Spoiler úr titli skýrslunnar: „Notkun sterkrar auðkenningar eykst vegna hættu á nýjum áhættum og reglugerðarkröfum.
Rannsóknarfyrirtækið „Spjódkaststefna og rannsóknir“ birti skýrsluna „The State of Strong Authentication 2019“ (). Þessi skýrsla segir: hversu hátt hlutfall bandarískra og evrópskra fyrirtækja nota lykilorð (og hvers vegna fáir nota lykilorð núna); hvers vegna notkun tveggja þátta auðkenningar sem byggir á dulkóðunartáknum vex svo hratt; Hvers vegna einskiptiskóðar sem eru sendir með SMS eru ekki öruggir.
Allir sem hafa áhuga á nútíð, fortíð og framtíð auðkenningar í fyrirtækjum og neytendaforritum eru velkomnir.
Frá þýðandanum
Því miður, tungumálið sem þessi skýrsla er skrifuð á er frekar „þurrt“ og formlegt. Og fimmfalt notkun orðsins „staðfesting“ í einni stuttri setningu er ekki skakkar hendur (eða heila) þýðandans, heldur duttlunga höfundanna. Þegar ég þýddi úr tveimur valkostum - til að gefa lesendum texta sem er nær upprunalegu, eða áhugaverðari, valdi ég stundum þann fyrsta og stundum þann seinni. En hafið þolinmæði, kæru lesendur, innihald skýrslunnar er þess virði.
Nokkrir ómerkilegir og óþarfir hlutir í söguna voru fjarlægðir, annars hefði meirihlutinn ekki komist í gegnum allan textann. Þeir sem vilja lesa skýrsluna „óklippta“ geta gert það á frummálinu með því að fylgja hlekknum.
Því miður fara höfundar ekki alltaf varlega með hugtök. Þannig eru einu sinni lykilorð (One Time Password - OTP) stundum kölluð „lykilorð“ og stundum „kóðar“. Það er enn verra með auðkenningaraðferðir. Það er ekki alltaf auðvelt fyrir óþjálfaðan lesanda að giska á að „vottun með dulritunarlykla“ og „sterk auðkenning“ séu sami hluturinn. Ég reyndi að sameina hugtökin eins og hægt var og í skýrslunni sjálfri er brot með lýsingu þeirra.
Engu að síður er mjög mælt með því að lesa skýrsluna því hún inniheldur einstakar rannsóknarniðurstöður og réttar ályktanir.
Allar tölur og staðreyndir eru settar fram án minnstu breytinga, og ef þú ert ekki sammála þeim, þá er betra að rífast ekki við þýðandann, heldur við skýrsluhöfunda. Og hér eru athugasemdir mínar (sem settar eru fram sem tilvitnanir og merktar í textann ítalska) eru mitt gildismat og ég mun með ánægju rökræða um hverja þeirra (sem og um gæði þýðingarinnar).
Skoða
Nú á dögum eru stafrænar samskiptaleiðir við viðskiptavini mikilvægari en nokkru sinni fyrr fyrir fyrirtæki. Og innan fyrirtækisins eru samskipti starfsmanna stafrænari en nokkru sinni fyrr. Og hversu örugg þessi samskipti verða fer eftir valinni aðferð við auðkenningu notenda. Árásarmenn nota veika auðkenningu til að hakka notendareikninga gríðarlega. Til að bregðast við, eru eftirlitsstofnanir að herða staðla til að þvinga fyrirtæki til að vernda notendareikninga og gögn betur.
Auðkenningartengdar ógnir ná lengra en neytendaforrit; árásarmenn geta einnig fengið aðgang að forritum sem keyra innan fyrirtækisins. Þessi aðgerð gerir þeim kleift að líkja eftir fyrirtækjanotendum. Árásarmenn sem nota aðgangsstaði með veika auðkenningu geta stolið gögnum og framkvæmt aðrar sviksamlegar athafnir. Sem betur fer eru til ráðstafanir til að berjast gegn þessu. Öflug auðkenning mun hjálpa til við að draga verulega úr hættu á árásum árásaraðila, bæði á neytendaforrit og á fyrirtækjakerfum.
Þessi rannsókn skoðar: hvernig fyrirtæki innleiða auðkenningu til að vernda notendaforrit og fyrirtækjaviðskiptakerfi; þættir sem þeir hafa í huga þegar þeir velja auðkenningarlausn; hlutverki sem sterk auðkenning gegnir í samtökum þeirra; ávinninginn sem þessi samtök fá.
Yfirlit
Lykilatriði
Síðan 2017 hefur notkun sterkrar auðkenningar aukist mikið. Með auknum fjölda veikleika sem hafa áhrif á hefðbundnar auðkenningarlausnir eru stofnanir að styrkja auðkenningargetu sína með sterkri auðkenningu. Fjöldi stofnana sem nota dulmálsfræðilega fjölþátta auðkenningu (MFA) hefur þrefaldast síðan 2017 fyrir neytendaforrit og aukist um næstum 50% fyrir fyrirtækjaforrit. Mestur vöxtur sést í farsímavottun vegna aukins framboðs á líffræðilegri tölfræði auðkenningu.
Hér sjáum við dæmisögu um orðatiltækið „þar til þruman skellur á mun maðurinn ekki krossa sig“. Þegar sérfræðingar vöruðu við óöryggi lykilorða var enginn að flýta sér að innleiða tvíþætta auðkenningu. Um leið og tölvuþrjótar byrjuðu að stela lykilorðum fóru menn að innleiða tvíþætta auðkenningu.
Að vísu eru einstaklingar miklu virkari að innleiða 2FA. Í fyrsta lagi er auðveldara fyrir þá að róa ótta sinn með því að treysta á líffræðileg tölfræði auðkenningu sem er innbyggð í snjallsíma, sem er í raun mjög óáreiðanlegt. Stofnanir þurfa að eyða peningum í að kaupa tákn og vinna (reyndar mjög einfalt) verk við að innleiða þau. Og í öðru lagi, aðeins latir hafa ekki skrifað um lykilorðsleka frá þjónustu eins og Facebook og Dropbox, en undir engum kringumstæðum munu CIOs þessara stofnana deila sögum um hvernig lykilorðum var stolið (og hvað gerðist næst) í stofnunum.
Þeir sem ekki nota sterka auðkenningu eru að vanmeta áhættu sína fyrir fyrirtæki sín og viðskiptavini. Sumar stofnanir sem ekki nota sterka auðkenningu eins og er hafa tilhneigingu til að líta á innskráningar og lykilorð sem eina af áhrifaríkustu og auðveldustu aðferðunum við notendavottun. Aðrir sjá ekki verðmæti stafrænu eignanna sem þeir eiga. Þegar öllu er á botninn hvolft er það þess virði að hafa í huga að netglæpamenn hafa áhuga á hvers kyns upplýsingum um neytendur og fyrirtæki. Tveir þriðju hlutar fyrirtækja sem nota eingöngu lykilorð til að sannvotta starfsmenn sína gera það vegna þess að þeir telja að lykilorðin séu nógu góð fyrir þá tegund upplýsinga sem þau vernda.
Hins vegar eru lykilorð á leiðinni til grafar. Lykilorðafíkn hefur minnkað verulega á síðasta ári fyrir bæði neytenda- og fyrirtækjaforrit (úr 44% í 31%, og úr 56% í 47%, í sömu röð) þar sem stofnanir auka notkun sína á hefðbundnum MFA og sterkri auðkenningu.
En ef við lítum á ástandið í heild, þá eru viðkvæmar auðkenningaraðferðir enn ríkjandi. Fyrir auðkenningu notenda notar um fjórðungur fyrirtækja SMS OTP (eitt skipti lykilorð) ásamt öryggisspurningum. Þess vegna þarf að grípa til viðbótar öryggisráðstafana til að verjast veikleikanum sem eykur kostnað. Notkun mun öruggari auðkenningaraðferða, eins og dulritunarlykla fyrir vélbúnað, er mun sjaldnar notuð, í um það bil 5% fyrirtækja.
Regluumhverfið sem er í þróun lofar að flýta fyrir innleiðingu sterkrar auðkenningar fyrir neytendaforrit. Með tilkomu PSD2, sem og nýjum reglum um gagnavernd í ESB og nokkrum ríkjum Bandaríkjanna eins og Kaliforníu, finna fyrirtæki fyrir hitanum. Næstum 70% fyrirtækja eru sammála því að þau standi frammi fyrir miklum þrýstingi frá eftirliti til að veita viðskiptavinum sínum sterka auðkenningu. Meira en helmingur fyrirtækja telur að innan fárra ára muni auðkenningaraðferðir þeirra ekki nægja til að uppfylla eftirlitsstaðla.
Munurinn á nálgun rússneskra og amerísk-evrópskra löggjafa við verndun persónuupplýsinga notenda forrita og þjónustu er greinilega sýnilegur. Rússar segja: kæru þjónustueigendur, gerðu það sem þú vilt og hvernig þú vilt, en ef stjórnandi þinn sameinar gagnagrunninn munum við refsa þér. Þeir segja erlendis: þú verður að framkvæma sett af ráðstöfunum sem mun ekki leyfa tæmdu grunninn. Þess vegna er verið að innleiða kröfur um stranga tvíþætta auðkenningu þar.
Það er að vísu fjarri því að löggjafarvélin okkar komi ekki til skila og taki mið af vestrænni reynslu. Þá kemur í ljós að allir þurfa að innleiða 2FA, sem er í samræmi við rússneska dulritunarstaðla, og það bráðlega.
Að koma á sterkum auðkenningaramma gerir fyrirtækjum kleift að færa áherslur sínar frá því að uppfylla reglubundnar kröfur yfir í að mæta þörfum viðskiptavina. Fyrir þær stofnanir sem eru enn að nota einföld lykilorð eða fá kóða með SMS, mun mikilvægasti þátturinn þegar þeir velja auðkenningaraðferð vera að farið sé að reglum. En þau fyrirtæki sem þegar nota sterka auðkenningu geta einbeitt sér að því að velja þær auðkenningaraðferðir sem auka tryggð viðskiptavina.
Þegar þú velur fyrirtækis auðkenningaraðferð innan fyrirtækis eru reglubundnar kröfur ekki lengur mikilvægur þáttur. Í þessu tilviki eru auðveld samþætting (32%) og kostnaður (26%) miklu mikilvægari.
Á tímum vefveiða geta árásarmenn notað tölvupóst fyrirtækja til að svindla að fá aðgang að gögnum, reikningum (með viðeigandi aðgangsrétti) með sviksamlegum hætti, og jafnvel til að sannfæra starfsmenn um að millifæra peninga á reikning sinn. Þess vegna verða tölvupósts- og gáttareikningar fyrirtækja að vera sérstaklega vel varðir.
Google hefur styrkt öryggi sitt með því að innleiða sterka auðkenningu. Fyrir meira en tveimur árum birti Google skýrslu um innleiðingu tveggja þátta auðkenningar sem byggir á dulmálsöryggislyklum með FIDO U2F staðlinum og skilaði glæsilegum árangri. Að sögn fyrirtækisins var ekki ein einasta vefveiðarárás gerð á meira en 85 starfsmenn.
Tillögur
Innleiða sterka auðkenningu fyrir farsíma- og netforrit. Fjölþátta auðkenning byggt á dulmálslyklum veitir mun betri vörn gegn reiðhestur en hefðbundnar MFA aðferðir. Að auki er notkun dulmálslykla miklu þægilegri vegna þess að engin þörf er á að nota og flytja viðbótarupplýsingar - lykilorð, einskiptislykilorð eða líffræðileg tölfræðigögn frá tæki notandans yfir á auðkenningarþjóninn. Að auki gerir stöðlun auðkenningarferla mun auðveldara að innleiða nýjar auðkenningaraðferðir þegar þær verða tiltækar, dregur úr innleiðingarkostnaði og verndar gegn flóknari svikakerfi.
Búðu þig undir brotthvarf einskiptis lykilorða (OTP). Veikleikarnir sem felast í OTP verða sífellt áberandi þar sem netglæpamenn nota félagsverkfræði, klónun snjallsíma og spilliforrit til að skerða þessar auðkenningaraðferðir. Og ef OTPs í sumum tilfellum hafa ákveðna kosti, þá aðeins frá sjónarhóli alhliða aðgengis fyrir alla notendur, en ekki frá sjónarhóli öryggis.
Það er ómögulegt annað en að taka eftir því að móttaka kóða með SMS eða Push tilkynningum, ásamt því að búa til kóða með forritum fyrir snjallsíma, er notkun þessara sömu einskiptis lykilorða (OTP) sem við erum beðin um að búa okkur undir hnignunina. Tæknilega séð er lausnin mjög rétt, því það er sjaldgæfur svikahrappur sem reynir ekki að komast að einu sinni lykilorðinu hjá trúlausum notanda. En ég held að framleiðendur slíkra kerfa muni halda sig við deyjandi tækni til hins síðasta.
Notaðu sterka auðkenningu sem markaðstæki til að auka traust viðskiptavina. Sterk auðkenning getur gert meira en bara að bæta raunverulegt öryggi fyrirtækis þíns. Að upplýsa viðskiptavini um að fyrirtækið þitt noti sterka auðkenningu getur styrkt almenna skynjun á öryggi þess fyrirtækis - mikilvægur þáttur þegar veruleg eftirspurn viðskiptavina er eftir sterkum auðkenningaraðferðum.
Framkvæma ítarlega skráningu og gagnrýnismat á fyrirtækjagögnum og vernda þau í samræmi við mikilvægi. Jafnvel áhættulítil gögn eins og tengiliðaupplýsingar viðskiptavina (nei, í rauninni segir skýrslan „lítil áhættu“, það er mjög skrítið að þeir vanmeta mikilvægi þessara upplýsinga), getur fært svikara umtalsvert gildi og valdið fyrirtækinu vandamálum.
Notaðu sterka fyrirtækjaauðkenningu. Fjöldi kerfa eru mest aðlaðandi skotmörk fyrir glæpamenn. Þar á meðal eru innri og nettengd kerfi eins og bókhaldsforrit eða gagnavöruhús fyrirtækja. Sterk auðkenning kemur í veg fyrir að árásarmenn fái óviðkomandi aðgang og gerir það einnig mögulegt að ákvarða nákvæmlega hvaða starfsmaður framdi skaðsemina.
Hvað er sterk auðkenning?
Þegar sterk auðkenning er notuð eru nokkrar aðferðir eða þættir notaðar til að sannreyna áreiðanleika notandans:
- Þekkingarþáttur: deilt leyndarmáli á milli notandans og auðkenndu efnis notandans (svo sem lykilorð, svör við öryggisspurningum osfrv.)
- Eignarhaldsþáttur: tæki sem aðeins notandinn hefur (til dæmis fartæki, dulmálslykill osfrv.)
- Heiðarleiki þáttur: líkamleg (oft líffræðileg tölfræði) einkenni notandans (til dæmis fingrafar, lithimnumynstur, rödd, hegðun osfrv.)
Þörfin á að hakka marga þætti eykur verulega líkurnar á bilun fyrir árásarmenn, þar sem framhjá eða blekkja ýmsa þætti þarf að nota margar tegundir af tölvuþrjóti, fyrir hvern þátt fyrir sig.
Til dæmis, með 2FA „lykilorð + snjallsíma“, getur árásarmaður framkvæmt auðkenningu með því að skoða lykilorð notandans og gera nákvæma hugbúnaðafrit af snjallsímanum sínum. Og þetta er miklu erfiðara en einfaldlega að stela lykilorði.
En ef lykilorð og dulmálslykil eru notuð fyrir 2FA, þá virkar afritunarvalkosturinn ekki hér - það er ómögulegt að afrita táknið. Svindlarinn þarf að stela tákninu frá notandanum á laumu. Ef notandinn tekur eftir tapinu í tæka tíð og lætur stjórnanda vita, verður tákninu lokað og tilraunir svikarans verða til einskis. Þess vegna krefst eignarhaldsþátturinn notkun sérhæfðra öruggra tækja (tákn) frekar en almennra tækja (snjallsíma).
Notkun allra þriggja þáttanna mun gera þessa auðkenningaraðferð frekar dýr í framkvæmd og frekar óþægileg í notkun. Þess vegna eru tveir af hverjum þremur þáttum venjulega notaðir.
Meginreglum tveggja þátta auðkenningar er lýst nánar , í reitnum „Hvernig tveggja þátta auðkenning virkar“.
Það er mikilvægt að hafa í huga að að minnsta kosti einn af auðkenningarþáttunum sem notaðir eru í sterkri auðkenningu verður að nota dulritun opinberra lykla.
Sterk auðkenning veitir mun sterkari vernd en einþátta auðkenning byggð á klassískum lykilorðum og hefðbundnum MFA. Hægt er að njósna um lykilorð eða stöðva þær með því að nota lyklaskrár, vefveiðar eða árásir á samfélagstækni (þar sem fórnarlambið er blekkt til að gefa upp lykilorðið sitt). Þar að auki mun eigandi lykilorðsins ekki vita neitt um þjófnaðinn. Hefðbundin MFA (þar á meðal OTP kóða, binding við snjallsíma eða SIM-kort) er einnig hægt að hakka frekar auðveldlega, þar sem það er ekki byggt á dulritun opinberra lykla (Við the vegur, það eru mörg dæmi þess að svindlarar, með sömu félagslegu verkfræðiaðferðum, sannfærðu notendur um að gefa þeim eitt skipti lykilorð).
Sem betur fer hefur notkun sterkrar auðkenningar og hefðbundinnar MFA verið að ná tökum á bæði neytenda- og fyrirtækjaforritum síðan á síðasta ári. Notkun sterkrar auðkenningar í neytendaforritum hefur vaxið sérstaklega hratt. Ef árið 2017 notuðu aðeins 5% fyrirtækja það, þá var það árið 2018 þegar þrefalt meira - 16%. Þetta má útskýra með auknu framboði tákna sem styðja algrím til dulritunar með opinberum lyklum (PKC). Auk þess hefur aukinn þrýstingur frá evrópskum eftirlitsaðilum í kjölfar upptöku nýrra gagnaverndarreglna eins og PSD2 og GDPR haft mikil áhrif jafnvel utan Evrópu (þar á meðal í Rússlandi).
Við skulum skoða þessar tölur nánar. Eins og við sjáum hefur hlutfall einkaaðila sem nota fjölþátta auðkenningu vaxið um glæsilega 11% á árinu. Og þetta gerðist greinilega á kostnað lykilorðaunnenda, þar sem fjöldi þeirra sem trúa á öryggi Push tilkynninga, SMS og líffræðileg tölfræði hefur ekki breyst.
En með tveggja þátta auðkenningu fyrir fyrirtækjanotkun eru hlutirnir ekki svo góðir. Í fyrsta lagi, samkvæmt skýrslunni, voru aðeins 5% starfsmanna fluttir frá auðkenningu lykilorðs yfir í tákn. Og í öðru lagi hefur fjöldi þeirra sem nota aðra MFA valkosti í fyrirtækjaumhverfi aukist um 4%.
Ég mun reyna að leika sérfræðingur og gefa mína túlkun. Í miðju stafræns heimi einstakra notenda er snjallsíminn. Þess vegna er það engin furða að meirihlutinn noti möguleikana sem tækið veitir þeim - líffræðileg tölfræði auðkenning, SMS og Push tilkynningar, sem og einskiptis lykilorð sem eru búin til af forritum á snjallsímanum sjálfum. Fólk hugsar venjulega ekki um öryggi og áreiðanleika þegar það notar verkfærin sem þeir eru vanir.
Þetta er ástæðan fyrir því að hlutfall notenda frumstæðra „hefðbundinna“ auðkenningarþátta helst óbreytt. En þeir sem áður hafa notað lykilorð skilja hversu mikla áhættu þeir eru og þegar þeir velja nýjan auðkenningarþátt velja þeir nýjasta og öruggasta valkostinn - dulmálslykil.
Hvað varðar fyrirtækjamarkaðinn er mikilvægt að skilja í hvaða kerfisvottun fer fram. Ef innskráning á Windows lén er útfærð, þá eru dulkóðunartákn notuð. Möguleikarnir á að nota þá fyrir 2FA eru þegar innbyggðir í bæði Windows og Linux, en aðrir valkostir eru langir og erfiðir í framkvæmd. Svo mikið um flutning 5% frá lykilorðum yfir í tákn.
Og innleiðing 2FA í upplýsingakerfi fyrirtækja fer mjög eftir hæfni þróunaraðila. Og það er miklu auðveldara fyrir forritara að taka tilbúnar einingar til að búa til einskiptis lykilorð en að skilja virkni dulmálsreiknirita. Og þar af leiðandi nota jafnvel ótrúlega öryggis mikilvæg forrit eins og Single Sign-On eða Privileged Access Management kerfi OTP sem annan þátt.
Margir veikleikar í hefðbundnum auðkenningaraðferðum
Þó að margar stofnanir séu áfram að treysta á eldri einþátta kerfi, eru veikleikar í hefðbundinni fjölþátta auðkenningu að verða sífellt áberandi. Einskiptislykilorð, venjulega sex til átta stafir að lengd, afhent með SMS, eru áfram algengasta form auðkenningar (fyrir utan lykilorðaþáttinn, auðvitað). Og þegar orðin „tvíþætt auðkenning“ eða „tvíþætt staðfesting“ eru nefnd í vinsælum fjölmiðlum, vísa þau næstum alltaf til SMS einskiptis auðkenningar lykilorðs.
Hér skjátlast höfundinum svolítið. Að afhenda einu sinni lykilorð með SMS hefur aldrei verið tvíþætt auðkenning. Þetta er í sinni hreinustu mynd annað stig tveggja þrepa auðkenningar, þar sem fyrsta stigið er að slá inn notandanafn og lykilorð.
Árið 2016 uppfærði National Institute of Standards and Technology (NIST) auðkenningarreglur sínar til að koma í veg fyrir notkun einskiptis lykilorða sem send voru með SMS. Hins vegar var slakað verulega á þessum reglum í kjölfar mótmæla iðnaðarins.
Svo skulum við fylgjast með söguþræðinum. Bandaríski eftirlitsaðilinn viðurkennir réttilega að úrelt tækni er ekki fær um að tryggja öryggi notenda og er að kynna nýja staðla. Staðlar hannaðir til að vernda notendur net- og farsímaforrita (þar á meðal banka). Iðnaðurinn er að reikna út hversu miklum peningum hann mun þurfa að eyða í að kaupa raunverulega áreiðanlega dulritunartákn, endurhanna forrit, setja upp almenningslykilinnviði og „rís á afturfótunum. Annars vegar voru notendur sannfærðir um áreiðanleika einskiptis lykilorða og hins vegar voru árásir á NIST. Fyrir vikið var staðalinn mildaður og innbrotum og þjófnaði á lykilorðum (og peningum úr bankaforritum) fjölgaði mikið. En iðnaðurinn þurfti ekki að leggja út peninga.
Síðan þá hafa eðlislægir veikleikar SMS OTP orðið áberandi. Svindlarar nota ýmsar aðferðir til að koma í veg fyrir SMS skilaboð:
- Fjölföldun SIM-korts. Árásarmenn búa til afrit af SIM-kortinu (með hjálp starfsmanna farsímafyrirtækis, eða sjálfstætt, með því að nota sérstakan hugbúnað og vélbúnað). Í kjölfarið fær árásarmaðurinn SMS með einu sinni lykilorði. Í einu sérstaklega frægu tilviki gátu tölvuþrjótar jafnvel komið í veg fyrir AT&T reikning dulritunarfjárfestarans Michael Turpin og stolið nærri 24 milljónum dollara í dulritunargjaldmiðlum. Þar af leiðandi sagði Turpin að AT&T væri að kenna vegna veikra sannprófunarráðstafana sem leiddu til fjölföldunar SIM-korta.
Ótrúleg rökfræði. Svo það er í raun aðeins AT&T að kenna? Nei, það er eflaust farsímafyrirtækinu að kenna að sölumenn í samskiptaversluninni gáfu út afrit SIM-korts. Hvað með auðkenningarkerfið fyrir cryptocurrency skipti? Af hverju notuðu þeir ekki sterka dulritunarmerki? Var leitt að eyða peningum í framkvæmd? Er ekki Michael sjálfum að kenna? Af hverju krafðist hann ekki þess að breyta auðkenningarkerfinu eða nota aðeins þær kauphallir sem innleiða tvíþætta auðkenningu byggða á dulkóðunartáknum?
Innleiðing á sannarlega áreiðanlegum auðkenningaraðferðum er seinkað einmitt vegna þess að notendur sýna ótrúlegt kæruleysi áður en þeir brjótast inn, og síðan kenna þeir vandræðum sínum á hvern sem er og allt annað en forna og „leka“ auðkenningartækni
- Spilliforrit. Eitt af elstu hlutverkum spilliforrita fyrir farsíma var að stöðva og framsenda textaskilaboð til árásarmanna. Einnig geta maður-í-vafra og maður-í-miðju árásir stöðvað einskiptis lykilorð þegar þau eru slegin inn á sýktar fartölvur eða borðtölvur.
Þegar Sberbank forritið á snjallsímanum þínum blikkar með grænu tákni á stöðustikunni leitar það einnig að „spilliforriti“ í símanum þínum. Markmiðið með þessum viðburði er að breyta ótraustu framkvæmdaumhverfi dæmigerðs snjallsíma í, að minnsta kosti á einhvern hátt, traust.
Við the vegur, snjallsími, sem algjörlega ótraust tæki þar sem allt er hægt að gera, er önnur ástæða til að nota hann til auðkenningar eingöngu vélbúnaðartákn, sem eru vernduð og laus við vírusa og tróverji. - Félagsverkfræði. Þegar svindlarar vita að fórnarlamb er með aðgangsheimildir virkjaðar í gegnum SMS, geta þeir haft beint samband við fórnarlambið, gefið sig út fyrir að vera traust stofnun eins og banka eða lánafélag, til að blekkja fórnarlambið til að gefa upp kóðann sem þeir fengu nýlega.
Ég hef persónulega oft lent í svona svikum, til dæmis þegar ég reyni að selja eitthvað á vinsælum flóamarkaði á netinu. Sjálfur gerði ég grín að svindlaranum sem reyndi að blekkja mig af bestu lyst. En því miður las ég reglulega í fréttum hvernig enn eitt fórnarlamb svindlara „hugsaði ekki,“ gaf upp staðfestingarkóðann og tapaði stórri upphæð. Og allt er þetta vegna þess að bankinn vill einfaldlega ekki takast á við innleiðingu dulritunarmerkja í forritum sínum. Þegar öllu er á botninn hvolft, ef eitthvað gerist, eiga viðskiptavinirnir „sjálfum sér um að kenna“.
Þó að aðrar OTP afhendingaraðferðir geti dregið úr sumum veikleikum þessarar auðkenningaraðferðar, eru aðrir veikleikar eftir. Sjálfstæð kóðaframleiðsluforrit eru besta vörnin gegn hlerun, þar sem jafnvel spilliforrit geta varla haft bein samskipti við kóðarafallið (alvarlega? Gleymdi skýrsluhöfundur fjarstýringu?), en samt sem áður er hægt að stöðva aðgangsheimildir þegar þær eru settar inn í vafrann (til dæmis með því að nota keylogger), í gegnum tölvusnápur farsímaforrits; og einnig er hægt að fá beint frá notandanum með því að nota félagslega verkfræði.
Notkun margra áhættumatstækja eins og tækjagreiningar (uppgötvun tilrauna til að framkvæma viðskipti úr tækjum sem tilheyra ekki löglegum notanda), landfræðileg staðsetning (notandi sem er nýbúinn að vera í Moskvu reynir að framkvæma aðgerð frá Novosibirsk) og hegðunargreiningar eru mikilvægar til að takast á við veikleika, en hvorug lausnin er töfralausn. Fyrir hverja aðstæður og tegund gagna er nauðsynlegt að meta vandlega áhættuna og velja hvaða auðkenningartækni á að nota.
Engin auðkenningarlausn er töfralausn
Mynd 2. Tafla fyrir auðkenningarvalkosti
| Auðkenning | Þáttur | Lýsing | Helstu veikleikar |
| Lykilorð eða PIN | Þekking | Fast gildi, sem getur innihaldið bókstafi, tölustafi og fjölda annarra stafa | Hægt að stöðva, njósna um, stela, taka upp eða brjótast inn |
| Þekkingartengd auðkenning | Þekking | Spurning um svörin sem aðeins löglegur notandi getur vitað | Hægt að stöðva, taka upp, fá með aðferðum félagsverkfræði |
| Vélbúnaður OTP () | Eignarhald | Sérstakt tæki sem býr til einskiptis lykilorð | Kóðinn gæti verið hleraður og endurtekinn eða tækinu verið stolið |
| OTP hugbúnaður | Eignarhald | Forrit (farsíma, aðgengilegt í gegnum vafra eða sendir kóða með tölvupósti) sem býr til einskiptis lykilorð | Kóðinn gæti verið hleraður og endurtekinn eða tækinu verið stolið |
| SMS OTP | Eignarhald | Eingöngu lykilorð afhent með SMS-skilaboðum | Kóðinn gæti verið hleraður og endurtekinn, eða snjallsímanum eða SIM-kortinu gæti verið stolið eða SIM-kortið gæti verið afritað |
| Snjallkort () | Eignarhald | Kort sem inniheldur dulmálsflögu og öruggt lykilminni sem notar almenningslykilinnviði til auðkenningar | Getur verið líkamlega stolið (en árásarmaður mun ekki geta notað tækið án þess að vita PIN-númerið; ef um nokkrar rangar tilraunir er að ræða verður tækið lokað) |
| Öryggislyklar - tákn (, ) | Eignarhald | USB tæki sem inniheldur dulmálsflögu og öruggt lykilminni sem notar opinberan lykilinnviði til auðkenningar | Getur verið stolið líkamlega (en árásarmaður mun ekki geta notað tækið án þess að vita PIN-númerið; ef um nokkrar rangar tilraunir til að komast inn verður tækinu lokað) |
| Tengist við tæki | Eignarhald | Ferlið sem býr til prófíl, oft með JavaScript, eða með því að nota merki eins og smákökur og Flash Shared Objects til að tryggja að tiltekið tæki sé notað | Táknum er hægt að stela (afrita) og eiginleika löglegs tækis er hægt að líkja eftir árásarmanni á tæki sínu |
| Hegðun | Inherence | Greinir hvernig notandinn hefur samskipti við tæki eða forrit | Hegðun er hægt að líkja eftir |
| Fingraför | Inherence | Geymd fingraför eru borin saman við þau sem tekin eru sjónrænt eða rafrænt | Hægt er að stela myndinni og nota til auðkenningar |
| Augnskönnun | Inherence | Ber saman eiginleika augnanna, svo sem lithimnumynsturs, við nýjar sjónskannanir | Hægt er að stela myndinni og nota til auðkenningar |
| Andlitsþekking | Inherence | Andlitseiginleikar eru bornir saman við nýjar sjónskannanir | Hægt er að stela myndinni og nota til auðkenningar |
| Raddgreining | Inherence | Eiginleikar hljóðritaðs raddsýnis eru bornir saman við ný sýni | Hægt er að stela skránni og nota til auðkenningar eða líkja eftir |
Í seinni hluta ritsins bíða okkar ljúffengustu hlutir - tölur og staðreyndir, sem ályktanir og ráðleggingar í fyrri hlutanum eru byggðar á. Fjallað verður sérstaklega um auðkenningu í notendaforritum og í fyrirtækjakerfum.
Sjáumst fljótlega!
Heimild: www.habr.com