Spoiler a jelentés címéből: „Az erős hitelesítés használata növekszik az új kockázatok és a szabályozási követelmények miatt.”
A "Javelin Strategy & Research" kutatócég közzétette a "The State of Strong Authentication 2019" című jelentést (). Ez a jelentés azt mondja: az amerikai és európai vállalatok hány százaléka használ jelszavakat (és miért használnak most kevesen jelszavakat); miért növekszik olyan gyorsan a kriptográfiai tokeneken alapuló kéttényezős hitelesítés alkalmazása; Miért nem biztonságosak az SMS-ben küldött egyszeri kódok?
Mindenkit szeretettel várunk, aki érdeklődik a hitelesítés jelene, múltja és jövője iránt a vállalati és fogyasztói alkalmazásokban.
A fordítótól
Sajnos a jelentés nyelve meglehetősen „száraz” és formális. A „hitelesítés” szó ötszörös használata pedig egy rövid mondatban nem a fordító görbe keze (vagy agya), hanem a szerzők szeszélye. Amikor két lehetőség közül fordítok - hogy az olvasóknak az eredetihez közelebbi vagy érdekesebb szöveget adjak, néha az elsőt, néha a másodikat választottam. De legyetek türelmesek, kedves olvasók, a jelentésben foglaltak megérik.
A történet szempontjából néhány lényegtelen és felesleges darabot eltávolítottak, különben a többség nem tudott volna átmenni a teljes szövegen. Aki „vágatlanul” szeretné elolvasni a riportot, az eredeti nyelven a linkre kattintva megteheti.
Sajnos a szerzők nem mindig óvatosak a terminológiával. Így az egyszeri jelszavakat (One Time Password – OTP) néha „jelszavaknak”, néha pedig „kódoknak” nevezik. A hitelesítési módszerekkel még rosszabb a helyzet. A gyakorlatlan olvasónak nem mindig könnyű kitalálnia, hogy a „kriptográfiai kulcsokkal történő hitelesítés” és az „erős hitelesítés” ugyanaz. Igyekeztem a kifejezéseket a lehető legnagyobb mértékben egységesíteni, és magában a jelentésben is található egy töredék a leírásukkal.
Ennek ellenére a jelentést erősen ajánlott olvasmány, mert egyedi kutatási eredményeket és helyes következtetéseket tartalmaz.
Minden számot és tényt a legkisebb változtatások nélkül mutatunk be, és ha nem ért egyet velük, akkor jobb, ha nem a fordítóval, hanem a jelentés szerzőivel vitatkozik. És itt vannak az én megjegyzéseim (idézetként kirakva és a szövegben megjelölve olasz) az én értékítéletem, és mindegyiken (valamint a fordítás minőségén) szívesen vitatkozom.
Értékelés
Manapság az ügyfelekkel való kommunikáció digitális csatornái minden eddiginél fontosabbak a vállalkozások számára. A vállalaton belül pedig az alkalmazottak közötti kommunikáció minden eddiginél jobban digitálisan orientált. És az, hogy ezek az interakciók mennyire lesznek biztonságosak, a felhasználó hitelesítésének választott módszerétől függ. A támadók gyenge hitelesítést használnak a felhasználói fiókok tömeges feltörésére. Válaszul a szabályozó hatóságok szigorítják a szabványokat, hogy rákényszerítsék a vállalkozásokat a felhasználói fiókok és adatok jobb védelmére.
A hitelesítéssel kapcsolatos fenyegetések túlmutatnak a fogyasztói alkalmazásokon; a támadók a vállalaton belül futó alkalmazásokhoz is hozzáférhetnek. Ez a művelet lehetővé teszi számukra, hogy kiadják magukat a vállalati felhasználóknak. A gyenge hitelesítésű hozzáférési pontokat használó támadók adatokat lophatnak és egyéb csalárd tevékenységeket hajthatnak végre. Szerencsére vannak intézkedések ennek leküzdésére. Az erős hitelesítés jelentősen csökkenti a támadók általi támadások kockázatát, mind a fogyasztói alkalmazásokon, mind a vállalati üzleti rendszereken.
Ez a tanulmány azt vizsgálja, hogy a vállalatok hogyan valósítják meg a hitelesítést a végfelhasználói alkalmazások és vállalati üzleti rendszerek védelme érdekében; tényezők, amelyeket figyelembe vesznek a hitelesítési megoldás kiválasztásakor; az erős hitelesítés szerepe szervezeteikben; milyen előnyökben részesülnek ezek a szervezetek.
Összegzés
Fő megállapítások
2017 óta az erős hitelesítés használata meredeken megnövekedett. A hagyományos hitelesítési megoldásokat érintő sérülékenységek növekvő számával a szervezetek erős hitelesítéssel erősítik hitelesítési képességeiket. A kriptográfiai többtényezős hitelesítést (MFA) használó szervezetek száma 2017 óta megháromszorozódott a fogyasztói alkalmazásokban, és közel 50%-kal nőtt a vállalati alkalmazások esetében. A leggyorsabb növekedés a mobil hitelesítés területén tapasztalható, a biometrikus hitelesítés növekvő elérhetősége miatt.
Itt láthatjuk a mondás szemléltetését: „Amíg nem mennydörög, az ember nem vet keresztet”. Amikor a szakértők a jelszavak bizonytalanságára figyelmeztettek, senki sem sietett a kétfaktoros hitelesítés bevezetésével. Amint a hackerek elkezdték lopni a jelszavakat, az emberek kétlépcsős azonosítást kezdtek alkalmazni.
Igaz, az egyének sokkal aktívabban alkalmazzák a 2FA-t. Először is, könnyebben csillapíthatják félelmeiket, ha az okostelefonokba épített biometrikus hitelesítésre hagyatkoznak, ami valójában nagyon megbízhatatlan. A szervezeteknek pénzt kell költeniük tokenek vásárlására, és (valójában nagyon egyszerű) munkát kell végrehajtaniuk azok megvalósításához. Másodszor pedig csak a lusták nem írtak olyan szolgáltatásokból származó jelszószivárgásról, mint a Facebook és a Dropbox, de e szervezetek informatikai igazgatói semmilyen körülmények között nem osztanak meg történeteket arról, hogyan lopták el a jelszavakat (és mi történt ezután) a szervezetekben.
Azok, akik nem használnak erős hitelesítést, alábecsülik vállalkozásukra és ügyfeleikkel kapcsolatos kockázatukat. Egyes szervezetek, amelyek jelenleg nem használnak erős hitelesítést, hajlamosak a bejelentkezési neveket és jelszavakat az egyik leghatékonyabb és legkönnyebben használható felhasználói hitelesítési módszernek tekinteni. Mások nem látják a tulajdonukban lévő digitális eszközök értékét. Végül is érdemes megfontolni, hogy a kiberbűnözőket minden fogyasztói és üzleti információ érdekli. Az alkalmazottaik hitelesítésére csak jelszavakat használó vállalatok kétharmada azért teszi ezt, mert úgy gondolja, hogy a jelszavak elég jók az általuk védett információk típusához.
A jelszavak azonban úton vannak a sírba. A jelszófüggőség jelentősen csökkent az elmúlt évben mind a fogyasztói, mind a vállalati alkalmazások esetében (44%-ról 31%-ra, illetve 56%-ról 47%-ra), mivel a szervezetek egyre inkább használják a hagyományos MFA-t és az erős hitelesítést.
De ha a helyzet egészét nézzük, akkor is érvényesülnek a sebezhető hitelesítési módszerek. A felhasználók hitelesítéséhez a szervezetek körülbelül egynegyede használ SMS OTP-t (egyszeri jelszót) a biztonsági kérdések mellett. Ennek eredményeként további biztonsági intézkedéseket kell bevezetni a sebezhetőség elleni védelem érdekében, ami növeli a költségeket. A sokkal biztonságosabb hitelesítési módszereket, például a hardveres kriptográfiai kulcsokat sokkal ritkábban, a szervezetek hozzávetőleg 5%-ában alkalmazzák.
A fejlődő szabályozási környezet azt ígéri, hogy felgyorsítja az erős hitelesítés elfogadását a fogyasztói alkalmazásokban. A PSD2 bevezetésével, valamint az EU-ban és az Egyesült Államok több államában, például Kaliforniában érvényes új adatvédelmi szabályokkal a cégek érzik a hőséget. A vállalatok csaknem 70%-a egyetért azzal, hogy erős szabályozási nyomással kell szembenézniük ügyfeleiknek erős hitelesítés biztosítása érdekében. A vállalkozások több mint fele úgy gondolja, hogy néhány éven belül hitelesítési módszerei nem lesznek elegendőek a szabályozói szabványok teljesítéséhez.
Jól látható a különbség az orosz és az amerikai-európai jogalkotók megközelítésében a programok és szolgáltatások felhasználói személyes adatainak védelmében. Az oroszok azt mondják: kedves szolgáltatók, csináljatok amit akartok és ahogy akartok, de ha a rendszergazdátok összevonja az adatbázist, akkor megbüntetünk. Azt mondják külföldön: végre kell hajtania egy olyan intézkedéscsomagot, amelyet nem engedi ürítse ki az alapot. Éppen ezért ott a szigorú kéttényezős hitelesítés követelményeit vezetik be.
Igaz, korántsem tény, hogy jogalkotó gépezetünk egy napon nem jön észhez, és nem veszi figyelembe a nyugati tapasztalatokat. Aztán kiderül, hogy mindenkinek sürgősen be kell vezetnie az orosz kriptográfiai szabványoknak megfelelő 2FA-t.
Az erős hitelesítési keretrendszer létrehozása lehetővé teszi a vállalatok számára, hogy a szabályozási követelmények teljesítése helyett a fogyasztói igények kielégítésére összpontosítsanak. Azon szervezetek számára, amelyek még mindig egyszerű jelszavakat használnak, vagy SMS-ben kapnak kódokat, a hitelesítési mód kiválasztásánál a legfontosabb szempont a hatósági követelmények betartása. Azok a vállalatok azonban, amelyek már használnak erős hitelesítést, összpontosíthatnak azon hitelesítési módszerek kiválasztására, amelyek növelik az ügyfelek lojalitását.
A vállalaton belüli vállalati hitelesítési módszer kiválasztásakor a szabályozási követelmények már nem számítanak jelentősnek. Ebben az esetben sokkal fontosabb az integráció egyszerűsége (32%) és a költség (26%).
Az adathalászat korszakában a támadók vállalati e-maileket használhatnak átverésre adatokhoz, számlákhoz csalárd módon hozzáférni (megfelelő hozzáférési jogokkal), sőt, rávenni a dolgozókat, hogy utaljanak át a számlájára. Ezért a vállalati e-mail- és portálfiókokat különösen jól kell védeni.
A Google megerősítette biztonságát az erős hitelesítés bevezetésével. Több mint két éve a Google közzétett egy jelentést a kétfaktoros hitelesítés kriptográfiai biztonsági kulcsokon alapuló, a FIDO U2F szabványt használó megvalósításáról, lenyűgöző eredményekről számolva be. A cég szerint egyetlen adathalász támadást sem hajtottak végre több mint 85 ezer alkalmazott ellen.
Ajánlások
Erős hitelesítés alkalmazása mobil és online alkalmazásokhoz. A kriptográfiai kulcsokon alapuló többtényezős hitelesítés sokkal jobb védelmet nyújt a hackelés ellen, mint a hagyományos MFA módszerek. Ezenkívül a kriptográfiai kulcsok használata sokkal kényelmesebb, mivel nincs szükség további információk - jelszavak, egyszeri jelszavak vagy biometrikus adatok - használatára és átvitelére a felhasználó eszközéről a hitelesítési szerverre. Ezenkívül a hitelesítési protokollok szabványosítása sokkal könnyebbé teszi az új hitelesítési módszerek bevezetését, amint azok elérhetővé válnak, csökkentve a megvalósítási költségeket és védelmet nyújtva a kifinomultabb csalási sémákkal szemben.
Készüljön fel az egyszeri jelszavak (OTP) megszűnésére. Az OTP-kben rejlő sebezhetőségek egyre nyilvánvalóbbá válnak, mivel a kiberbűnözők társadalmi manipulációt, okostelefon klónozást és rosszindulatú szoftvereket használnak az azonosítási módok veszélyeztetésére. És ha az OTP-knek bizonyos esetekben vannak bizonyos előnyei, akkor csak a minden felhasználó számára elérhető egyetemes elérhetőség szempontjából, de nem a biztonság szempontjából.
Nem lehet nem észrevenni, hogy a kódok SMS-ben vagy Push-értesítéseken keresztül történő fogadása, valamint okostelefon-programok segítségével kódok generálása ugyanazon egyszeri jelszavak (OTP) használata, amelyek visszautasítására készülünk. Technikai szempontból nagyon korrekt a megoldás, mert ritka a csaló, aki nem egy hiszékeny felhasználótól próbálja meg kideríteni az egyszeri jelszót. De úgy gondolom, hogy az ilyen rendszerek gyártói a végsőkig ragaszkodnak a haldokló technológiához.
Használjon erős hitelesítést marketingeszközként az ügyfelek bizalmának növelésére. Az erős hitelesítés többre képes, mint csak javítani a vállalkozás tényleges biztonságát. Az ügyfelek tájékoztatása arról, hogy vállalkozása erős hitelesítést használ, megerősítheti a közvéleményben az adott vállalkozás biztonságáról alkotott képét – ez fontos tényező, ha jelentős ügyféligény van az erős hitelesítési módszerek iránt.
Végezze el a vállalati adatok alapos leltárát és kritikussági értékelését, és fontosságuk szerint védje meg azokat. Még olyan alacsony kockázatú adatok is, mint például az ügyfelek elérhetőségei (nem, valóban, a jelentés szerint „alacsony kockázatú”, nagyon furcsa, hogy alábecsülik ennek az információnak a fontosságát), jelentős értéket hozhat a csalók számára, és problémákat okozhat a vállalatnak.
Használjon erős vállalati hitelesítést. Számos rendszer a legvonzóbb célpont a bűnözők számára. Ide tartoznak a belső és internethez kapcsolódó rendszerek, mint például a könyvelőprogram vagy a vállalati adattárház. Az erős hitelesítés megakadályozza, hogy a támadók jogosulatlan hozzáférést kapjanak, és lehetővé teszi annak pontos meghatározását, hogy melyik alkalmazott követte el a rosszindulatú tevékenységet.
Mi az erős hitelesítés?
Erős hitelesítés használatakor számos módszert vagy tényezőt használnak a felhasználó hitelességének ellenőrzésére:
- Tudásfaktor: megosztott titok a felhasználó és a felhasználó által hitelesített alany között (például jelszavak, biztonsági kérdésekre adott válaszok stb.)
- Tulajdonosi tényező: olyan eszköz, amellyel csak a felhasználó rendelkezik (például mobileszköz, kriptográfiai kulcs stb.)
- Integritási tényező: a felhasználó fizikai (gyakran biometrikus) jellemzői (például ujjlenyomat, íriszminta, hang, viselkedés stb.)
A több tényező feltörésének szükségessége nagymértékben megnöveli a támadók sikertelenségének valószínűségét, mivel a különböző tényezők megkerülése vagy megtévesztése többféle feltörési taktika alkalmazását igényli, minden egyes tényező esetében külön-külön.
Például a 2FA „jelszó + okostelefon” használatával a támadó hitelesítést hajthat végre a felhasználó jelszavának megtekintésével, és pontos szoftvermásolatot készíthet okostelefonjáról. És ez sokkal nehezebb, mint egyszerűen ellopni egy jelszót.
De ha jelszót és kriptográfiai tokent használnak a 2FA-hoz, akkor a másolási lehetőség itt nem működik - lehetetlen a tokent megkettőzni. A csalónak lopva el kell lopnia a tokent a felhasználótól. Ha a felhasználó időben észreveszi a veszteséget, és értesíti az adminisztrátort, a token blokkolásra kerül, és a csaló erőfeszítései hiábavalók lesznek. Ez az oka annak, hogy a tulajdonosi tényező speciális biztonságos eszközök (tokenek) használatát írja elő általános célú eszközök (okostelefonok) helyett.
Mindhárom tényező alkalmazása meglehetősen költségessé teszi ezt a hitelesítési módszert, és meglehetősen kényelmetlenné teszi a használatát. Ezért általában három tényezőből kettőt használnak.
A kéttényezős hitelesítés alapelveit részletesebben ismertetjük , a „Hogyan működik a kéttényezős hitelesítés” blokkban.
Fontos megjegyezni, hogy az erős hitelesítés során használt hitelesítési tényezők közül legalább egynek nyilvános kulcsú kriptográfiát kell használnia.
Az erős hitelesítés sokkal erősebb védelmet nyújt, mint a klasszikus jelszavakon és a hagyományos MFA-n alapuló egytényezős hitelesítés. A jelszavak után kémkedhetnek vagy elfoghatók kulcsnaplózókkal, adathalász webhelyekkel vagy közösségi manipulációs támadásokkal (ahol az áldozatot becsapják a jelszavának felfedésére). Ráadásul a jelszó tulajdonosa semmit sem fog tudni a lopásról. A hagyományos MFA (beleértve az OTP kódokat, okostelefonhoz vagy SIM-kártyához kötést) is meglehetősen könnyen feltörhető, mivel nem nyilvános kulcsú kriptográfián alapul (Egyébként számos példa van arra, amikor ugyanazokkal a social engineering technikákkal a csalók rávették a felhasználókat, hogy adjanak meg nekik egy egyszeri jelszót.).
Szerencsére az erős hitelesítés és a hagyományos MFA használata tavaly óta egyre nagyobb teret hódít mind a fogyasztói, mind a vállalati alkalmazásokban. Különösen gyorsan nőtt az erős hitelesítés alkalmazása a fogyasztói alkalmazásokban. Ha 2017-ben még csak a cégek 5%-a használta, akkor 2018-ban már háromszor több – 16%. Ez a nyilvános kulcsú titkosítási (PKC) algoritmusokat támogató tokenek fokozott elérhetőségével magyarázható. Emellett az európai szabályozók részéről az új adatvédelmi szabályok, például a PSD2 és a GDPR elfogadását követő megnövekedett nyomás még Európán kívül is erős hatást gyakorolt (beleértve Oroszországot is).
Nézzük meg közelebbről ezeket a számokat. Amint látjuk, a többtényezős hitelesítést használó magánszemélyek aránya lenyűgöző, 11%-kal nőtt az év során. Ez pedig egyértelműen a jelszókedvelők rovására történt, hiszen a Push értesítések, SMS-ek és biometrikus adatok biztonságában hívők száma nem változott.
De a vállalati használatra szánt kéttényezős hitelesítéssel a dolgok nem olyan jók. Először is, a jelentés szerint az alkalmazottak mindössze 5%-a került át jelszavas hitelesítésről tokenekre. Másodsorban pedig 4%-kal nőtt azok száma, akik vállalati környezetben alternatív MFA-lehetőségeket vesznek igénybe.
Megpróbálok elemzőt játszani, és elmondom a saját értelmezésemet. Az egyéni felhasználók digitális világának középpontjában az okostelefon áll. Ezért nem csoda, hogy a többség azokat a képességeket használja, amelyeket az eszköz biztosít számukra - biometrikus hitelesítés, SMS és Push értesítések, valamint magán az okostelefonon lévő alkalmazások által generált egyszeri jelszavak. Az emberek általában nem gondolnak a biztonságra és a megbízhatóságra, amikor a megszokott eszközöket használják.
Ez az oka annak, hogy a primitív „hagyományos” hitelesítési tényezőket használók aránya nem változik. De azok, akik korábban használtak jelszavakat, megértik, mekkora kockázatot vállalnak, és amikor új hitelesítési tényezőt választanak, a legújabb és legbiztonságosabb lehetőséget választják - a kriptográfiai tokent.
Ami a vállalati piacot illeti, fontos megérteni, hogy melyik rendszerben történik a hitelesítés. Ha Windows tartományba való bejelentkezés van megvalósítva, akkor a rendszer kriptográfiai tokeneket használ. A 2FA használatának lehetőségei már be vannak építve a Windowsba és a Linuxba is, de az alternatív lehetőségek hosszúak és nehezen megvalósíthatók. Ennyit a jelszavakról a tokenekre való 5%-os migrációról.
És a 2FA bevezetése egy vállalati információs rendszerben nagymértékben függ a fejlesztők képzettségétől. És sokkal könnyebb a fejlesztőknek kész modulokat venni az egyszeri jelszavak generálásához, mint megérteni a kriptográfiai algoritmusok működését. Ennek eredményeként még az olyan hihetetlenül biztonsági szempontból kritikus alkalmazások is, mint az egyszeri bejelentkezés vagy a privilegizált hozzáférés-kezelő rendszerek, az OTP-t használják második tényezőként.
Sok sebezhetőség a hagyományos hitelesítési módszerekben
Míg sok szervezet továbbra is a régi, egytényezős rendszerekre támaszkodik, a hagyományos többtényezős hitelesítés sebezhetősége egyre nyilvánvalóbbá válik. Az egyszeri, jellemzően hat-nyolc karakter hosszúságú, SMS-ben kézbesített jelszavak továbbra is a legelterjedtebb hitelesítési forma (a jelszótényező mellett természetesen). Ha pedig a népszerű sajtóban a „kéttényezős hitelesítés” vagy „kétlépcsős hitelesítés” szó esik, az szinte mindig az SMS egyszeri jelszavas hitelesítésre utal.
Itt egy kicsit téved a szerző. Az egyszeri jelszavak SMS-ben történő kézbesítése soha nem volt kéttényezős hitelesítés. Ez a legtisztább formában a kétlépcsős azonosítás második szakasza, ahol az első lépés a bejelentkezési név és a jelszó megadása.
2016-ban a Nemzeti Szabványügyi és Technológiai Intézet (NIST) frissítette hitelesítési szabályait az SMS-ben küldött egyszeri jelszavak használatának megszüntetése érdekében. Ezeket a szabályokat azonban jelentősen enyhítették az iparági tiltakozások nyomán.
Kövessük tehát a cselekményt. Az amerikai szabályozó helyesen ismeri fel, hogy az elavult technológia nem képes biztosítani a felhasználók biztonságát, és új szabványokat vezet be. Az online és mobilalkalmazások (beleértve a banki alkalmazásokat is) felhasználói védelmét szolgáló szabványok. Az iparág számolja, mennyi pénzt kell majd költenie valóban megbízható kriptográfiai tokenek vásárlására, alkalmazások újratervezésére, nyilvános kulcsú infrastruktúra telepítésére, és „hátsó lábaira emelkedik”. Egyrészt a felhasználók meg voltak győződve az egyszeri jelszavak megbízhatóságáról, másrészt támadások történtek a NIST ellen. Ennek eredményeként a szabvány felpuhult, és a jelszavak (és a banki alkalmazásokból származó pénz) feltörések és ellopások száma meredeken emelkedett. De az iparnak nem kellett pénzt kiadnia.
Azóta egyre nyilvánvalóbbá váltak az SMS OTP eredendő gyengeségei. A csalók különféle módszereket alkalmaznak az SMS-üzenetek feltörésére:
- SIM-kártya sokszorosítása. A támadók másolatot készítenek a SIM-kártyáról (a mobilszolgáltató alkalmazottai segítségével, vagy önállóan, speciális szoftver és hardver segítségével). Ennek eredményeként a támadó SMS-t kap egy egyszeri jelszóval. Egy különösen híres esetben a hackerek még Michael Turpin kriptovaluta-befektető AT&T-számláját is feltörhették, és közel 24 millió dollárt loptak el kriptovalutában. Ennek eredményeként Turpin kijelentette, hogy az AT&T hibás a gyenge ellenőrzési intézkedések miatt, amelyek a SIM-kártya megkettőzéséhez vezettek.
Elképesztő logika. Szóval tényleg csak az AT&T a hibás? Nem, kétségtelenül a mobilszolgáltató hibája, hogy a kommunikációs üzletben az eladók SIM-kártya duplikált adták ki. Mi a helyzet a kriptovaluta tőzsde hitelesítési rendszerével? Miért nem használtak erős kriptográfiai tokeneket? Kár volt pénzt költeni a megvalósításra? Nem maga Michael a hibás? Miért nem ragaszkodott a hitelesítési mechanizmus megváltoztatásához, vagy csak azokat a központokat használja, amelyek kétfaktoros hitelesítést valósítanak meg kriptográfiai tokenek alapján?
A valóban megbízható hitelesítési módszerek bevezetése éppen azért késik, mert a felhasználók elképesztő figyelmetlenséget tanúsítanak a hackelés előtt, és utána az ősi és „kiszivárgó” hitelesítési technológiákon kívül bárkit és bármit okolnak a bajukért.
- Rosszindulatú. A mobil kártevők egyik legkorábbi funkciója a szöveges üzenetek elfogása és továbbítása volt a támadóknak. Ezenkívül a böngészőben és a középsőben támadások elkaphatják az egyszeri jelszavakat, amikor azokat fertőzött laptopokon vagy asztali eszközökön adják meg.
Amikor az okostelefonon lévő Sberbank alkalmazás zöld ikonra villog az állapotsoron, akkor az is keresi a „rosszindulatú programot” a telefonon. Ennek az eseménynek az a célja, hogy egy tipikus okostelefon nem megbízható végrehajtási környezetét legalább valamilyen módon megbízhatóvá változtassa.
Egyébként az okostelefon, mint egy teljesen megbízhatatlan eszköz, amelyen bármit meg lehet tenni, újabb ok, hogy hitelesítésre használjuk. csak hardver tokenek, amelyek védettek, vírusoktól és trójaiaktól mentesek. - Szociális tervezés. Amikor a csalók megtudják, hogy az áldozat SMS-ben engedélyezte az OTP-t, közvetlenül kapcsolatba léphetnek az áldozattal, megbízható szervezetnek, például bankjuknak vagy hitelszövetkezetnek adva, hogy rávegyék az áldozatot az imént kapott kód megadására.
Személyesen is sokszor találkoztam ilyen típusú csalással, például amikor egy népszerű online bolhapiacon próbáltam eladni valamit. Jómagam csúfoltam a csalót, aki kedvemre próbált becsapni. De sajnos rendszeresen olvasom a hírekben, hogy a csalók újabb áldozata „nem gondolkodott”, megadta a megerősítő kódot, és nagy összeget veszített. Mindez pedig azért van, mert a bank egyszerűen nem akar foglalkozni a kriptográfiai tokenek megvalósításával az alkalmazásaiban. Végül is, ha valami történik, akkor az ügyfelek „magukat hibáztathatják”.
Míg az alternatív OTP kézbesítési módszerek enyhíthetik a hitelesítési módszer egyes sebezhetőségeit, más biztonsági rések továbbra is fennállnak. Az önálló kódgeneráló alkalmazások jelentik a legjobb védelmet a lehallgatás ellen, mivel még a rosszindulatú programok sem tudnak közvetlenül kölcsönhatásba lépni a kódgenerátorral (Komolyan? A riport írója megfeledkezett a távirányítóról?), de az OTP-k továbbra is lehallgathatók a böngészőbe való belépéskor (például egy keylogger használatával), egy feltört mobilalkalmazáson keresztül; és a social engineering segítségével közvetlenül a felhasználótól is beszerezhető.
Több kockázatértékelési eszköz használata, mint például az eszközfelismerés (a nem jogszerű felhasználóhoz tartozó eszközökről történő tranzakciók végrehajtására irányuló kísérletek észlelése), földrajzi helymeghatározás (egy felhasználó, aki éppen Moszkvában járt, Novoszibirszkből próbál végrehajtani egy műveletet) és a viselkedéselemzés fontosak a sebezhetőségek kezelésében, de egyik megoldás sem csodaszer. Minden egyes helyzet és adattípus esetében gondosan fel kell mérni a kockázatokat, és meg kell választani, hogy melyik hitelesítési technológiát kell használni.
Egyetlen hitelesítési megoldás sem csodaszer
2. ábra: Hitelesítési lehetőségek táblázata
| Hitelesítés | Tényező | Leírás | Legfontosabb sebezhetőségek |
| Jelszó vagy PIN | A tudás | Rögzített érték, amely betűket, számokat és számos egyéb karaktert tartalmazhat | Elfogható, kémkedhető, ellopható, felvehető vagy feltörhető |
| Tudásalapú hitelesítés | A tudás | Megkérdőjelezi azokat a válaszokat, amelyekre csak legális felhasználó tudhat | Elfogható, felvehető, social engineering módszerekkel megszerezhető |
| Hardveres OTP () | Birtoklás | Egy speciális eszköz, amely egyszeri jelszavakat generál | A kódot elfoghatják és megismételhetik, vagy az eszközt ellophatják |
| Szoftver OTP-k | Birtoklás | Egy alkalmazás (mobil, böngészőn keresztül elérhető, vagy kódokat küld e-mailben), amely egyszeri jelszavakat generál | A kódot elfoghatják és megismételhetik, vagy az eszközt ellophatják |
| SMS OTP | Birtoklás | Egyszeri jelszó SMS-ben kézbesítve | A kódot elfoghatják és megismételhetik, vagy ellophatják az okostelefont vagy a SIM-kártyát, vagy a SIM-kártyát lemásolhatják |
| Intelligens kártyák () | Birtoklás | Olyan kártya, amely titkosítási chipet és biztonságos kulcsmemóriát tartalmaz, amely nyilvános kulcsú infrastruktúrát használ a hitelesítéshez | Lehet, hogy fizikailag ellopták (de a támadó nem tudja használni az eszközt a PIN-kód ismerete nélkül; többszöri hibás beviteli kísérlet esetén a készülék blokkolásra kerül) |
| Biztonsági kulcsok – tokenek (, ) | Birtoklás | Olyan USB-eszköz, amely titkosítási chipet és biztonságos kulcsmemóriát tartalmaz, amely nyilvános kulcsú infrastruktúrát használ a hitelesítéshez | Fizikailag ellopható (de a támadó a PIN kód ismerete nélkül nem tudja használni a készüléket, többszöri hibás belépési kísérlet esetén a készülék letiltásra kerül) |
| Csatlakozás egy eszközhöz | Birtoklás | Az a folyamat, amely profilt hoz létre, gyakran JavaScript használatával vagy jelölők, például cookie-k és Flash megosztott objektumok használatával annak biztosítására, hogy egy adott eszközt használnak. | A tokenek ellophatók (másolhatók), és a legális eszköz tulajdonságait a támadó utánozhatja eszközén |
| viselkedés | Hozzátartozás | Elemzi, hogy a felhasználó hogyan kommunikál egy eszközzel vagy programmal | A viselkedés utánozható |
| Ujjlenyomatok | Hozzátartozás | A tárolt ujjlenyomatokat összehasonlítja az optikailag vagy elektronikusan rögzített ujjlenyomatokkal | A kép ellopható és hitelesítésre használható |
| Szemvizsgálat | Hozzátartozás | Összehasonlítja a szem jellemzőit, például az írisz mintáját, az új optikai szkenneléssel | A kép ellopható és hitelesítésre használható |
| Arcfelismerés | Hozzátartozás | Az arc jellemzőit új optikai szkenneléssel hasonlítják össze | A kép ellopható és hitelesítésre használható |
| Hangfelismerés | Hozzátartozás | A rögzített hangminta jellemzőit összehasonlítjuk új mintákkal | A rekord ellopható és hitelesítésre használható, vagy emulálható |
A kiadvány második részében a legfinomabb dolgok várnak ránk - számok és tények, amelyekre az első részben megfogalmazott következtetések és ajánlások épülnek. A felhasználói alkalmazásokban és a vállalati rendszerekben történő hitelesítésről külön lesz szó.
Találkozunk!
Forrás: will.com