Զեկույցի վերնագրից սփոյլերը.
«Javelin Strategy & Research» հետազոտական ընկերությունը հրապարակել է «The State of Strong Authentication 2019» զեկույցը () Այս զեկույցում ասվում է. ամերիկյան և եվրոպական ընկերությունների քանի՞ տոկոսն է օգտագործում գաղտնաբառեր (և ինչու հիմա քչերն են օգտագործում գաղտնաբառեր); ինչու է գաղտնագրման նշանների վրա հիմնված երկգործոն նույնականացման օգտագործումն այդքան արագ աճում. Ինչու՞ SMS-ով ուղարկված միանգամյա կոդերը անվտանգ չեն:
Բոլոր նրանք, ովքեր հետաքրքրված են ձեռնարկություններում և սպառողական հավելվածներում նույնականացման ներկայով, անցյալով և ապագայով, ողջունելի են:
Թարգմանչից
Ավաղ, լեզուն, որով գրված է այս զեկույցը, բավականին «չոր» է և պաշտոնական։ Իսկ մեկ կարճ նախադասության մեջ «հավաստագրում» բառի հնգակի օգտագործումը թարգմանչի ծուռ ձեռքերը (կամ ուղեղները) չեն, այլ հեղինակների քմահաճույքը։ Երկու տարբերակից թարգմանելիս՝ ընթերցողներին տալ բնօրինակին ավելի մոտ տեքստ, կամ ավելի հետաքրքիր, երբեմն ընտրում էի առաջինը, երբեմն՝ երկրորդը։ Բայց համբերատար եղեք, հարգելի ընթերցողներ, զեկույցի բովանդակությունը արժե այն:
Պատմության համար որոշ անկարևոր և ավելորդ կտորներ հեռացվեցին, այլապես մեծամասնությունը չէր կարողանա անցնել ամբողջ տեքստը: Նրանք, ովքեր ցանկանում են կարդալ զեկույցը «չկտրված», կարող են դա անել բնօրինակ լեզվով` հետևելով հղմանը:
Ցավոք, հեղինակները միշտ չէ, որ զգույշ են տերմինաբանության հետ: Այսպիսով, մեկանգամյա գաղտնաբառերը (One Time Password - OTP) երբեմն կոչվում են «գաղտնաբառեր», իսկ երբեմն էլ «կոդեր»: Դա նույնիսկ ավելի վատ է վավերացման մեթոդների դեպքում: Չվարժված ընթերցողի համար միշտ չէ, որ հեշտ է կռահել, որ «կրիպտոգրաֆիկ բանալիների միջոցով նույնականացումը» և «ուժեղ նույնականացումը» նույն բանն են: Ես փորձել եմ հնարավորինս միավորել տերմինները, իսկ բուն զեկույցում կա դրանց նկարագրությամբ հատված։
Այնուամենայնիվ, զեկույցը խիստ խորհուրդ է տրվում կարդալ, քանի որ այն պարունակում է հետազոտության եզակի արդյունքներ և ճիշտ եզրակացություններ:
Բոլոր թվերն ու փաստերը ներկայացված են առանց նվազագույն փոփոխությունների, իսկ եթե համաձայն չեք դրանց հետ, ապա ավելի լավ է վիճել ոչ թե թարգմանչի, այլ զեկույցի հեղինակների հետ։ Եվ ահա իմ մեկնաբանությունները (դրված են որպես մեջբերումներ և նշված են տեքստում Իտալական) իմ արժեքային դատողությունն են, և ես հաճույքով կվիճեմ դրանցից յուրաքանչյուրի (նաև թարգմանության որակի) վերաբերյալ։
Վերանայել
Մեր օրերում հաճախորդների հետ հաղորդակցման թվային ուղիներն առավել քան երբևէ կարևոր են բիզնեսի համար։ Իսկ ընկերության ներսում աշխատակիցների միջև հաղորդակցությունն ավելի թվային է, քան երբևէ: Իսկ թե որքանով ապահով կլինեն այդ փոխազդեցությունները, կախված է օգտատերերի նույնականացման ընտրված մեթոդից: Հարձակվողներն օգտագործում են թույլ վավերացում՝ օգտատերերի հաշիվները զանգվածաբար կոտրելու համար: Ի պատասխան՝ կարգավորիչները խստացնում են ստանդարտները՝ ստիպելու բիզնեսներին ավելի լավ պաշտպանել օգտատերերի հաշիվներն ու տվյալները:
Նույնականացման հետ կապված սպառնալիքները դուրս են գալիս սպառողական հավելվածներից, հարձակվողները կարող են նաև մուտք ունենալ ձեռնարկության ներսում աշխատող հավելվածներին: Այս գործողությունը նրանց թույլ է տալիս անձնավորել կորպորատիվ օգտատերերին: Հարձակվողները, որոնք օգտագործում են մուտքի կետերը թույլ վավերացումով, կարող են գողանալ տվյալները և կատարել այլ խարդախ գործողություններ: Բարեբախտաբար, կան միջոցներ դրա դեմ պայքարելու համար։ Հզոր նույնականացումը կօգնի զգալիորեն նվազեցնել հարձակվողի կողմից հարձակման ռիսկը ինչպես սպառողական հավելվածների, այնպես էլ ձեռնարկությունների բիզնես համակարգերի վրա:
Այս ուսումնասիրությունը ուսումնասիրում է. ինչպես են ձեռնարկությունները իրականացնում նույնականացումը՝ պաշտպանելու վերջնական օգտագործողների հավելվածները և ձեռնարկությունների բիզնես համակարգերը; գործոններ, որոնք նրանք հաշվի են առնում վավերացման լուծում ընտրելիս. դերը, որ ուժեղ վավերացումը խաղում է իրենց կազմակերպություններում. այն օգուտները, որոնք ստանում են այս կազմակերպությունները:
Ամփոփում
Հիմնական արդյունքները
2017 թվականից ի վեր ուժեղ վավերացման կիրառումը կտրուկ աճել է։ Ավանդական նույնականացման լուծումների վրա ազդող խոցելիության աճող թվով կազմակերպություններն ուժեղացնում են նույնականացման իրենց հնարավորությունները ուժեղ նույնականացման միջոցով: Կրիպտոգրաֆիկ բազմագործոն նույնականացում (MFA) օգտագործող կազմակերպությունների թիվը սպառողական հավելվածների համար եռապատկվել է 2017 թվականից ի վեր, իսկ ձեռնարկությունների հավելվածների համար աճել է գրեթե 50%-ով: Ամենաարագ աճը դիտվում է բջջային նույնականացման մեջ՝ կենսաչափական նույնականացման հասանելիության աճի շնորհիվ:
Այստեղ մենք տեսնում ենք «մինչև որոտը չդիպչի, մարդը խաչակնքվի» ասացվածքի օրինակը։ Երբ փորձագետները զգուշացնում էին գաղտնաբառերի անապահովության մասին, ոչ ոք չէր շտապում իրականացնել երկգործոն նույնականացում։ Հենց որ հաքերները սկսեցին գողանալ գաղտնաբառերը, մարդիկ սկսեցին իրականացնել երկու գործոն նույնականացում:
Ճիշտ է, անհատները շատ ավելի ակտիվ են իրականացնում 2FA-ն: Նախ, նրանց համար ավելի հեշտ է հանգստացնել իրենց վախերը՝ հենվելով սմարթֆոնների մեջ ներկառուցված կենսաչափական նույնականացման վրա, որն իրականում շատ անվստահելի է: Կազմակերպությունները պետք է գումար ծախսեն ժետոններ ձեռք բերելու վրա և աշխատանքներ տանեն (իրականում, շատ պարզ) դրանք իրականացնելու համար։ Եվ երկրորդը, միայն ծույլերը չեն գրել գաղտնաբառերի արտահոսքի մասին այնպիսի ծառայություններից, ինչպիսիք են Facebook-ը և Dropbox-ը, բայց այս կազմակերպությունների CIO-ները ոչ մի դեպքում չեն կիսվի պատմություններով այն մասին, թե ինչպես են գաղտնաբառերը գողացել (և ինչ է տեղի ունեցել հետո) կազմակերպություններում:
Նրանք, ովքեր չեն օգտագործում ուժեղ վավերացում, թերագնահատում են իրենց ռիսկերը իրենց բիզնեսի և հաճախորդների համար: Որոշ կազմակերպություններ, որոնք ներկայումս չեն օգտագործում ուժեղ նույնականացում, հակված են մուտքերն ու գաղտնաբառերը դիտել որպես օգտվողների նույնականացման ամենաարդյունավետ և հեշտ օգտագործվող մեթոդներից մեկը: Մյուսները չեն տեսնում իրենց պատկանող թվային ակտիվների արժեքը: Ի վերջո, արժե հաշվի առնել, որ կիբերհանցագործներին հետաքրքրում է ցանկացած սպառողական և բիզնես տեղեկատվություն: Ընկերությունների երկու երրորդը, որոնք օգտագործում են միայն գաղտնաբառեր՝ իրենց աշխատակիցների իսկությունը հաստատելու համար, դա անում են, քանի որ կարծում են, որ գաղտնաբառերը բավարար են իրենց պաշտպանած տեղեկատվության տեսակի համար:
Այնուամենայնիվ, գաղտնաբառերը գերեզմանի ճանապարհին են: Անցած տարվա ընթացքում գաղտնաբառից կախվածությունը զգալիորեն նվազել է ինչպես սպառողների, այնպես էլ ձեռնարկությունների հավելվածների համար (44%-ից մինչև 31% և համապատասխանաբար 56%-ից մինչև 47%), քանի որ կազմակերպությունները մեծացնում են ավանդական MFA-ի և ուժեղ նույնականացման օգտագործումը:
Բայց եթե նայենք իրավիճակին որպես ամբողջություն, ապա նույնականացման խոցելի մեթոդները դեռ գերակշռում են: Օգտագործողի նույնականացման համար կազմակերպությունների մոտ մեկ քառորդը անվտանգության հարցերի հետ մեկտեղ օգտագործում է SMS OTP (մեկանգամյա գաղտնաբառ): Արդյունքում, պետք է լրացուցիչ անվտանգության միջոցներ ձեռնարկվեն խոցելիությունից պաշտպանվելու համար, ինչը մեծացնում է ծախսերը։ Նույնականացման շատ ավելի ապահով մեթոդների օգտագործումը, ինչպիսիք են ապարատային գաղտնագրման բանալիները, օգտագործվում են շատ ավելի հազվադեպ՝ կազմակերպությունների մոտավորապես 5%-ում:
Զարգացող կարգավորիչ միջավայրը խոստանում է արագացնել սպառողների հավելվածների համար ուժեղ վավերացման ընդունումը: PSD2-ի ներդրմամբ, ինչպես նաև ԵՄ-ում և ԱՄՆ-ի մի շարք նահանգներում, օրինակ՝ Կալիֆոռնիայում, տվյալների պաշտպանության նոր կանոններով, ընկերությունները զգում են շոգը: Ընկերությունների գրեթե 70%-ը համաձայն է, որ իրենք բախվում են ուժեղ կարգավորիչ ճնշման՝ իրենց հաճախորդներին ուժեղ նույնականացում ապահովելու համար: Ձեռնարկությունների կեսից ավելին կարծում է, որ մի քանի տարվա ընթացքում իրենց իսկորոշման մեթոդները բավարար չեն լինի կարգավորող չափանիշներին համապատասխանելու համար:
Հստակ տեսանելի է ռուս և ամերիկա-եվրոպական օրենսդիրների մոտեցումների տարբերությունը ծրագրերից և ծառայություններից օգտվողների անձնական տվյալների պաշտպանության հարցում։ Ռուսներն ասում են՝ հարգելի սերվիս տերեր, արեք ինչ ուզում եք, ինչպես ուզում եք, բայց եթե ձեր ադմինը միացնի բազան, մենք ձեզ կպատժենք։ Դրսում ասում են՝ պետք է մի շարք միջոցառումներ իրականացնեք, որ թույլ չի տա ցամաքեցնել հիմքը: Այդ իսկ պատճառով այնտեղ ներդրվում են խիստ երկգործոն նույնականացման պահանջներ։
Ճիշտ է, շատ հեռու է փաստից, որ մեր օրենսդիր մեքենան մի օր խելքի չի գա ու հաշվի չի առնի արեւմտյան փորձը։ Հետո պարզվում է, որ բոլորը պետք է ներդնեն 2FA, որը համապատասխանում է ռուսական կրիպտոգրաֆիկ չափանիշներին և շտապ։
Նույնականացման ուժեղ շրջանակի ստեղծումը թույլ է տալիս ընկերություններին իրենց ուշադրությունը փոխել կարգավորող պահանջների բավարարումից հաճախորդների կարիքների բավարարման վրա: Այն կազմակերպությունների համար, որոնք դեռ օգտագործում են պարզ գաղտնաբառեր կամ SMS-ի միջոցով կոդեր են ստանում, վավերացման մեթոդ ընտրելիս ամենակարևոր գործոնը կլինի կարգավորող պահանջներին համապատասխանելը: Բայց այն ընկերությունները, որոնք արդեն օգտագործում են ուժեղ նույնականացում, կարող են կենտրոնանալ նույնականացման այն մեթոդների ընտրության վրա, որոնք մեծացնում են հաճախորդների հավատարմությունը:
Ընկերության ներսում կորպորատիվ նույնականացման մեթոդ ընտրելիս կարգավորող պահանջներն այլևս էական գործոն չեն: Այս դեպքում շատ ավելի կարևոր են ինտեգրման հեշտությունը (32%) և ծախսերը (26%):
Ֆիշինգի դարաշրջանում հարձակվողները կարող են օգտագործել կորպորատիվ էլ.փոստը խարդախության համար խարդախությամբ մուտք գործելու տվյալներ, հաշիվներ (համապատասխան մուտքի իրավունքներով) և նույնիսկ համոզել աշխատակիցներին իր հաշվին դրամական փոխանցում կատարել։ Հետևաբար, կորպորատիվ էլփոստի և պորտալի հաշիվները պետք է հատկապես լավ պաշտպանված լինեն:
Google-ն ուժեղացրել է իր անվտանգությունը՝ կիրառելով ուժեղ նույնականացում: Ավելի քան երկու տարի առաջ Google-ը հրապարակեց զեկույց FIDO U2F ստանդարտի միջոցով գաղտնագրային անվտանգության բանալիների վրա հիմնված երկգործոն նույնականացման իրականացման մասին՝ հաղորդելով տպավորիչ արդյունքներ: Ընկերության տվյալներով՝ ոչ մի ֆիշինգ հարձակում չի իրականացվել ավելի քան 85 հազար աշխատակցի նկատմամբ։
Առաջարկություններ
Իրականացնել ուժեղ նույնականացում բջջային և առցանց հավելվածների համար: Կրիպտոգրաֆիկ բանալիների վրա հիմնված բազմագործոն նույնականացումը շատ ավելի լավ պաշտպանություն է ապահովում հաքերից, քան MFA-ի ավանդական մեթոդները: Բացի այդ, ծածկագրային բանալիների օգտագործումը շատ ավելի հարմար է, քանի որ կարիք չկա օգտագործելու և փոխանցելու լրացուցիչ տեղեկատվություն՝ գաղտնաբառեր, միանգամյա գաղտնաբառեր կամ կենսաչափական տվյալներ օգտագործողի սարքից վավերացման սերվեր: Բացի այդ, նույնականացման արձանագրությունների ստանդարտացումը շատ ավելի հեշտ է դարձնում նույնականացման նոր մեթոդների ներդրումը, երբ դրանք հասանելի են դառնում՝ նվազեցնելով իրականացման ծախսերը և պաշտպանելով ավելի բարդ խարդախության սխեմաներից:
Պատրաստվեք մեկանգամյա գաղտնաբառերի (OTP) ոչնչացմանը: OTP-ներին բնորոշ խոցելիությունները գնալով ավելի ակնհայտ են դառնում, քանի որ կիբերհանցագործներն օգտագործում են սոցիալական ճարտարագիտությունը, սմարթֆոնների կլոնավորումը և չարամիտ ծրագրերը՝ նույնականացման այդ միջոցները խախտելու համար: Եվ եթե OTP-ները որոշ դեպքերում ունեն որոշակի առավելություններ, ապա միայն բոլոր օգտագործողների համար ունիվերսալ հասանելիության տեսանկյունից, բայց ոչ անվտանգության տեսանկյունից:
Անհնար է չնկատել, որ SMS կամ Push ծանուցումների միջոցով կոդեր ստանալը, ինչպես նաև սմարթֆոնների համար ծրագրերի միջոցով կոդերի ստեղծումը նույն միանգամյա գաղտնաբառերի (OTP) օգտագործումն է, որի համար մեզ խնդրում են պատրաստվել անկմանը: Տեխնիկական տեսանկյունից լուծումը շատ ճիշտ է, քանի որ դա հազվագյուտ խարդախ է, ով չի փորձում պարզել մեկանգամյա գաղտնաբառը դյուրահավատ օգտատերից։ Բայց ես կարծում եմ, որ նման համակարգեր արտադրողները մինչև վերջ կառչեն մեռնող տեխնոլոգիայից:
Օգտագործեք ուժեղ վավերացում՝ որպես մարքեթինգային գործիք՝ հաճախորդների վստահությունը բարձրացնելու համար: Հզոր նույնականացումը կարող է ավելին անել, քան պարզապես բարելավել ձեր բիզնեսի իրական անվտանգությունը: Հաճախորդներին տեղեկացնելը, որ ձեր բիզնեսն օգտագործում է ուժեղ նույնականացում, կարող է ամրապնդել այդ բիզնեսի անվտանգության հանրային ընկալումը, ինչը կարևոր գործոն է, երբ հաճախորդը զգալի պահանջում է նույնականացման ուժեղ մեթոդներ:
Իրականացնել կորպորատիվ տվյալների մանրակրկիտ գույքագրում և կարևորության գնահատում և պաշտպանել դրանք ըստ կարևորության: Նույնիսկ ցածր ռիսկային տվյալներ, ինչպիսիք են հաճախորդների կոնտակտային տվյալները (ոչ, իսկապես, զեկույցում ասվում է «ցածր ռիսկ», շատ տարօրինակ է, որ նրանք թերագնահատում են այս տեղեկատվության կարևորությունը), կարող է զգալի արժեք բերել խարդախներին և խնդիրներ առաջացնել ընկերության համար:
Օգտագործեք ուժեղ ձեռնարկության նույնականացում: Մի շարք համակարգեր հանցագործների համար ամենագրավիչ թիրախներն են։ Դրանք ներառում են ներքին և ինտերնետին միացված համակարգեր, ինչպիսիք են հաշվապահական ծրագիրը կամ կորպորատիվ տվյալների պահեստը: Հզոր նույնականացումը կանխում է հարձակվողներին չարտոնված մուտքի հնարավորությունը, ինչպես նաև հնարավորություն է տալիս ճշգրիտ որոշել, թե որ աշխատակիցն է կատարել վնասակար գործողությունը:
Ի՞նչ է ուժեղ նույնականացումը:
Հզոր նույնականացում օգտագործելիս օգտագործողի իսկությունը ստուգելու համար օգտագործվում են մի քանի մեթոդներ կամ գործոններ.
- Գիտելիքի գործոն. օգտագործողի և օգտատիրոջ վավերացված առարկայի միջև ընդհանուր գաղտնիք (օրինակ՝ գաղտնաբառեր, անվտանգության հարցերի պատասխաններ և այլն)
- Սեփականության գործոն. սարք, որն ունի միայն օգտատերը (օրինակ՝ շարժական սարք, ծածկագրային բանալի և այլն)
- Ամբողջականության գործոն. օգտագործողի ֆիզիկական (հաճախ կենսաչափական) բնութագրերը (օրինակ՝ մատնահետք, ծիածանաթաղանթ, ձայն, վարքագիծ և այլն)
Բազմաթիվ գործոններ կոտրելու անհրաժեշտությունը մեծապես մեծացնում է հարձակվողների ձախողման հավանականությունը, քանի որ տարբեր գործոնների շրջանցումը կամ խաբելը պահանջում է հաքերային բազմաթիվ մարտավարությունների օգտագործում՝ յուրաքանչյուր գործոնի համար առանձին:
Օրինակ՝ 2FA «գաղտնաբառ + սմարթֆոնի» միջոցով հարձակվողը կարող է նույնականացում կատարել՝ նայելով օգտատիրոջ գաղտնաբառը և կատարելով նրա սմարթֆոնի ճշգրիտ ծրագրային պատճենը: Եվ սա շատ ավելի դժվար է, քան պարզապես գաղտնաբառ գողանալը:
Բայց եթե 2FA-ի համար օգտագործվում է գաղտնաբառ և գաղտնագրային նշան, ապա այստեղ պատճենման տարբերակը չի գործում՝ անհնար է կրկնօրինակել նշանը: Խարդախը պետք է գաղտագողի գողանա նշանն օգտատիրոջից: Եթե օգտատերը ժամանակին նկատի կորուստը և տեղեկացնի ադմինիստրատորին, ապա նշանը կարգելափակվի, և խարդախի ջանքերն ապարդյուն կլինեն: Սա է պատճառը, որ սեփականության գործոնը պահանջում է ոչ թե ընդհանուր նշանակության սարքերի (սմարթֆոնների) օգտագործումը մասնագիտացված անվտանգ սարքերի (tokens):
Օգտագործելով բոլոր երեք գործոնները, այս նույնականացման մեթոդը բավականին թանկ կդարձնի իրագործումը և բավականին անհարմար: Հետեւաբար, սովորաբար օգտագործվում են երեք գործոններից երկուսը:
Ավելի մանրամասն նկարագրված են երկգործոն վավերացման սկզբունքները , «Ինչպես է աշխատում երկու գործոնով իսկությունը» բլոկում:
Կարևոր է նշել, որ նույնականացման գործոններից առնվազն մեկը, որն օգտագործվում է ուժեղ իսկորոշման մեջ, պետք է օգտագործի հանրային բանալին գաղտնագրություն:
Ուժեղ նույնականացումն ապահովում է շատ ավելի ուժեղ պաշտպանություն, քան դասական գաղտնաբառերի և ավանդական MFA-ի վրա հիմնված մեկ գործոնով նույնականացումը: Գաղտնաբառերը կարող են լրտեսվել կամ գաղտնալսվել՝ օգտագործելով keyloggers, ֆիշինգ կայքեր կամ սոցիալական ինժեներական հարձակումներ (որտեղ զոհը խաբվում է բացահայտելու իր գաղտնաբառը): Ավելին, գաղտնաբառի տերը ոչինչ չի իմանա գողության մասին։ Ավանդական ԱԳՆ-ն (ներառյալ OTP կոդերը, սմարթֆոնին կամ SIM քարտին կապելը) նույնպես կարող է հեշտությամբ կոտրվել, քանի որ այն հիմնված չէ հանրային բանալիների ծածկագրման վրա (Ի դեպ, կան բազմաթիվ օրինակներ, երբ օգտագործելով սոցիալական ինժեներական նույն տեխնիկան, խաբեբաները համոզել են օգտվողներին մեկանգամյա գաղտնաբառ տալ:).
Բարեբախտաբար, ուժեղ վավերացման և ավանդական MFA-ի օգտագործումը անցյալ տարվանից լայն տարածում է գտել ինչպես սպառողների, այնպես էլ ձեռնարկությունների ծրագրերում: Հատկապես արագորեն աճել է սպառողական հավելվածներում ուժեղ վավերացման օգտագործումը: Եթե 2017-ին այն օգտագործել է ընկերությունների միայն 5%-ը, ապա 2018-ին այն արդեն երեք անգամ ավելի է եղել՝ 16%: Սա կարելի է բացատրել նշանների ավելացված հասանելիությամբ, որոնք աջակցում են Հանրային բանալիների ծածկագրման (PKC) ալգորիթմներին: Բացի այդ, եվրոպական կարգավորիչների կողմից ավելացված ճնշումը տվյալների պաշտպանության նոր կանոնների ընդունումից հետո, ինչպիսիք են PSD2-ը և GDPR-ը, ուժեղ ազդեցություն ունեցավ նույնիսկ Եվրոպայի սահմաններից դուրս (այդ թվում՝ Ռուսաստանում).
Եկեք մանրամասն նայենք այս թվերին: Ինչպես տեսնում ենք, բազմագործոն նույնականացում օգտագործող մասնավոր անձանց տոկոսը տարվա ընթացքում աճել է տպավորիչ 11%-ով: Եվ դա ակնհայտորեն տեղի ունեցավ գաղտնաբառերի սիրահարների հաշվին, քանի որ Push ծանուցումների, SMS-ների և կենսաչափական տվյալների անվտանգությանը հավատացողների թիվը չի փոխվել։
Բայց կորպորատիվ օգտագործման համար երկու գործոնով նույնականացման դեպքում ամեն ինչ այնքան էլ լավ չէ: Նախ, ըստ զեկույցի, աշխատողների միայն 5%-ն է փոխանցվել գաղտնաբառի նույնականացումից դեպի թոքեններ: Եվ երկրորդ՝ կորպորատիվ միջավայրում ԱԳՆ այլընտրանքային տարբերակներից օգտվողների թիվն աճել է 4%-ով։
Ես կփորձեմ խաղալ վերլուծաբան և տալ իմ մեկնաբանությունը. Առանձին օգտատերերի թվային աշխարհի կենտրոնում սմարթֆոնն է։ Հետևաբար, զարմանալի չէ, որ մեծամասնությունն օգտագործում է այն հնարավորությունները, որոնք իրենց տրամադրում է սարքը՝ կենսաչափական նույնականացում, SMS և Push ծանուցումներ, ինչպես նաև սմարթֆոնի հավելվածների կողմից ստեղծված միանգամյա գաղտնաբառեր: Մարդիկ սովորաբար չեն մտածում անվտանգության և հուսալիության մասին, երբ օգտագործում են այն գործիքները, որոնց սովոր են:
Ահա թե ինչու պարզունակ «ավանդական» նույնականացման գործոններից օգտվողների տոկոսը մնում է անփոփոխ: Բայց նրանք, ովքեր նախկինում օգտագործել են գաղտնաբառեր, հասկանում են, թե որքան են վտանգում, և երբ ընտրում են նույնականացման նոր գործոն, նրանք ընտրում են ամենանոր և անվտանգ տարբերակը՝ ծածկագրային նշանը:
Ինչ վերաբերում է կորպորատիվ շուկային, ապա կարևոր է հասկանալ, թե որ համակարգի նույնականացումն է իրականացվում: Եթե Windows տիրույթում մուտք գործելն իրականացվում է, ապա օգտագործվում են կրիպտոգրաֆիկ նշաններ: 2FA-ի համար դրանք օգտագործելու հնարավորություններն արդեն ներկառուցված են ինչպես Windows-ում, այնպես էլ Linux-ում, սակայն այլընտրանքային տարբերակները երկար են և դժվար իրագործելի: Այսքանը գաղտնաբառերից 5% գաղտնաբառերից դեպի նշաններ:
Իսկ 2FA-ի ներդրումը կորպորատիվ տեղեկատվական համակարգում շատ է կախված մշակողների որակավորումներից։ Եվ ծրագրավորողների համար շատ ավելի հեշտ է վերցնել պատրաստի մոդուլներ՝ մեկանգամյա գաղտնաբառեր ստեղծելու համար, քան հասկանալ կրիպտոգրաֆիկ ալգորիթմների աշխատանքը։ Եվ արդյունքում, նույնիսկ անվտանգության համար աներևակայելի կարևոր հավելվածները, ինչպիսիք են Single Sign-On կամ Privileged Access Management համակարգերը, օգտագործում են OTP որպես երկրորդ գործոն:
Ավանդական վավերացման մեթոդների բազմաթիվ խոցելիություններ
Թեև շատ կազմակերպություններ մնում են կախված ժառանգական մեկ գործոն համակարգերից, ավանդական բազմագործոն նույնականացման խոցելիությունը գնալով ավելի ակնհայտ է դառնում: Միանգամյա գաղտնաբառերը, սովորաբար վեցից ութ նիշ երկարությամբ, SMS-ի միջոցով առաքված, մնում են նույնականացման ամենատարածված ձևը (բացի գաղտնաբառի գործոնից, իհարկե): Իսկ երբ հանրաճանաչ մամուլում նշվում են «երկու գործոնով վավերացում» կամ «երկքայլ ստուգում» բառերը, դրանք գրեթե միշտ վերաբերում են SMS գաղտնաբառի միանգամյա վավերացմանը։
Այստեղ հեղինակը մի փոքր սխալվում է. SMS-ի միջոցով մեկանգամյա գաղտնաբառերի տրամադրումը երբեք երկգործոն նույնականացում չի եղել: Սա իր մաքուր ձևով երկքայլ նույնականացման երկրորդ փուլն է, որտեղ առաջին փուլը մուտքագրում է ձեր մուտքն ու գաղտնաբառը:
2016 թվականին Ստանդարտների և տեխնոլոգիաների ազգային ինստիտուտը (NIST) թարմացրել է նույնականացման կանոնները՝ SMS-ի միջոցով ուղարկվող միանգամյա գաղտնաբառերի օգտագործումը վերացնելու համար: Այնուամենայնիվ, այս կանոնները զգալիորեն մեղմվեցին ոլորտի բողոքներից հետո:
Այսպիսով, եկեք հետևենք սյուժեին: Ամերիկյան կարգավորող մարմինը իրավացիորեն ընդունում է, որ հնացած տեխնոլոգիան ի վիճակի չէ ապահովելու օգտատերերի անվտանգությունը և նոր ստանդարտներ է ներմուծում։ Ստանդարտներ, որոնք նախատեսված են առցանց և բջջային հավելվածների (ներառյալ բանկային) օգտագործողներին պաշտպանելու համար: Արդյունաբերությունը հաշվարկում է, թե որքան գումար պետք է ծախսի իսկապես հուսալի գաղտնագրային նշաններ գնելու, հավելվածների վերանախագծման, հանրային բանալին ենթակառուցվածքի տեղակայման վրա և «բարձրանում է հետևի ոտքերի վրա»: Մի կողմից օգտատերերը համոզված էին մեկանգամյա գաղտնաբառերի հուսալիության մեջ, իսկ մյուս կողմից հարձակումներ եղան NIST-ի վրա։ Արդյունքում ստանդարտը մեղմվեց, և կտրուկ ավելացավ գաղտնաբառերի (և բանկային հավելվածներից ստացված գումարների) հակերների ու գողությունների թիվը։ Բայց արդյունաբերությունը ստիպված չէր գումար ծախսել:
Այդ ժամանակից ի վեր SMS OTP-ի բնորոշ թույլ կողմերն ավելի ակնհայտ են դարձել: Խարդախները SMS հաղորդագրությունները խախտելու համար օգտագործում են տարբեր մեթոդներ.
- SIM քարտի կրկնօրինակում. Հարձակվողները ստեղծում են SIM քարտի պատճենը (բջջային օպերատորի աշխատակիցների օգնությամբ կամ ինքնուրույն՝ օգտագործելով հատուկ ծրագրային ապահովում և սարքավորում) Արդյունքում հարձակվողը SMS է ստանում մեկանգամյա գաղտնաբառով։ Հատկապես հայտնի դեպքից մեկում հաքերները նույնիսկ կարողացան խախտել կրիպտոարժույթի ներդրող Մայքլ Թուրփինի AT&T հաշիվը և գողանալ կրիպտոարժույթների մոտ 24 միլիոն դոլար: Արդյունքում Թուրփինը հայտարարեց, որ AT&T-ն մեղավոր էր թույլ ստուգման միջոցառումների պատճառով, որոնք հանգեցրին SIM քարտի կրկնօրինակմանը:
Զարմանալի տրամաբանություն. Այսպիսով, դա իսկապես միայն AT&T-ի մեղքն է: Ոչ, անկասկած բջջային օպերատորի մեղքն է, որ կապի խանութի վաճառողները կրկնօրինակ SIM քարտ են թողարկել։ Ի՞նչ կասեք կրիպտոարժույթի փոխանակման վավերացման համակարգի մասին: Ինչու՞ նրանք չօգտագործեցին ուժեղ ծածկագրային նշաններ: Արդյո՞ք ափսոս էր գումար ծախսել իրականացման վրա։ Ինքը Մայքլը չէ՞ մեղավոր։ Ինչո՞ւ նա չպնդեց փոխել նույնականացման մեխանիզմը կամ օգտագործել միայն այն փոխանակումները, որոնք իրականացնում են երկգործոն նույնականացում՝ հիմնված կրիպտոգրաֆիկ նշանների վրա:
Իսկապես վստահելի նույնականացման մեթոդների ներդրումը հետաձգվում է հենց այն պատճառով, որ օգտատերերը ցույց են տալիս զարմանալի անփութություն նախքան կոտրելը, իսկ հետո նրանք իրենց անհանգստության մեջ մեղադրում են որևէ մեկին և ամեն ինչին, բացի հնագույն և «արտահոս» նույնականացման տեխնոլոգիաներից:
- Չարամիտ ծրագիր. Բջջային չարամիտ ծրագրերի ամենավաղ գործառույթներից մեկը տեքստային հաղորդագրությունների գաղտնալսումն ու հարձակվողներին փոխանցելն էր: Բացի այդ, «մարդը զննարկիչում» և «մարդը միջինում» հարձակումները կարող են գաղտնալսել մեկանգամյա գաղտնաբառերը, երբ դրանք մուտքագրվում են վարակված նոութբուքերի կամ աշխատասեղանի սարքերի վրա:
Երբ Sberbank հավելվածը ձեր սմարթֆոնի վրա թարթում է կանաչ պատկերակը կարգավիճակի տողում, այն նաև փնտրում է «չարամիտ» ձեր հեռախոսում: Այս միջոցառման նպատակն է տիպիկ սմարթֆոնի անվստահելի կատարողական միջավայրը գոնե ինչ-որ կերպ վերածել վստահելիի:
Ի դեպ, սմարթֆոնը, որպես լիովին անվստահելի սարք, որի վրա կարելի է անել ամեն ինչ, այն նույնականացման համար օգտագործելու ևս մեկ պատճառ է։ միայն ապարատային նշաններ, որոնք պաշտպանված են և զերծ վիրուսներից և տրոյաններից: - Սոցիալական ճարտարագիտություն. Երբ խաբեբաներն իմանում են, որ զոհին միացված է OTP-ները SMS-ի միջոցով, նրանք կարող են ուղղակիորեն կապվել զոհի հետ՝ ներկայանալով որպես վստահելի կազմակերպություն, ինչպիսին է իրենց բանկը կամ վարկային միությունը, որպեսզի խաբեն զոհին տրամադրելու այն կոդը, որը հենց նոր ստացել է:
Ես անձամբ բազմիցս հանդիպել եմ այս տեսակի խարդախության, օրինակ, երբ փորձում եմ ինչ-որ բան վաճառել հանրաճանաչ առցանց լու շուկայում: Ես ինքս ծաղրում էի խարդախին, ով փորձում էր ինձ գոհունակությամբ խաբել: Բայց ավաղ, ես պարբերաբար կարդում էի նորություններում, թե ինչպես է խաբեբաների մեկ այլ զոհ «չի մտածել», տվել է հաստատման կոդը և մեծ գումար է կորցրել: Եվ այս ամենը պայմանավորված է նրանով, որ բանկը պարզապես չի ցանկանում զբաղվել իր հավելվածներում կրիպտոգրաֆիկ թոքենների ներդրմամբ։ Ի վերջո, եթե ինչ-որ բան պատահի, հաճախորդները «մեղադրում են իրենց»:
Թեև OTP-ի առաքման այլընտրանքային մեթոդները կարող են մեղմել նույնականացման այս մեթոդի որոշ խոցելիություններ, մյուս խոցելիությունները դեռևս մնում են: Կոդերի ստեղծման ինքնուրույն հավելվածները լավագույն պաշտպանությունն են գաղտնալսումից, քանի որ նույնիսկ չարամիտ ծրագրերը դժվար թե կարողանան ուղղակիորեն փոխազդել կոդերի գեներատորի հետ (լրջորեն? Զեկույցի հեղինակը մոռացե՞լ է հեռակառավարման վահանակի մասին։), բայց OTP-ները դեռևս կարող են գաղտնալսվել, երբ մուտքագրվում են զննարկիչ (օրինակ՝ օգտագործելով keylogger), կոտրված բջջային հավելվածի միջոցով; և կարելի է նաև ուղղակիորեն ձեռք բերել օգտվողից՝ օգտագործելով սոցիալական ճարտարագիտությունը:
Ռիսկերի գնահատման բազմաթիվ գործիքների օգտագործումը, ինչպիսիք են սարքերի ճանաչումը (օրինական օգտագործողին չպատկանող սարքերից գործարքներ կատարելու փորձերի հայտնաբերում), աշխարհագրական դիրք (օգտատերը, ով նոր է եղել Մոսկվայում, փորձում է վիրահատություն կատարել Նովոսիբիրսկից) և վարքագծային վերլուծությունները կարևոր են խոցելիությունները լուծելու համար, բայց լուծումներից ոչ մեկը համադարման չէ: Յուրաքանչյուր իրավիճակի և տվյալների տեսակի համար անհրաժեշտ է ուշադիր գնահատել ռիսկերը և ընտրել, թե որ վավերացման տեխնոլոգիան պետք է օգտագործվի:
Նույնականացման ոչ մի լուծում համադարման չէ
Նկար 2. Նույնականացման ընտրանքների աղյուսակ
| Նույնականացմանը | Գործոն | Նկարագրություն | Հիմնական խոցելիությունները |
| Գաղտնաբառ կամ PIN | Գիտելիք | Հաստատուն արժեք, որը կարող է ներառել տառեր, թվեր և մի շարք այլ նիշեր | Կարելի է որսալ, լրտեսել, գողանալ, վերցնել կամ կոտրել |
| Գիտելիքի վրա հիմնված նույնականացում | Գիտելիք | Հարցադրում է այն պատասխանները, որոնց պատասխանները կարող են իմանալ միայն օրինական օգտատերը | Կարելի է գաղտնալսել, վերցնել, ձեռք բերել սոցիալական ճարտարագիտության մեթոդներով |
| Սարքավորումների OTP () | Տիրապետում | Հատուկ սարք, որը ստեղծում է մեկանգամյա գաղտնաբառեր | Կոդը կարող է գաղտնալսվել և կրկնվել, կամ սարքը կարող է գողացվել |
| Ծրագրային OTP-ներ | Տիրապետում | Հավելված (բջջային, հասանելի բրաուզերի միջոցով կամ էլ. փոստով կոդերի ուղարկում), որը ստեղծում է մեկանգամյա գաղտնաբառեր | Կոդը կարող է գաղտնալսվել և կրկնվել, կամ սարքը կարող է գողացվել |
| SMS OTP | Տիրապետում | Միանվագ գաղտնաբառ, որը տրամադրվում է SMS տեքստային հաղորդագրության միջոցով | Կոդը կարող է գաղտնալսվել և կրկնվել, կամ սմարթֆոնը կամ SIM քարտը կարող են գողացվել, կամ SIM քարտը կարող է կրկնօրինակվել |
| Խելացի քարտեր () | Տիրապետում | Քարտ, որը պարունակում է կրիպտոգրաֆիկ չիպ և անվտանգ բանալի հիշողություն, որն օգտագործում է հանրային բանալիների ենթակառուցվածք՝ իսկորոշման համար | Կարող է ֆիզիկապես գողացվել (բայց հարձակվողը չի կարողանա օգտագործել սարքը՝ առանց PIN կոդը իմանալու. մի քանի սխալ մուտքագրման փորձերի դեպքում սարքը կարգելափակվի) |
| Անվտանգության բանալիներ - նշաններ (, ) | Տիրապետում | USB սարք, որը պարունակում է կրիպտոգրաֆիկ չիպ և ապահով բանալի հիշողություն, որն օգտագործում է հանրային բանալիների ենթակառուցվածք՝ իսկորոշման համար | Հնարավոր է ֆիզիկապես գողանալ (սակայն հարձակվողը չի կարողանա օգտագործել սարքը՝ առանց PIN կոդը իմանալու, մուտքի մի քանի սխալ փորձերի դեպքում սարքը կարգելափակվի) |
| Միացում սարքին | Տիրապետում | Գործընթացը, որը ստեղծում է պրոֆիլ՝ հաճախ օգտագործելով JavaScript, կամ օգտագործելով նշիչներ, ինչպիսիք են թխուկները և Flash-ի համօգտագործվող օբյեկտները՝ համոզվելու համար, որ կոնկրետ սարքն օգտագործվում է: | Նշանները կարող են գողացվել (պատճենվել), և օրինական սարքի բնութագրերը կարող են ընդօրինակվել հարձակվողի կողմից իր սարքի վրա |
| Վարքագիծ | Ներածականություն | Վերլուծում է, թե ինչպես է օգտատերը փոխազդում սարքի կամ ծրագրի հետ | Վարքագիծը կարելի է ընդօրինակել |
| Մատնահետքեր | Ներածականություն | Պահված մատնահետքերը համեմատվում են օպտիկական կամ էլեկտրոնային եղանակով ստացված մատնահետքերի հետ | Պատկերը կարող է գողացվել և օգտագործվել նույնականացման համար |
| Աչքի սկանավորում | Ներածականություն | Համեմատում է աչքի առանձնահատկությունները, ինչպիսիք են ծիածանաթաղանթի նախշը, նոր օպտիկական սկանավորման հետ | Պատկերը կարող է գողացվել և օգտագործվել նույնականացման համար |
| Դեմքի ճանաչում | Ներածականություն | Դեմքի բնութագրերը համեմատվում են նոր օպտիկական սկանավորման հետ | Պատկերը կարող է գողացվել և օգտագործվել նույնականացման համար |
| Ձայնի ճանաչում | Ներածականություն | Ձայնագրված ձայնային նմուշի բնութագրերը համեմատվում են նոր նմուշների հետ | Գրառումը կարող է գողացվել և օգտագործվել նույնականացման համար կամ նմանակվել |
Հրապարակման երկրորդ մասում մեզ սպասում են ամենահամեղ բաները՝ թվեր և փաստեր, որոնց վրա հիմնված են առաջին մասում տրված եզրակացություններն ու առաջարկությունները։ Նույնականացումը օգտատերերի հավելվածներում և կորպորատիվ համակարգերում կքննարկվի առանձին:
Տեսեք շուտով:
Source: www.habr.com