Spoiler dari judul laporan: “Penggunaan otentikasi yang kuat meningkat karena ancaman risiko baru dan persyaratan peraturan.”
Perusahaan riset "Javelin Strategy & Research" menerbitkan laporan "The State of Strong Authentication 2019" (). Laporan ini menyatakan: berapa persentase perusahaan Amerika dan Eropa yang menggunakan kata sandi (dan mengapa hanya sedikit orang yang menggunakan kata sandi sekarang); mengapa penggunaan otentikasi dua faktor berdasarkan token kriptografi berkembang begitu cepat; Mengapa kode satu kali yang dikirim melalui SMS tidak aman.
Siapa pun yang tertarik dengan autentikasi masa kini, masa lalu, dan masa depan di perusahaan dan aplikasi konsumen dipersilakan.
Dari penerjemah
Sayangnya, bahasa penulisan laporan ini cukup “kering” dan formal. Dan lima kali penggunaan kata “otentikasi” dalam satu kalimat pendek bukanlah tangan (atau otak) bengkok penerjemahnya, melainkan kemauan penulisnya. Saat menerjemahkan dari dua pilihan - untuk memberikan pembaca teks yang lebih dekat dengan aslinya, atau lebih menarik, terkadang saya memilih yang pertama, dan terkadang yang kedua. Tapi bersabarlah para pembaca yang budiman, isi laporannya sepadan.
Beberapa bagian yang tidak penting dan tidak perlu untuk cerita tersebut telah dihapus, jika tidak, mayoritas tidak akan dapat membaca keseluruhan teks. Mereka yang ingin membaca laporan “belum dipotong” dapat melakukannya dalam bahasa aslinya dengan mengikuti tautan.
Sayangnya, penulis tidak selalu berhati-hati dengan terminologi. Jadi, kata sandi satu kali (One Time Password - OTP) terkadang disebut “kata sandi”, dan terkadang “kode”. Lebih buruk lagi dengan metode otentikasi. Tidak selalu mudah bagi pembaca yang tidak terlatih untuk menebak bahwa “otentikasi menggunakan kunci kriptografi” dan “otentikasi kuat” adalah hal yang sama. Saya mencoba menyatukan istilah-istilah tersebut sebanyak mungkin, dan dalam laporan itu sendiri ada bagian dengan deskripsinya.
Meski demikian, laporan tersebut sangat direkomendasikan untuk dibaca karena memuat hasil penelitian yang unik dan kesimpulan yang benar.
Semua angka dan fakta disajikan tanpa perubahan sedikit pun, dan jika Anda tidak setuju dengannya, lebih baik berdebat bukan dengan penerjemahnya, tetapi dengan penulis laporannya. Dan inilah komentar saya (ditata dalam bentuk kutipan, dan ditandai dalam teks Italia) adalah penilaian nilai saya dan saya akan dengan senang hati berdebat mengenai masing-masing penilaian tersebut (serta kualitas terjemahannya).
Tinjau
Saat ini, saluran komunikasi digital dengan pelanggan menjadi lebih penting bagi bisnis. Dan di dalam perusahaan, komunikasi antar karyawan kini lebih berorientasi digital dibandingkan sebelumnya. Dan seberapa aman interaksi ini bergantung pada metode autentikasi pengguna yang dipilih. Penyerang menggunakan otentikasi yang lemah untuk meretas akun pengguna secara besar-besaran. Sebagai tanggapannya, regulator memperketat standar untuk memaksa dunia usaha agar lebih melindungi akun dan data pengguna.
Ancaman terkait autentikasi tidak hanya mencakup aplikasi konsumen; penyerang juga dapat memperoleh akses ke aplikasi yang berjalan di dalam perusahaan. Operasi ini memungkinkan mereka untuk menyamar sebagai pengguna korporat. Penyerang yang menggunakan titik akses dengan otentikasi lemah dapat mencuri data dan melakukan aktivitas penipuan lainnya. Untungnya, ada langkah-langkah untuk mengatasi hal ini. Otentikasi yang kuat akan membantu mengurangi risiko serangan penyerang secara signifikan, baik pada aplikasi konsumen maupun sistem bisnis perusahaan.
Studi ini mengkaji: bagaimana perusahaan menerapkan otentikasi untuk melindungi aplikasi pengguna akhir dan sistem bisnis perusahaan; faktor-faktor yang mereka pertimbangkan ketika memilih solusi otentikasi; peran otentikasi yang kuat dalam organisasi mereka; manfaat yang diterima organisasi-organisasi ini.
Ringkasan
Temuan Kunci
Sejak tahun 2017, penggunaan autentikasi yang kuat telah meningkat tajam. Dengan meningkatnya jumlah kerentanan yang memengaruhi solusi autentikasi tradisional, organisasi memperkuat kemampuan autentikasi mereka dengan autentikasi yang kuat. Jumlah organisasi yang menggunakan autentikasi multi-faktor kriptografi (MFA) meningkat tiga kali lipat sejak tahun 2017 untuk aplikasi konsumen dan meningkat hampir 50% untuk aplikasi perusahaan. Pertumbuhan tercepat terlihat pada otentikasi seluler karena meningkatnya ketersediaan otentikasi biometrik.
Di sini kita melihat ilustrasi pepatah “sampai guntur menyambar, seseorang tidak akan membuat salib”. Ketika para ahli memperingatkan tentang ketidakamanan kata sandi, tidak ada yang terburu-buru menerapkan otentikasi dua faktor. Segera setelah peretas mulai mencuri kata sandi, orang-orang mulai menerapkan otentikasi dua faktor.
Benar, individu jauh lebih aktif menerapkan 2FA. Pertama, lebih mudah bagi mereka untuk menenangkan ketakutan mereka dengan mengandalkan otentikasi biometrik yang terpasang pada ponsel cerdas, yang pada kenyataannya sangat tidak bisa diandalkan. Organisasi perlu mengeluarkan uang untuk membeli token dan melakukan pekerjaan (sebenarnya, sangat sederhana) untuk mengimplementasikannya. Dan kedua, hanya orang-orang malas yang belum menulis tentang kebocoran kata sandi dari layanan seperti Facebook dan Dropbox, namun CIO dari organisasi-organisasi ini tidak akan berbagi cerita tentang bagaimana kata sandi dicuri (dan apa yang terjadi selanjutnya) di organisasi.
Mereka yang tidak menggunakan autentikasi yang kuat meremehkan risiko terhadap bisnis dan pelanggannya. Beberapa organisasi yang saat ini tidak menggunakan otentikasi yang kuat cenderung memandang login dan kata sandi sebagai salah satu metode otentikasi pengguna yang paling efektif dan mudah digunakan. Yang lain tidak melihat nilai aset digital yang mereka miliki. Bagaimanapun, perlu diingat bahwa penjahat dunia maya tertarik pada informasi konsumen dan bisnis apa pun. Dua pertiga perusahaan yang hanya menggunakan kata sandi untuk mengautentikasi karyawannya melakukannya karena mereka yakin kata sandi tersebut cukup baik untuk jenis informasi yang mereka lindungi.
Namun, kata sandi sedang menuju ke kubur. Ketergantungan kata sandi telah menurun secara signifikan selama setahun terakhir untuk aplikasi konsumen dan perusahaan (masing-masing dari 44% menjadi 31%, dan dari 56% menjadi 47%) karena organisasi meningkatkan penggunaan MFA tradisional dan autentikasi yang kuat.
Namun jika kita melihat situasi secara keseluruhan, metode otentikasi yang rentan masih banyak digunakan. Untuk otentikasi pengguna, sekitar seperempat organisasi menggunakan SMS OTP (kata sandi satu kali) bersama dengan pertanyaan keamanan. Akibatnya, langkah-langkah keamanan tambahan harus diterapkan untuk melindungi dari kerentanan, yang meningkatkan biaya. Penggunaan metode autentikasi yang jauh lebih aman, seperti kunci kriptografi perangkat keras, lebih jarang digunakan, di sekitar 5% organisasi.
Lingkungan peraturan yang berkembang menjanjikan percepatan penerapan otentikasi yang kuat untuk aplikasi konsumen. Dengan diperkenalkannya PSD2, serta peraturan perlindungan data baru di UE dan beberapa negara bagian AS seperti California, perusahaan merasakan tantangannya. Hampir 70% perusahaan setuju bahwa mereka menghadapi tekanan peraturan yang kuat untuk memberikan otentikasi yang kuat kepada pelanggan mereka. Lebih dari separuh perusahaan percaya bahwa dalam beberapa tahun metode otentikasi mereka tidak akan cukup untuk memenuhi standar peraturan.
Perbedaan pendekatan legislator Rusia dan Amerika-Eropa terhadap perlindungan data pribadi pengguna program dan layanan terlihat jelas. Orang Rusia berkata: pemilik layanan yang terhormat, lakukan apa yang Anda inginkan dan sesuai keinginan Anda, tetapi jika admin Anda menggabungkan database, kami akan menghukum Anda. Mereka mengatakan di luar negeri: Anda harus menerapkan serangkaian tindakan itu tidak akan mengizinkan tiriskan alasnya. Itulah sebabnya persyaratan untuk otentikasi dua faktor yang ketat diterapkan di sana.
Benar, jauh dari fakta bahwa mesin legislatif kita suatu hari nanti tidak akan sadar dan mempertimbangkan pengalaman Barat. Kemudian ternyata setiap orang perlu menerapkan 2FA, yang sesuai dengan standar kriptografi Rusia, dan segera.
Membangun kerangka autentikasi yang kuat memungkinkan perusahaan mengalihkan fokus mereka dari memenuhi persyaratan peraturan menjadi memenuhi kebutuhan pelanggan. Bagi organisasi yang masih menggunakan kata sandi sederhana atau menerima kode melalui SMS, faktor terpenting saat memilih metode autentikasi adalah kepatuhan terhadap persyaratan peraturan. Namun perusahaan yang sudah menggunakan autentikasi yang kuat dapat fokus memilih metode autentikasi yang meningkatkan loyalitas pelanggan.
Saat memilih metode autentikasi korporat dalam suatu perusahaan, persyaratan peraturan tidak lagi menjadi faktor penting. Dalam hal ini, kemudahan integrasi (32%) dan biaya (26%) jauh lebih penting.
Di era phishing, penyerang dapat menggunakan email perusahaan untuk melakukan penipuan untuk secara curang mendapatkan akses ke data, akun (dengan hak akses yang sesuai), dan bahkan untuk meyakinkan karyawan agar melakukan transfer uang ke rekeningnya. Oleh karena itu, email perusahaan dan akun portal harus dilindungi dengan baik.
Google telah memperkuat keamanannya dengan menerapkan otentikasi yang kuat. Lebih dari dua tahun lalu, Google menerbitkan laporan tentang penerapan autentikasi dua faktor berdasarkan kunci keamanan kriptografi menggunakan standar FIDO U2F, dan melaporkan hasil yang mengesankan. Menurut perusahaan, tidak ada satu pun serangan phishing yang dilakukan terhadap lebih dari 85 karyawan.
Rekomendasi
Terapkan autentikasi yang kuat untuk aplikasi seluler dan online. Otentikasi multi-faktor berdasarkan kunci kriptografi memberikan perlindungan yang jauh lebih baik terhadap peretasan dibandingkan metode MFA tradisional. Selain itu, penggunaan kunci kriptografi jauh lebih nyaman karena tidak perlu menggunakan dan mentransfer informasi tambahan - kata sandi, kata sandi satu kali, atau data biometrik dari perangkat pengguna ke server otentikasi. Selain itu, standarisasi protokol autentikasi mempermudah penerapan metode autentikasi baru saat metode tersebut tersedia, sehingga mengurangi biaya penerapan dan melindungi terhadap skema penipuan yang lebih canggih.
Bersiaplah untuk matinya kata sandi satu kali (OTP). Kerentanan yang melekat pada OTP menjadi semakin jelas ketika penjahat dunia maya menggunakan rekayasa sosial, kloning ponsel cerdas, dan malware untuk menyusupi cara autentikasi ini. Dan jika OTP dalam beberapa kasus memiliki keunggulan tertentu, maka hanya dari sudut pandang ketersediaan universal untuk semua pengguna, tetapi tidak dari sudut pandang keamanan.
Mustahil untuk tidak memperhatikan bahwa menerima kode melalui SMS atau pemberitahuan push, serta menghasilkan kode menggunakan program untuk ponsel cerdas, adalah penggunaan kata sandi satu kali (OTP) yang sama yang diminta untuk kita persiapkan untuk penolakan tersebut. Dari segi teknis, solusinya sangat tepat, karena jarang ada penipu yang tidak mencoba mencari tahu kata sandi satu kali dari pengguna yang mudah tertipu. Namun menurut saya, produsen sistem seperti itu akan terus mempertahankan teknologi yang hampir punah ini sampai akhir.
Gunakan otentikasi yang kuat sebagai alat pemasaran untuk meningkatkan kepercayaan pelanggan. Otentikasi yang kuat dapat melakukan lebih dari sekedar meningkatkan keamanan bisnis Anda. Memberi tahu pelanggan bahwa bisnis Anda menggunakan autentikasi yang kuat dapat memperkuat persepsi publik terhadap keamanan bisnis tersebut—sebuah faktor penting ketika ada permintaan pelanggan yang signifikan terhadap metode autentikasi yang kuat.
Melakukan penilaian inventarisasi dan kekritisan data perusahaan secara menyeluruh dan melindunginya sesuai kepentingannya. Bahkan data berisiko rendah seperti informasi kontak pelanggan (tidak, sungguh, laporan tersebut mengatakan “berisiko rendah”, sangat aneh jika mereka meremehkan pentingnya informasi ini), dapat membawa nilai signifikan bagi penipu dan menimbulkan masalah bagi perusahaan.
Gunakan autentikasi perusahaan yang kuat. Sejumlah sistem merupakan target paling menarik bagi para penjahat. Ini termasuk sistem internal dan yang terhubung ke Internet seperti program akuntansi atau gudang data perusahaan. Otentikasi yang kuat mencegah penyerang mendapatkan akses tidak sah, dan juga memungkinkan untuk menentukan secara akurat karyawan mana yang melakukan aktivitas jahat.
Apa itu Otentikasi Kuat?
Saat menggunakan otentikasi yang kuat, beberapa metode atau faktor digunakan untuk memverifikasi keaslian pengguna:
- Faktor pengetahuan: rahasia bersama antara pengguna dan subjek diautentikasi pengguna (seperti kata sandi, jawaban atas pertanyaan keamanan, dll.)
- Faktor kepemilikan: perangkat yang hanya dimiliki oleh pengguna (misalnya, perangkat seluler, kunci kriptografi, dll.)
- Faktor integritas: karakteristik fisik (seringkali biometrik) pengguna (misalnya, sidik jari, pola iris mata, suara, perilaku, dll.)
Kebutuhan untuk meretas banyak faktor sangat meningkatkan kemungkinan kegagalan bagi penyerang, karena melewati atau menipu berbagai faktor memerlukan penggunaan beberapa jenis taktik peretasan, untuk setiap faktor secara terpisah.
Misalnya, dengan “password + smartphone” 2FA, penyerang dapat melakukan otentikasi dengan melihat kata sandi pengguna dan membuat salinan perangkat lunak yang sama dari ponsel cerdasnya. Dan ini jauh lebih sulit daripada sekadar mencuri kata sandi.
Tetapi jika kata sandi dan token kriptografi digunakan untuk 2FA, maka opsi penyalinan tidak berfungsi di sini - tidak mungkin untuk menduplikasi token tersebut. Penipu harus mencuri token dari pengguna secara diam-diam. Jika pengguna menyadari kehilangan waktu dan memberi tahu admin, token akan diblokir dan upaya penipu akan sia-sia. Inilah sebabnya mengapa faktor kepemilikan memerlukan penggunaan perangkat aman khusus (token) daripada perangkat tujuan umum (smartphone).
Menggunakan ketiga faktor tersebut akan membuat metode otentikasi ini cukup mahal untuk diterapkan dan cukup merepotkan untuk digunakan. Oleh karena itu, dua dari tiga faktor biasanya digunakan.
Prinsip-prinsip otentikasi dua faktor dijelaskan secara lebih rinci , di blok “Cara kerja autentikasi dua faktor”.
Penting untuk dicatat bahwa setidaknya salah satu faktor otentikasi yang digunakan dalam otentikasi kuat harus menggunakan kriptografi kunci publik.
Otentikasi yang kuat memberikan perlindungan yang jauh lebih kuat daripada otentikasi satu faktor berdasarkan kata sandi klasik dan MFA tradisional. Kata sandi dapat dimata-matai atau disadap menggunakan keylogger, situs phishing, atau serangan rekayasa sosial (di mana korban ditipu untuk mengungkapkan kata sandinya). Apalagi pemilik password tidak akan mengetahui apapun tentang pencurian tersebut. MFA tradisional (termasuk kode OTP, yang mengikat ponsel cerdas atau kartu SIM) juga dapat diretas dengan mudah, karena tidak didasarkan pada kriptografi kunci publik (Omong-omong, ada banyak contoh ketika, dengan menggunakan teknik rekayasa sosial yang sama, penipu membujuk pengguna untuk memberi mereka kata sandi satu kali.).
Untungnya, penggunaan autentikasi yang kuat dan MFA tradisional telah mendapatkan daya tarik baik dalam aplikasi konsumen maupun perusahaan sejak tahun lalu. Penggunaan otentikasi yang kuat dalam aplikasi konsumen telah berkembang pesat. Jika pada tahun 2017 hanya 5% perusahaan yang menggunakannya, maka pada tahun 2018 sudah tiga kali lipat – 16%. Hal ini dapat dijelaskan dengan meningkatnya ketersediaan token yang mendukung algoritma Kriptografi Kunci Publik (PKC). Selain itu, meningkatnya tekanan dari regulator Eropa setelah penerapan aturan perlindungan data baru seperti PSD2 dan GDPR memberikan dampak yang kuat bahkan di luar Eropa (termasuk di Rusia).
Mari kita lihat lebih dekat angka-angka ini. Seperti yang bisa kita lihat, persentase individu yang menggunakan autentikasi multi-faktor telah tumbuh sebesar 11% sepanjang tahun. Dan ini jelas terjadi dengan mengorbankan para pecinta kata sandi, karena jumlah mereka yang percaya pada keamanan pemberitahuan Push, SMS, dan biometrik tidak berubah.
Namun dengan autentikasi dua faktor untuk penggunaan korporat, keadaan menjadi tidak begitu baik. Pertama, menurut laporan tersebut, hanya 5% karyawan yang dialihkan dari otentikasi kata sandi ke token. Dan kedua, jumlah mereka yang menggunakan opsi MFA alternatif di lingkungan perusahaan telah meningkat sebesar 4%.
Saya akan mencoba berperan sebagai analis dan memberikan interpretasi saya. Pusat dunia digital bagi pengguna individu adalah ponsel pintar. Oleh karena itu, tidak mengherankan jika mayoritas menggunakan kemampuan yang disediakan perangkat - otentikasi biometrik, pemberitahuan SMS dan Push, serta kata sandi satu kali yang dihasilkan oleh aplikasi pada ponsel cerdas itu sendiri. Orang biasanya tidak memikirkan keselamatan dan keandalan saat menggunakan alat yang biasa mereka gunakan.
Inilah sebabnya mengapa persentase pengguna faktor otentikasi “tradisional” primitif tetap tidak berubah. Namun mereka yang sebelumnya pernah menggunakan kata sandi memahami seberapa besar risikonya, dan ketika memilih faktor otentikasi baru, mereka memilih opsi terbaru dan teraman - token kriptografi.
Sedangkan untuk pasar korporat, penting untuk memahami sistem otentikasi mana yang dilakukan. Jika login ke domain Windows diterapkan, maka token kriptografi digunakan. Kemungkinan untuk menggunakannya untuk 2FA sudah ada di Windows dan Linux, tetapi pilihan alternatifnya panjang dan sulit untuk diterapkan. Sekian untuk migrasi 5% dari password ke token.
Dan penerapan 2FA dalam sistem informasi perusahaan sangat bergantung pada kualifikasi pengembangnya. Dan jauh lebih mudah bagi pengembang untuk mengambil modul siap pakai untuk menghasilkan kata sandi satu kali daripada memahami pengoperasian algoritma kriptografi. Hasilnya, bahkan aplikasi yang sangat kritis terhadap keamanan seperti sistem Single Sign-On atau Manajemen Akses Istimewa menggunakan OTP sebagai faktor kedua.
Banyak kerentanan dalam metode otentikasi tradisional
Meskipun banyak organisasi masih bergantung pada sistem faktor tunggal lama, kerentanan dalam autentikasi multifaktor tradisional menjadi semakin jelas. Kata sandi satu kali, biasanya panjangnya enam hingga delapan karakter, dikirimkan melalui SMS, tetap menjadi bentuk autentikasi yang paling umum (selain faktor kata sandi, tentu saja). Dan ketika kata-kata “otentikasi dua faktor” atau “verifikasi dua langkah” disebutkan di media populer, kata-kata tersebut hampir selalu merujuk pada otentikasi kata sandi satu kali melalui SMS.
Di sini penulis sedikit salah. Mengirimkan kata sandi satu kali melalui SMS tidak pernah merupakan autentikasi dua faktor. Ini adalah tahap kedua dari otentikasi dua langkah, di mana tahap pertama adalah memasukkan login dan kata sandi Anda.
Pada tahun 2016, Institut Standar dan Teknologi Nasional (NIST) memperbarui aturan autentikasinya untuk menghilangkan penggunaan kata sandi satu kali yang dikirim melalui SMS. Namun, peraturan ini dilonggarkan secara signifikan setelah adanya protes dari industri.
Jadi, mari kita ikuti alur ceritanya. Regulator Amerika dengan tepat mengakui bahwa teknologi yang sudah ketinggalan zaman tidak mampu menjamin keselamatan pengguna dan memperkenalkan standar baru. Standar yang dirancang untuk melindungi pengguna aplikasi online dan seluler (termasuk aplikasi perbankan). Industri ini menghitung berapa banyak uang yang harus dibelanjakan untuk membeli token kriptografi yang benar-benar andal, mendesain ulang aplikasi, menerapkan infrastruktur kunci publik, dan “bangkit.” Di satu sisi, pengguna yakin akan keandalan kata sandi satu kali, dan di sisi lain, ada serangan terhadap NIST. Akibatnya, standar tersebut diperlunak, dan jumlah peretasan serta pencurian kata sandi (dan uang dari aplikasi perbankan) meningkat tajam. Namun industri ini tidak perlu mengeluarkan uang.
Sejak itu, kelemahan yang melekat pada SMS OTP menjadi lebih jelas. Penipu menggunakan berbagai metode untuk menyusupi pesan SMS:
- Duplikasi kartu SIM. Penyerang membuat salinan SIM (dengan bantuan karyawan operator seluler, atau secara mandiri, menggunakan perangkat lunak dan perangkat keras khusus). Akibatnya, penyerang menerima SMS dengan kata sandi satu kali. Dalam satu kasus yang sangat terkenal, peretas bahkan mampu menyusupi akun AT&T milik investor mata uang kripto Michael Turpin, dan mencuri hampir $24 juta mata uang kripto. Akibatnya, Turpin menyatakan AT&T bersalah karena lemahnya langkah verifikasi yang menyebabkan duplikasi kartu SIM.
Logika yang luar biasa. Jadi ini benar-benar hanya kesalahan AT&T? Tidak, tidak diragukan lagi kesalahan operator seluler adalah penjual di toko komunikasi mengeluarkan duplikat kartu SIM. Bagaimana dengan sistem otentikasi pertukaran mata uang kripto? Mengapa mereka tidak menggunakan token kriptografi yang kuat? Apakah sayang sekali mengeluarkan uang untuk implementasinya? Bukankah Michael sendirilah yang patut disalahkan? Mengapa dia tidak bersikeras mengubah mekanisme otentikasi atau hanya menggunakan pertukaran yang menerapkan otentikasi dua faktor berdasarkan token kriptografi?
Pengenalan metode autentikasi yang benar-benar andal tertunda justru karena pengguna menunjukkan kecerobohan yang luar biasa sebelum melakukan peretasan, dan setelah itu mereka menyalahkan masalah mereka pada siapa pun dan apa pun selain teknologi autentikasi yang kuno dan “bocor”.
- perangkat lunak perusak. Salah satu fungsi awal malware seluler adalah mencegat dan meneruskan pesan teks ke penyerang. Selain itu, serangan man-in-the-browser dan man-in-the-middle dapat mencegat kata sandi satu kali ketika dimasukkan pada laptop atau perangkat desktop yang terinfeksi.
Saat aplikasi Sberbank di ponsel cerdas Anda mengedipkan ikon hijau di bilah status, aplikasi tersebut juga mencari “malware” di ponsel Anda. Tujuan dari acara ini adalah untuk mengubah lingkungan eksekusi yang tidak tepercaya pada ponsel cerdas pada umumnya menjadi, setidaknya dalam beberapa hal, lingkungan yang tepercaya.
Omong-omong, ponsel cerdas, sebagai perangkat yang sepenuhnya tidak tepercaya yang dapat digunakan untuk melakukan apa pun, adalah alasan lain untuk menggunakannya untuk autentikasi. token perangkat keras saja, yang terlindungi dan bebas dari virus dan Trojan. - Rekayasa sosial. Ketika penipu mengetahui bahwa korban memiliki OTP yang diaktifkan melalui SMS, mereka dapat menghubungi korban secara langsung, dengan menyamar sebagai organisasi tepercaya seperti bank atau credit union, untuk mengelabui korban agar memberikan kode yang baru saja mereka terima.
Saya pribadi sudah sering menjumpai penipuan jenis ini, misalnya saat mencoba menjual sesuatu di pasar loak online yang populer. Saya sendiri mengolok-olok penipu yang mencoba membodohi saya sepuasnya. Namun sayang sekali, saya sering membaca di berita bagaimana korban penipu lainnya “tidak berpikir”, memberikan kode konfirmasi dan kehilangan sejumlah besar uang. Dan semua ini karena bank tidak mau berurusan dengan penerapan token kriptografi dalam aplikasinya. Lagi pula, jika terjadi sesuatu, klien “yang harus disalahkan”.
Meskipun metode pengiriman OTP alternatif dapat mengurangi beberapa kerentanan dalam metode otentikasi ini, kerentanan lainnya tetap ada. Aplikasi pembuat kode mandiri adalah perlindungan terbaik terhadap penyadapan, karena bahkan malware pun sulit berinteraksi langsung dengan pembuat kode (dengan serius? Apakah penulis laporan lupa tentang kendali jarak jauh?), namun OTP masih bisa disadap saat masuk ke browser (misalnya menggunakan keylogger), melalui aplikasi seluler yang diretas; dan juga bisa didapatkan langsung dari pengguna dengan menggunakan social engineering.
Menggunakan berbagai alat penilaian risiko seperti pengenalan perangkat (deteksi upaya untuk melakukan transaksi dari perangkat yang bukan milik pengguna sah), geolokasi (seorang pengguna yang baru saja berada di Moskow mencoba melakukan operasi dari Novosibirsk) dan analisis perilaku penting untuk mengatasi kerentanan, namun tidak ada solusi yang merupakan obat mujarab. Untuk setiap situasi dan jenis data, penting untuk menilai risiko secara cermat dan memilih teknologi otentikasi mana yang harus digunakan.
Tidak ada solusi otentikasi yang merupakan obat mujarab
Gambar 2. Tabel opsi autentikasi
| Otentikasi | Faktor | Описание | Kerentanan utama |
| Kata sandi atau PIN | Pengetahuan itu | Nilai tetap, yang dapat berupa huruf, angka, dan sejumlah karakter lainnya | Dapat dicegat, dimata-matai, dicuri, diambil, atau diretas |
| Otentikasi berbasis pengetahuan | Pengetahuan itu | Mempertanyakan jawaban yang hanya diketahui oleh pengguna sah | Dapat dicegat, diambil, diperoleh dengan menggunakan metode rekayasa sosial |
| OTP perangkat keras () | Milik | Perangkat khusus yang menghasilkan kata sandi satu kali | Kode tersebut mungkin disadap dan diulangi, atau perangkat dapat dicuri |
| OTP perangkat lunak | Milik | Aplikasi (ponsel, dapat diakses melalui browser, atau mengirimkan kode melalui email) yang menghasilkan kata sandi satu kali | Kode tersebut mungkin disadap dan diulangi, atau perangkat dapat dicuri |
| OTP SMS | Milik | Kata sandi satu kali dikirimkan melalui pesan teks SMS | Kode tersebut mungkin disadap dan diulangi, atau ponsel pintar atau kartu SIM mungkin dicuri, atau kartu SIM mungkin diduplikasi |
| Kartu pintar () | Milik | Kartu yang berisi chip kriptografi dan memori kunci aman yang menggunakan infrastruktur kunci publik untuk otentikasi | Mungkin dicuri secara fisik (tetapi penyerang tidak akan dapat menggunakan perangkat tanpa mengetahui kode PIN; jika terjadi beberapa kali upaya input yang salah, perangkat akan diblokir) |
| Kunci keamanan - token (, ) | Milik | Perangkat USB yang berisi chip kriptografi dan memori kunci aman yang menggunakan infrastruktur kunci publik untuk autentikasi | Dapat dicuri secara fisik (tetapi penyerang tidak akan dapat menggunakan perangkat tanpa mengetahui kode PIN; jika ada beberapa upaya entri yang salah, perangkat akan diblokir) |
| Menghubungkan ke perangkat | Milik | Proses yang membuat profil, sering kali menggunakan JavaScript, atau menggunakan penanda seperti cookie dan Flash Shared Objects untuk memastikan bahwa perangkat tertentu sedang digunakan | Token dapat dicuri (disalin), dan karakteristik perangkat legal dapat ditiru oleh penyerang pada perangkatnya |
| Perilaku | Hal menjadi bagian tetap | Menganalisis bagaimana pengguna berinteraksi dengan perangkat atau program | Perilaku bisa ditiru |
| sidik jari | Hal menjadi bagian tetap | Sidik jari yang disimpan dibandingkan dengan sidik jari yang ditangkap secara optik atau elektronik | Gambar tersebut dapat dicuri dan digunakan untuk otentikasi |
| Pemindaian mata | Hal menjadi bagian tetap | Membandingkan karakteristik mata, seperti pola iris, dengan pemindaian optik baru | Gambar tersebut dapat dicuri dan digunakan untuk otentikasi |
| Pengenalan wajah | Hal menjadi bagian tetap | Karakteristik wajah dibandingkan dengan pemindaian optik baru | Gambar tersebut dapat dicuri dan digunakan untuk otentikasi |
| Pengenalan suara | Hal menjadi bagian tetap | Karakteristik sampel suara yang direkam dibandingkan dengan sampel baru | Catatan tersebut dapat dicuri dan digunakan untuk otentikasi, atau ditiru |
Di bagian kedua publikasi, hal-hal terlezat menanti kita - angka dan fakta, yang menjadi dasar kesimpulan dan rekomendasi yang diberikan di bagian pertama. Otentikasi dalam aplikasi pengguna dan sistem perusahaan akan dibahas secara terpisah.
Sampai ketemu lagi!
Sumber: www.habr.com