Spoiler dal titolo del rapporto: “L’uso dell’autenticazione forte aumenta a causa della minaccia di nuovi rischi e requisiti normativi”.
La società di ricerca "Javelin Strategy & Research" ha pubblicato il rapporto "The State of Strong Authentication 2019" (). Questo rapporto dice: quale percentuale di aziende americane ed europee utilizza le password (e perché poche persone ora usano le password); perché l’uso dell’autenticazione a due fattori basata su token crittografici sta crescendo così rapidamente; Perché i codici monouso inviati tramite SMS non sono sicuri.
Chiunque sia interessato al presente, al passato e al futuro dell'autenticazione nelle aziende e nelle applicazioni consumer è il benvenuto.
Dal traduttore
Purtroppo, il linguaggio in cui è scritto questo rapporto è piuttosto “secco” e formale. E l’uso cinque volte della parola “autenticazione” in una breve frase non è dovuto alle mani (o al cervello) storte del traduttore, ma al capriccio degli autori. Quando traduco da due opzioni: per offrire ai lettori un testo più vicino all'originale o più interessante, a volte scelgo la prima, a volte la seconda. Ma abbiate pazienza, cari lettori, il contenuto del rapporto vale la pena.
Alcuni pezzi non importanti e non necessari per la storia sono stati rimossi, altrimenti la maggioranza non sarebbe riuscita a leggere l'intero testo. Chi volesse leggere il rapporto “integrale” può farlo in lingua originale seguendo il link.
Sfortunatamente, gli autori non sono sempre attenti alla terminologia. Pertanto, le password monouso (One Time Password - OTP) sono talvolta chiamate "password" e talvolta "codici". È ancora peggio con i metodi di autenticazione. Non è sempre facile per il lettore inesperto intuire che “autenticazione tramite chiavi crittografiche” e “autenticazione forte” sono la stessa cosa. Ho cercato di unificare il più possibile i termini, e nel rapporto stesso c'è un frammento con la loro descrizione.
Tuttavia, la lettura del rapporto è altamente raccomandata perché contiene risultati di ricerca unici e conclusioni corrette.
Tutte le cifre e i fatti sono presentati senza il minimo cambiamento e, se non sei d'accordo con loro, è meglio discutere non con il traduttore, ma con gli autori del rapporto. Ed ecco i miei commenti (esposti come citazioni e contrassegnati nel testo Italiano) sono i miei giudizi di valore e sarò felice di argomentare su ciascuno di essi (oltre che sulla qualità della traduzione).
panoramica
Al giorno d’oggi, i canali digitali di comunicazione con i clienti sono più importanti che mai per le aziende. E all’interno dell’azienda, le comunicazioni tra i dipendenti sono più orientate al digitale che mai. E quanto saranno sicure queste interazioni dipende dal metodo scelto di autenticazione dell'utente. Gli aggressori utilizzano l'autenticazione debole per hackerare in modo massiccio gli account utente. In risposta, le autorità di regolamentazione stanno inasprendo gli standard per costringere le aziende a proteggere meglio gli account e i dati degli utenti.
Le minacce legate all’autenticazione si estendono oltre le applicazioni consumer; gli aggressori possono anche ottenere l’accesso alle applicazioni in esecuzione all’interno dell’azienda. Questa operazione consente loro di impersonare utenti aziendali. Gli aggressori che utilizzano punti di accesso con autenticazione debole possono rubare dati ed eseguire altre attività fraudolente. Fortunatamente, ci sono misure per combattere questo. L'autenticazione forte aiuterà a ridurre significativamente il rischio di attacco da parte di un utente malintenzionato, sia sulle applicazioni consumer che sui sistemi aziendali aziendali.
Questo studio esamina: come le aziende implementano l'autenticazione per proteggere le applicazioni degli utenti finali e i sistemi aziendali; fattori che considerano quando scelgono una soluzione di autenticazione; il ruolo svolto dall'autenticazione forte nelle loro organizzazioni; i benefici che queste organizzazioni ricevono.
Riassunto
Risultati principali
Dal 2017, l’uso dell’autenticazione forte è aumentato notevolmente. Con il crescente numero di vulnerabilità che colpiscono le soluzioni di autenticazione tradizionali, le organizzazioni stanno rafforzando le proprie capacità di autenticazione con un'autenticazione forte. Il numero di organizzazioni che utilizzano l’autenticazione crittografica a più fattori (MFA) è triplicato dal 2017 per le applicazioni consumer ed è aumentato di quasi il 50% per le applicazioni aziendali. La crescita più rapida si registra nell’autenticazione mobile a causa della crescente disponibilità dell’autenticazione biometrica.
Qui vediamo un’illustrazione del detto “finché non scocca il tuono, un uomo non si farà il segno della croce”. Quando gli esperti hanno messo in guardia sull’insicurezza delle password, nessuno aveva fretta di implementare l’autenticazione a due fattori. Non appena gli hacker hanno iniziato a rubare le password, le persone hanno iniziato a implementare l’autenticazione a due fattori.
È vero, gli individui stanno implementando molto più attivamente la 2FA. In primo luogo, è più facile per loro calmare le proprie paure affidandosi all’autenticazione biometrica integrata negli smartphone, che in realtà è molto inaffidabile. Le organizzazioni devono spendere soldi per l'acquisto di token e svolgere lavori (in effetti, molto semplici) per implementarli. In secondo luogo, solo le persone pigre non hanno scritto di fughe di password da servizi come Facebook e Dropbox, ma in nessun caso i CIO di queste organizzazioni condivideranno storie su come le password sono state rubate (e cosa è successo dopo) nelle organizzazioni.
Coloro che non utilizzano l’autenticazione forte sottovalutano il rischio per la propria azienda e i propri clienti. Alcune organizzazioni che attualmente non utilizzano l'autenticazione forte tendono a considerare gli accessi e le password come uno dei metodi di autenticazione utente più efficaci e facili da usare. Altri non vedono il valore delle risorse digitali che possiedono. Dopotutto, vale la pena considerare che i criminali informatici sono interessati a qualsiasi informazione sui consumatori e sulle imprese. Due terzi delle aziende che utilizzano solo password per autenticare i propri dipendenti lo fanno perché ritengono che le password siano sufficientemente valide per il tipo di informazioni che proteggono.
Tuttavia, le password sono in viaggio verso la tomba. La dipendenza dalle password è diminuita significativamente nell’ultimo anno sia per le applicazioni consumer che per quelle aziendali (rispettivamente dal 44% al 31% e dal 56% al 47%) poiché le organizzazioni aumentano l’uso della tradizionale MFA e dell’autenticazione forte.
Ma se guardiamo la situazione nel suo complesso, prevalgono ancora metodi di autenticazione vulnerabili. Per l'autenticazione degli utenti, circa un quarto delle organizzazioni utilizza SMS OTP (one-time password) insieme a domande di sicurezza. Di conseguenza, è necessario implementare misure di sicurezza aggiuntive per proteggersi dalla vulnerabilità, che aumenta i costi. L'uso di metodi di autenticazione molto più sicuri, come le chiavi crittografiche hardware, viene utilizzato molto meno frequentemente, in circa il 5% delle organizzazioni.
L’evoluzione del contesto normativo promette di accelerare l’adozione dell’autenticazione forte per le applicazioni consumer. Con l’introduzione della PSD2, così come delle nuove norme sulla protezione dei dati nell’UE e in diversi stati degli Stati Uniti come la California, le aziende sentono il caldo. Quasi il 70% delle aziende concorda di dover affrontare una forte pressione normativa per fornire una forte autenticazione ai propri clienti. Più della metà delle aziende ritiene che entro pochi anni i propri metodi di autenticazione non saranno sufficienti a soddisfare gli standard normativi.
La differenza nell'approccio dei legislatori russo e americano-europeo alla protezione dei dati personali degli utenti di programmi e servizi è chiaramente visibile. I russi dicono: cari proprietari di servizi, fate quello che volete e come volete, ma se il vostro amministratore unisce il database, vi puniremo. All'estero dicono: è necessario attuare una serie di misure non lo permetterà scolare la base. Ecco perché lì vengono implementati i requisiti per una rigorosa autenticazione a due fattori.
È vero, è lungi dall’essere un dato di fatto che la nostra macchina legislativa un giorno non rinsavisca e non tenga conto dell’esperienza occidentale. Quindi si scopre che tutti devono implementare 2FA, che è conforme agli standard crittografici russi, e con urgenza.
La creazione di un solido quadro di autenticazione consente alle aziende di spostare la propria attenzione dal rispetto dei requisiti normativi al soddisfacimento delle esigenze dei clienti. Per quelle organizzazioni che utilizzano ancora password semplici o ricevono codici tramite SMS, il fattore più importante nella scelta di un metodo di autenticazione sarà la conformità ai requisiti normativi. Ma le aziende che già utilizzano l’autenticazione forte possono concentrarsi sulla scelta di metodi di autenticazione che aumentano la fidelizzazione dei clienti.
Quando si sceglie un metodo di autenticazione aziendale all'interno di un'azienda, i requisiti normativi non sono più un fattore significativo. In questo caso, la facilità di integrazione (32%) e il costo (26%) sono molto più importanti.
Nell’era del phishing, gli aggressori possono utilizzare la posta elettronica aziendale per truffare per ottenere in modo fraudolento l'accesso a dati, conti (con adeguati diritti di accesso) e persino per convincere i dipendenti a effettuare un trasferimento di denaro sul suo conto. Pertanto, gli account di posta elettronica e di portale aziendali devono essere particolarmente ben protetti.
Google ha rafforzato la propria sicurezza implementando l'autenticazione forte. Più di due anni fa, Google ha pubblicato un rapporto sull’implementazione dell’autenticazione a due fattori basata su chiavi di sicurezza crittografiche utilizzando lo standard FIDO U2F, riportando risultati impressionanti. Secondo l'azienda non è stato effettuato alcun attacco di phishing contro oltre 85 dipendenti.
Raccomandazioni
Implementare l'autenticazione forte per le applicazioni mobili e online. L'autenticazione a più fattori basata su chiavi crittografiche offre una protezione molto migliore contro gli attacchi hacker rispetto ai metodi MFA tradizionali. Inoltre, l'uso delle chiavi crittografiche è molto più conveniente perché non è necessario utilizzare e trasferire informazioni aggiuntive: password, password monouso o dati biometrici dal dispositivo dell'utente al server di autenticazione. Inoltre, la standardizzazione dei protocolli di autenticazione rende molto più semplice l’implementazione di nuovi metodi di autenticazione non appena diventano disponibili, riducendo i costi di implementazione e proteggendo da schemi di frode più sofisticati.
Preparati alla scomparsa delle password monouso (OTP). Le vulnerabilità inerenti agli OTP stanno diventando sempre più evidenti poiché i criminali informatici utilizzano l’ingegneria sociale, la clonazione di smartphone e il malware per compromettere questi mezzi di autenticazione. E se in alcuni casi gli OTP presentano alcuni vantaggi, solo dal punto di vista della disponibilità universale per tutti gli utenti, ma non dal punto di vista della sicurezza.
È impossibile non notare che ricevere codici tramite SMS o notifiche push, così come generare codici utilizzando programmi per smartphone, è l'utilizzo di quelle stesse password monouso (OTP) per le quali ci viene chiesto di prepararci al rifiuto. Da un punto di vista tecnico, la soluzione è molto corretta, perché è raro che un truffatore non cerchi di scoprire la password monouso da un utente credulone. Ma penso che i produttori di tali sistemi si aggrapperanno alla tecnologia morente fino all'ultimo.
Utilizza l'autenticazione forte come strumento di marketing per aumentare la fiducia dei clienti. L'autenticazione forte può fare molto di più che migliorare semplicemente la sicurezza effettiva della tua azienda. Informare i clienti che la tua azienda utilizza l'autenticazione forte può rafforzare la percezione pubblica della sicurezza di tale azienda, un fattore importante quando c'è una significativa domanda da parte dei clienti per metodi di autenticazione forte.
Condurre un inventario approfondito e una valutazione della criticità dei dati aziendali e proteggerli in base all'importanza. Anche i dati a basso rischio come le informazioni di contatto del cliente (no, davvero, il rapporto dice “a basso rischio”, è molto strano che sottovalutino l’importanza di queste informazioni), possono apportare un valore significativo ai truffatori e causare problemi all'azienda.
Utilizza l'autenticazione aziendale avanzata. Numerosi sistemi rappresentano gli obiettivi più attraenti per i criminali. Questi includono sistemi interni e connessi a Internet come un programma di contabilità o un data warehouse aziendale. L'autenticazione forte impedisce agli aggressori di ottenere accessi non autorizzati e consente inoltre di determinare con precisione quale dipendente ha commesso l'attività dannosa.
Cos'è l'autenticazione forte?
Quando si utilizza l'autenticazione forte, vengono utilizzati diversi metodi o fattori per verificare l'autenticità dell'utente:
- Fattore di conoscenza: segreto condiviso tra l'utente e il soggetto autenticato dell'utente (come password, risposte a domande di sicurezza, ecc.)
- Fattore di proprietà: un dispositivo che possiede solo l'utente (ad esempio, un dispositivo mobile, una chiave crittografica, ecc.)
- Fattore di integrità: caratteristiche fisiche (spesso biometriche) dell'utente (ad esempio, impronta digitale, modello dell'iride, voce, comportamento, ecc.)
La necessità di hackerare più fattori aumenta notevolmente la probabilità di fallimento per gli aggressori, poiché per aggirare o ingannare vari fattori è necessario utilizzare più tipi di tattiche di hacking, per ciascun fattore separatamente.
Ad esempio, con la 2FA “password + smartphone”, un utente malintenzionato può eseguire l’autenticazione guardando la password dell’utente e creando una copia esatta del software del suo smartphone. E questo è molto più difficile del semplice furto di una password.
Ma se per 2FA vengono utilizzati una password e un token crittografico, l'opzione di copia qui non funziona: è impossibile duplicare il token. Il truffatore dovrà rubare furtivamente il token all'utente. Se l’utente si accorge della perdita di tempo e avvisa l’amministratore, il token verrà bloccato e gli sforzi del truffatore saranno vani. Questo è il motivo per cui il fattore proprietà richiede l’uso di dispositivi sicuri specializzati (token) piuttosto che di dispositivi generici (smartphone).
L'utilizzo di tutti e tre i fattori renderà questo metodo di autenticazione piuttosto costoso da implementare e piuttosto scomodo da utilizzare. Pertanto, vengono solitamente utilizzati due fattori su tre.
I principi dell'autenticazione a due fattori sono descritti più dettagliatamente , nel blocco "Come funziona l'autenticazione a due fattori".
È importante notare che almeno uno dei fattori di autenticazione utilizzati nell'autenticazione forte deve utilizzare la crittografia a chiave pubblica.
L'autenticazione forte fornisce una protezione molto più forte rispetto all'autenticazione a fattore singolo basata su password classiche e MFA tradizionale. Le password possono essere spiate o intercettate utilizzando keylogger, siti di phishing o attacchi di ingegneria sociale (dove la vittima viene indotta con l'inganno a rivelare la propria password). Inoltre, il proprietario della password non saprà nulla del furto. Anche l'MFA tradizionale (compresi i codici OTP, il collegamento a uno smartphone o una scheda SIM) può essere violato abbastanza facilmente, poiché non si basa sulla crittografia a chiave pubblica (A proposito, ci sono molti esempi in cui, utilizzando le stesse tecniche di ingegneria sociale, i truffatori hanno convinto gli utenti a fornire loro una password monouso).
Fortunatamente, dallo scorso anno l’uso dell’autenticazione forte e dell’MFA tradizionale ha preso piede sia nelle applicazioni consumer che in quelle aziendali. L’uso dell’autenticazione forte nelle applicazioni consumer è cresciuto in modo particolarmente rapido. Se nel 2017 lo utilizzava solo il 5% delle aziende, nel 2018 era già tre volte di più: il 16%. Ciò può essere spiegato dalla maggiore disponibilità di token che supportano gli algoritmi di crittografia a chiave pubblica (PKC). Inoltre, la crescente pressione da parte dei regolatori europei a seguito dell’adozione di nuove norme sulla protezione dei dati come PSD2 e GDPR ha avuto un forte effetto anche al di fuori dell’Europa (anche in Russia).
Diamo un'occhiata più da vicino a questi numeri. Come possiamo vedere, la percentuale di privati che utilizzano l’autenticazione a più fattori è cresciuta di ben l’11% nel corso dell’anno. E questo chiaramente è avvenuto a scapito degli amanti delle password, visto che non sono cambiati i numeri di chi crede nella sicurezza delle notifiche Push, degli SMS e della biometria.
Ma con l’autenticazione a due fattori per uso aziendale, le cose non vanno così bene. Innanzitutto, secondo il rapporto, solo il 5% dei dipendenti è passato dall’autenticazione tramite password ai token. In secondo luogo, il numero di coloro che utilizzano opzioni AMF alternative in ambito aziendale è aumentato del 4%.
Proverò a fare l’analista e a dare la mia interpretazione. Al centro del mondo digitale dei singoli utenti c’è lo smartphone. Pertanto, non c'è da meravigliarsi che la maggior parte utilizzi le funzionalità fornite dal dispositivo: autenticazione biometrica, SMS e notifiche push, nonché password monouso generate dalle applicazioni sullo smartphone stesso. Le persone di solito non pensano alla sicurezza e all’affidabilità quando utilizzano gli strumenti a cui sono abituati.
Ecco perché la percentuale di utilizzatori di fattori di autenticazione primitivi “tradizionali” rimane invariata. Ma coloro che hanno già utilizzato le password comprendono quanto rischiano e, quando scelgono un nuovo fattore di autenticazione, optano per l'opzione più nuova e sicura: un token crittografico.
Per quanto riguarda il mercato aziendale, è importante capire in quale sistema viene effettuata l'autenticazione. Se viene implementato l'accesso a un dominio Windows, vengono utilizzati token crittografici. Le possibilità di utilizzarli per la 2FA sono già integrate sia in Windows che in Linux, ma le opzioni alternative sono lunghe e difficili da implementare. Questo per quanto riguarda la migrazione del 5% dalle password ai token.
E l'implementazione della 2FA in un sistema informativo aziendale dipende molto dalle qualifiche degli sviluppatori. Ed è molto più facile per gli sviluppatori prendere moduli già pronti per generare password monouso piuttosto che comprendere il funzionamento degli algoritmi crittografici. Di conseguenza, anche le applicazioni estremamente critiche per la sicurezza come i sistemi Single Sign-On o Privileged Access Management utilizzano l’OTP come secondo fattore.
Molte vulnerabilità nei metodi di autenticazione tradizionali
Mentre molte organizzazioni continuano a fare affidamento su sistemi legacy a fattore singolo, le vulnerabilità nella tradizionale autenticazione a più fattori stanno diventando sempre più evidenti. Le password monouso, in genere lunghe da sei a otto caratteri, inviate tramite SMS, rimangono la forma di autenticazione più comune (oltre al fattore password, ovviamente). E quando sulla stampa popolare vengono menzionate le parole “autenticazione a due fattori” o “verifica in due passaggi”, si riferiscono quasi sempre all’autenticazione tramite SMS con password monouso.
Qui l'autore si sbaglia un po'. La consegna di password monouso tramite SMS non è mai stata un'autenticazione a due fattori. Questa è nella sua forma più pura la seconda fase dell'autenticazione in due passaggi, in cui la prima fase consiste nell'inserire login e password.
Nel 2016, il National Institute of Standards and Technology (NIST) ha aggiornato le proprie regole di autenticazione per eliminare l’uso di password monouso inviate tramite SMS. Tuttavia, queste regole sono state notevolmente allentate in seguito alle proteste del settore.
Quindi, seguiamo la trama. Il regolatore americano riconosce giustamente che la tecnologia obsoleta non è in grado di garantire la sicurezza degli utenti e sta introducendo nuovi standard. Standard progettati per proteggere gli utenti delle applicazioni online e mobili (comprese quelle bancarie). L’industria sta calcolando quanti soldi dovrà spendere per l’acquisto di token crittografici veramente affidabili, la riprogettazione delle applicazioni, l’implementazione di un’infrastruttura a chiave pubblica, e si sta “rialzando sulle zampe posteriori”. Da un lato gli utenti erano convinti dell'affidabilità delle password monouso, dall'altro si sono verificati attacchi al NIST. Di conseguenza, lo standard è stato ammorbidito e il numero di attacchi hacker e furti di password (e denaro dalle applicazioni bancarie) è aumentato notevolmente. Ma l’industria non ha dovuto sborsare soldi.
Da allora, le debolezze intrinseche dell’OTP tramite SMS sono diventate più evidenti. I truffatori utilizzano vari metodi per compromettere i messaggi SMS:
- Duplicazione della carta SIM. Gli aggressori creano una copia della SIM (con l'aiuto dei dipendenti dell'operatore di telefonia mobile o in modo indipendente, utilizzando software e hardware speciali). Di conseguenza, l'aggressore riceve un SMS con una password monouso. In un caso particolarmente famoso, gli hacker sono riusciti persino a compromettere il conto AT&T dell'investitore di criptovalute Michael Turpin e a rubare quasi 24 milioni di dollari in criptovalute. Di conseguenza, Turpin ha dichiarato che AT&T era colpevole a causa delle deboli misure di verifica che hanno portato alla duplicazione della carta SIM.
Logica sorprendente. Quindi è davvero solo colpa di AT&T? No, è senza dubbio colpa dell'operatore di telefonia mobile se i venditori del negozio di comunicazione hanno rilasciato una carta SIM duplicata. Che dire del sistema di autenticazione dello scambio di criptovaluta? Perché non hanno utilizzato token crittografici avanzati? È stato un peccato spendere soldi per l'implementazione? La colpa non è dello stesso Michael? Perché non ha insistito nel modificare il meccanismo di autenticazione o nell'utilizzare solo quegli scambi che implementano l'autenticazione a due fattori basata su token crittografici?
L’introduzione di metodi di autenticazione veramente affidabili viene ritardata proprio perché gli utenti mostrano una sorprendente disattenzione prima dell’hacking, e poi incolpano i loro problemi a chiunque e a qualsiasi cosa diversa dalle tecnologie di autenticazione antiche e “perfette”
- Malware. Una delle prime funzioni del malware mobile è stata quella di intercettare e inoltrare messaggi di testo agli aggressori. Inoltre, gli attacchi man-in-the-browser e man-in-the-middle possono intercettare le password monouso quando vengono immesse su laptop o dispositivi desktop infetti.
Quando l'applicazione Sberbank sul tuo smartphone lampeggia con un'icona verde nella barra di stato, cerca anche "malware" sul tuo telefono. L'obiettivo di questo evento è trasformare l'ambiente di esecuzione non affidabile di un tipico smartphone in, almeno in qualche modo, un ambiente affidabile.
A proposito, uno smartphone, in quanto dispositivo completamente non affidabile su cui si può fare qualsiasi cosa, è un altro motivo per utilizzarlo per l'autenticazione solo token hardware, che sono protetti e privi di virus e Trojan. - Ingegneria sociale. Quando i truffatori sanno che una vittima ha le OTP abilitate tramite SMS, possono contattarla direttamente, fingendosi un'organizzazione fidata come la loro banca o cooperativa di credito, per indurre la vittima a fornire il codice appena ricevuto.
Personalmente mi sono imbattuto molte volte in questo tipo di frode, ad esempio, quando cercavo di vendere qualcosa in un popolare mercatino delle pulci online. Io stesso mi sono preso gioco del truffatore che ha cercato di ingannarmi a mio piacimento. Ma ahimè, leggo regolarmente nei notiziari che un'altra vittima dei truffatori "non ha pensato", ha dato il codice di conferma e ha perso una grossa somma. E tutto questo perché la banca semplicemente non vuole occuparsi dell'implementazione dei token crittografici nelle sue applicazioni. Dopotutto, se succede qualcosa, i clienti “devono incolpare se stessi”.
Sebbene metodi di consegna OTP alternativi possano mitigare alcune delle vulnerabilità di questo metodo di autenticazione, altre vulnerabilità rimangono. Le applicazioni di generazione di codice autonome rappresentano la migliore protezione contro le intercettazioni, poiché anche il malware difficilmente può interagire direttamente con il generatore di codice (sul serio? L'autore del rapporto si è dimenticato del controllo remoto?), ma le OTP possono comunque essere intercettate quando vengono immesse nel browser (ad esempio utilizzando un keylogger), attraverso un'applicazione mobile compromessa; e possono anche essere ottenuti direttamente dall'utente utilizzando l'ingegneria sociale.
Utilizzando molteplici strumenti di valutazione del rischio come il riconoscimento dei dispositivi (rilevamento di tentativi di eseguire transazioni da dispositivi che non appartengono a un utente legale), geolocalizzazione (un utente appena stato a Mosca tenta di effettuare un'operazione da Novosibirsk) e l'analisi comportamentale sono importanti per affrontare le vulnerabilità, ma nessuna delle due soluzioni è una panacea. Per ogni situazione e tipologia di dati è necessario valutare attentamente i rischi e scegliere quale tecnologia di autenticazione utilizzare.
Nessuna soluzione di autenticazione è una panacea
Figura 2. Tabella delle opzioni di autenticazione
| autenticazione | fattore | descrizione | Vulnerabilità chiave |
| Password o PIN | conoscenza | Valore fisso, che può includere lettere, numeri e una serie di altri caratteri | Possono essere intercettati, spiati, rubati, prelevati o hackerati |
| Autenticazione basata sulla conoscenza | conoscenza | Domande le cui risposte solo un utente legale può conoscere | Possono essere intercettati, raccolti, ottenuti utilizzando metodi di ingegneria sociale |
| OTP hardware () | Possesso | Un dispositivo speciale che genera password monouso | Il codice potrebbe essere intercettato e ripetuto oppure il dispositivo potrebbe essere rubato |
| OTP software | Possesso | Un'applicazione (mobile, accessibile tramite un browser o inviando codici tramite e-mail) che genera password monouso | Il codice potrebbe essere intercettato e ripetuto oppure il dispositivo potrebbe essere rubato |
| Sms OTP | Possesso | Password monouso consegnata tramite messaggio di testo SMS | Il codice potrebbe essere intercettato e ripetuto, oppure lo smartphone o la SIM potrebbero essere rubati, oppure la SIM card potrebbe essere duplicata |
| Smart card () | Possesso | Una carta che contiene un chip crittografico e una memoria di chiave sicura che utilizza un'infrastruttura a chiave pubblica per l'autenticazione | Potrebbe essere rubato fisicamente (ma un utente malintenzionato non potrà utilizzare il dispositivo senza conoscere il codice PIN; in caso di ripetuti tentativi di inserimento errati il dispositivo verrà bloccato) |
| Chiavi di sicurezza - token (, ) | Possesso | Un dispositivo USB che contiene un chip crittografico e una memoria di chiave sicura che utilizza un'infrastruttura a chiave pubblica per l'autenticazione | Può essere rubato fisicamente (ma un malintenzionato non sarà in grado di utilizzare il dispositivo senza conoscere il codice PIN; in caso di più tentativi di accesso errati, il dispositivo verrà bloccato) |
| Collegamento a un dispositivo | Possesso | Il processo che crea un profilo, spesso utilizzando JavaScript o utilizzando marcatori come cookie e Flash Shared Objects per garantire che venga utilizzato un dispositivo specifico | I token possono essere rubati (copiati) e le caratteristiche di un dispositivo legale possono essere imitate da un utente malintenzionato sul suo dispositivo |
| comportamento | Inerenza | Analizza il modo in cui l'utente interagisce con un dispositivo o un programma | Il comportamento può essere imitato |
| Impronte digitali | Inerenza | Le impronte digitali memorizzate vengono confrontate con quelle rilevate otticamente o elettronicamente | L'immagine può essere rubata e utilizzata per l'autenticazione |
| Scansione oculare | Inerenza | Confronta le caratteristiche dell'occhio, come il modello dell'iride, con nuove scansioni ottiche | L'immagine può essere rubata e utilizzata per l'autenticazione |
| Riconoscimento facciale | Inerenza | Le caratteristiche facciali vengono confrontate con nuove scansioni ottiche | L'immagine può essere rubata e utilizzata per l'autenticazione |
| Riconoscimento vocale | Inerenza | Le caratteristiche del campione vocale registrato vengono confrontate con nuovi campioni | Il record può essere rubato e utilizzato per l'autenticazione o emulato |
Nella seconda parte della pubblicazione ci aspettano le cose più deliziose: numeri e fatti, su cui si basano le conclusioni e le raccomandazioni fornite nella prima parte. L'autenticazione nelle applicazioni utente e nei sistemi aziendali verrà discussa separatamente.
A presto!
Fonte: habr.com