dezyèm etap la nan de-etap otantifikasyon, kote premye etap la ap antre nan login ou ak modpas.
Nan 2016, Enstiti Nasyonal pou Estanda ak Teknoloji (NIST) mete ajou règ otantifikasyon li yo pou elimine itilizasyon modpas yon sèl fwa yo voye pa SMS. Sepandan, règ sa yo te siyifikativman rilaks apre manifestasyon endistri yo.
Se konsa, ann swiv konplo a. Regilatè Ameriken an byen rekonèt ke teknoloji demode pa kapab asire sekirite itilizatè yo epi li ap entwodwi nouvo estanda. Estanda ki fèt pou pwoteje itilizatè yo nan aplikasyon sou entènèt ak mobil (ki gen ladan yo bankè yo). Endistri a ap kalkile konbyen lajan li pral gen pou l depanse nan achte siy kriptografik ki vrèman serye, redesign aplikasyon, deplwaye yon enfrastrikti kle piblik, epi li ap "ap monte sou pye dèyè li." Sou yon bò, itilizatè yo te konvenki sou fyab nan modpas yon sèl fwa, ak sou lòt men an, te gen atak sou NIST. Kòm yon rezilta, estanda a te adousi, ak kantite antay ak vòl nan modpas (ak lajan nan aplikasyon pou bank yo) ogmante sevè. Men, endistri a pa t 'gen shell soti lajan.
Depi lè sa a, feblès nannan nan SMS OTP te vin pi aparan. Èskro yo itilize divès metòd pou konpwomèt mesaj SMS:
- duplication kat SIM. Atakè yo kreye yon kopi SIM la (avèk èd nan anplwaye operatè mobil yo, oswa poukont yo, lè l sèvi avèk lojisyèl espesyal ak pyès ki nan konpitè). Kòm yon rezilta, atakè a resevwa yon SMS ak yon modpas yon sèl fwa. Nan yon ka patikilyèman popilè, entru yo te menm kapab konpwomi kont AT&T nan envestisè kriptografik Michael Turpin, ak vòlè prèske $ 24 milyon dola nan kriptografik lajan. Kòm yon rezilta, Turpin te deklare ke AT&T te nan fay akòz mezi verifikasyon fèb ki te mennen nan repetisyon kat SIM.
Etonan lojik. Se konsa, li vrèman sèlman fòt AT&T? Non, se san dout fòt operatè mobil la ke vandè yo nan magazen kominikasyon an bay yon kopi kat SIM. Ki sa ki sou sistèm otantifikasyon echanj kriptografik la? Poukisa yo pa t 'sèvi ak gwo marqueur kriptografik? Èske se te yon pitye pou depanse lajan nan aplikasyon an? Eske se pa Michael li menm ki blame? Poukisa li pa t 'ensiste pou chanje mekanis otantifikasyon an oswa itilize sèlman echanj sa yo ki aplike otantifikasyon de faktè ki baze sou siy kriptografik?
Entwodiksyon metòd otantifikasyon vrèman serye an reta jisteman paske itilizatè yo montre neglijans etonan anvan yo pirataj, epi apre sa yo blame pwoblèm yo sou nenpòt moun ak nenpòt lòt bagay pase ansyen ak "fuit" teknoloji otantifikasyon.
- Malveyan. Youn nan premye fonksyon malveyan mobil yo se te entèsepte ak voye mesaj tèks bay atakè yo. Epitou, atak man-in-the-browser ak man-in-the-middle ka entèsepte modpas yon sèl fwa lè yo antre sou laptops ki enfekte oswa aparèy Desktop.
Lè aplikasyon Sberbank sou smartphone ou a bat yon ikòn vèt nan ba estati a, li gade tou pou "malveyan" sou telefòn ou. Objektif evènman sa a se vire anviwònman an egzekisyon ki pa fè konfyans nan yon smartphone tipik nan, omwen nan kèk fason, yon sèl ou fè konfyans.
By wout la, yon smartphone, kòm yon aparèy konplètman pa fè konfyans sou ki anyen ka fè, se yon lòt rezon ki fè yo sèvi ak li pou otantifikasyon. jeton pyès ki nan konpitè sèlman, ki pwoteje ak gratis nan viris ak trwayen. - Jeni sosyal. Lè SCAMMERS yo konnen ke yon viktim gen OTP yo aktive atravè SMS, yo ka kontakte viktim nan dirèkteman, pran pòz kòm yon òganizasyon ou fè konfyans tankou bank yo oswa inyon kredi, twonpe viktim nan bay kòd yo te sot resevwa a.
Mwen te rankontre pèsonèlman kalite fwod sa a anpil fwa, pou egzanp, lè w ap eseye vann yon bagay sou yon mache pis popilè sou entènèt. Mwen menm mwen te pase magouyè a nan betiz ki te eseye twonpe m nan kontante mwen. Men, Ay, mwen regilyèman li nan nouvèl la ki jan ankò yon lòt viktim SCAMMERS "pa t 'panse," te bay kòd konfimasyon an ak pèdi yon gwo sòm. Ak tout sa a se paske bank la tou senpleman pa vle fè fas ak aplikasyon an nan marqueur kriptografik nan aplikasyon li yo. Apre yo tout, si yon bagay rive, kliyan yo "gen tèt yo blame."
Pandan ke metòd altènatif livrezon OTP ka diminye kèk nan frajilite yo nan metòd otantifikasyon sa a, lòt frajilite rete. Aplikasyon pou jenerasyon kòd otonòm yo se pi bon pwoteksyon kont écoute, paske menm malveyan ka diman kominike dirèkteman ak dèlko kòd la (seryezman? Èske otè a nan rapò a bliye sou kontwòl remote?), men OTP yo ka toujou entèsepte lè yo antre nan navigatè a (pou egzanp lè l sèvi avèk yon kelodje), atravè yon aplikasyon mobil pirate; epi yo ka jwenn tou dirèkteman nan itilizatè a lè l sèvi avèk jeni sosyal.
Sèvi ak plizyè zouti evalyasyon risk tankou rekonesans aparèy (deteksyon tantativ pou fè tranzaksyon nan aparèy ki pa fè pati yon itilizatè legal), jeolokalizasyon (yon itilizatè ki te jis nan Moskou eseye fè yon operasyon soti nan Novosibirsk) ak analiz konpòtman yo enpòtan pou adrese frajilite, men ni solisyon an se yon mirak. Pou chak sitiyasyon ak kalite done, li nesesè ak anpil atansyon evalye risk yo epi chwazi ki teknoloji otantifikasyon yo ta dwe itilize.
Pa gen solisyon otantifikasyon se yon Miracles
Figi 2. Tablo opsyon otantifikasyon
| Otantifikasyon | Faktè | Deskripsyon | Frajilite kle yo |
| Modpas oswa PIN | Konesans lan | Valè fiks, ki ka gen ladan lèt, nimewo ak yon kantite lòt karaktè | Èske yo ka entèsepte, espyone sou, vòlè, ranmase oswa rache |
| Otantifikasyon ki baze sou konesans | Konesans lan | Kesyone repons yo ke sèlman yon itilizatè legal ka konnen | Èske yo ka entèsepte, ranmase, jwenn lè l sèvi avèk metòd jeni sosyal |
| Materyèl OTP () | Posesyon | Yon aparèy espesyal ki jenere modpas yon sèl fwa | Yo ka entèsepte kòd la epi repete, oswa yo ka vòlè aparèy la |
| Lojisyèl OTP | Posesyon | Yon aplikasyon (mobil, aksesib atravè yon navigatè, oswa voye kòd pa imel) ki jenere modpas yon sèl fwa | Yo ka entèsepte kòd la epi repete, oswa yo ka vòlè aparèy la |
| SMS OTP | Posesyon | Modpas yon sèl fwa delivre atravè mesaj tèks SMS | Yo ka entèsepte kòd la epi repete, oswa yo ka vòlè smartphone la oswa kat SIM la, oswa kat SIM la ka kopi. |
| Kat entelijan () | Posesyon | Yon kat ki gen yon chip kriptografik ak yon memwa kle ki an sekirite ki sèvi ak yon enfrastrikti kle piblik pou otantifikasyon | Yo ka vòlè fizikman (men yon atakè pa pral kapab sèvi ak aparèy la san yo pa konnen kòd PIN la; an ka ta gen plizyè tantativ antre kòrèk, aparèy la pral bloke) |
| Kle sekirite - marqueur (, ) | Posesyon | Yon aparèy USB ki gen yon chip kriptografik ak memwa kle ki an sekirite ki sèvi ak yon enfrastrikti kle piblik pou otantifikasyon | Yo ka vòlè fizikman (men yon atakè pa pral kapab sèvi ak aparèy la san yo pa konnen kòd PIN la; nan ka ta gen plizyè tantativ antre kòrèk, aparèy la pral bloke) |
| Lyen ak yon aparèy | Posesyon | Pwosesis ki kreye yon pwofil, souvan itilize JavaScript, oswa lè l sèvi avèk makè tankou bonbon ak Flash Shared Objects pou asire ke yo itilize yon aparèy espesifik. | Siy yo ka vòlè (kopi), epi yon atakè ka imite karakteristik yon aparèy legal sou aparèy li. |
| Konpòtman | Enerans | Analize fason itilizatè a reyaji avèk yon aparèy oswa yon pwogram | Konpòtman ka imite |
| Anprent dwèt yo | Enerans | Anprent dwèt ki estoke yo konpare ak sa yo te kaptire optik oswa elektwonikman | Imaj la ka vòlè epi itilize pou otantifikasyon |
| eskanè je | Enerans | Konpare karakteristik je yo, tankou modèl iris, ak nouvo optik optik | Imaj la ka vòlè epi itilize pou otantifikasyon |
| Rekonesans figi | Enerans | Karakteristik vizaj yo konpare ak nouvo optik optik | Imaj la ka vòlè epi itilize pou otantifikasyon |
| Rekonesans vwa | Enerans | Karakteristik echantiyon vwa anrejistre yo konpare ak nouvo echantiyon | Dosye a ka vòlè epi itilize pou otantifikasyon, oswa imite |
Nan dezyèm pati piblikasyon an, bagay ki pi bon gou ap tann nou - nimewo ak reyalite, ki baze sou konklizyon ak rekòmandasyon yo bay nan premye pati a. Otantifikasyon nan aplikasyon itilizatè yo ak nan sistèm antrepriz yo pral diskite separeman.
Al gade nan ou byento!
Sous: www.habr.com