Spoiler saka judhul laporan: "Panggunaan otentikasi sing kuat mundhak amarga ancaman risiko anyar lan syarat peraturan."
Perusahaan riset "Javelin Strategy & Research" nerbitake laporan "The State of Strong Authentication 2019" (). Laporan iki ujar: apa persentasi perusahaan Amerika lan Eropa nggunakake sandhi (lan kenapa sawetara wong nggunakake sandhi saiki); kenapa panggunaan otentikasi rong faktor adhedhasar token kriptografi tuwuh kanthi cepet; Apa kode siji-wektu sing dikirim liwat SMS ora aman.
Sapa wae sing kasengsem ing otentikasi saiki, kepungkur, lan mbesuk ing perusahaan lan aplikasi konsumen ditampa.
Saka penerjemah
Sayange, basa sing ditulis laporan iki cukup "garing" lan formal. Lan kaping lima nggunakake tembung "otentikasi" ing siji ukara cendhak dudu tangan bengkong (utawa otak) saka penerjemah, nanging kepinginan saka penulis. Nalika nerjemahake saka rong pilihan - kanggo menehi pembaca teks sing luwih cedhak karo asline, utawa sing luwih menarik, aku kadang milih sing pertama, lan kadhangkala sing kapindho. Nanging sing sabar, para maos, isi laporan kasebut pancen pantes.
Sawetara potongan sing ora penting lan ora perlu kanggo crita kasebut dibusak, yen ora, mayoritas ora bakal bisa ngliwati kabeh teks. Sing pengin maca laporan "ora dipotong" bisa nindakake ing basa asli kanthi ngetutake tautan kasebut.
Sayange, penulis ora tansah ati-ati karo terminologi. Dadi, tembung sandhi siji-wektu (One Time Password - OTP) kadhangkala disebut "sandi", lan kadhangkala "kode". Luwih elek karo metode otentikasi. Ora mesthi gampang kanggo maca sing ora dilatih kanggo ngira yen "otentikasi nggunakake kunci kriptografi" lan "otentikasi kuwat" iku padha. Aku nyoba kanggo nyawiji istilah sabisa, lan ing laporan dhewe ana fragmen karo gambaran.
Nanging, laporan kasebut dianjurake banget kanggo maca amarga ngemot asil riset sing unik lan kesimpulan sing bener.
Kabeh tokoh lan bukti diwenehi tanpa owah-owahan slightest, lan yen sampeyan ora setuju karo wong-wong mau, iku luwih apik kanggo argue ora karo penerjemah, nanging karo penulis laporan. Lan iki komentarku (ditata minangka kutipan, lan ditandhani ing teks basa Italia) minangka penilaian nilaiku lan aku bakal seneng mbantah babagan saben wong (uga babagan kualitas terjemahan).
Ringkesan
Saiki, saluran komunikasi digital karo pelanggan luwih penting tinimbang sadurunge kanggo bisnis. Lan ing perusahaan, komunikasi antarane karyawan luwih digital tinimbang sadurunge. Lan sepira aman interaksi kasebut gumantung saka metode otentikasi pangguna sing dipilih. Penyerang nggunakake otentikasi sing lemah kanggo hack akun pangguna kanthi massal. Nanggepi, regulator ngencengi standar kanggo meksa bisnis kanggo nglindhungi akun pangguna lan data luwih apik.
Ancaman sing gegandhengan karo otentikasi ngluwihi aplikasi konsumen; panyerang uga bisa entuk akses menyang aplikasi sing mlaku ing njero perusahaan. Operasi iki ngidini dheweke niru pangguna perusahaan. Penyerang sing nggunakake titik akses kanthi otentikasi sing lemah bisa nyolong data lan nindakake kegiatan penipuan liyane. Untunge, ana langkah-langkah kanggo nglawan iki. Otentikasi sing kuat bakal mbantu nyuda kanthi signifikan risiko serangan dening panyerang, ing aplikasi konsumen lan ing sistem bisnis perusahaan.
Panaliten iki nliti: kepiye perusahaan ngetrapake otentikasi kanggo nglindhungi aplikasi pangguna pungkasan lan sistem bisnis perusahaan; faktor sing dianggep nalika milih solusi otentikasi; peran otentikasi sing kuat ing organisasi; keuntungan sing ditampa organisasi kasebut.
Ringkesan
Penemuan Kunci
Wiwit 2017, panggunaan otentikasi sing kuat saya tambah akeh. Kanthi tambah akeh kerentanan sing mengaruhi solusi otentikasi tradisional, organisasi nguatake kemampuan otentikasi kanthi otentikasi sing kuat. Jumlah organisasi sing nggunakake otentikasi multi-faktor kriptografi (MFA) wis tikel kaping telu wiwit 2017 kanggo aplikasi konsumen lan tambah meh 50% kanggo aplikasi perusahaan. Wutah paling cepet katon ing otentikasi seluler amarga tambah akeh otentikasi biometrik.
Ing kene kita ndeleng ilustrasi saka paribasan "nganti gludhug, wong ora bakal nyabrang awake dhewe." Nalika ahli ngelingake babagan ora aman sandhi, ora ana sing cepet-cepet ngetrapake otentikasi rong faktor. Sanalika peretas wiwit nyolong sandhi, wong wiwit ngleksanakake otentikasi rong faktor.
Bener, individu luwih aktif ngetrapake 2FA. Kaping pisanan, luwih gampang kanggo ngilangi rasa wedi kanthi ngandelake otentikasi biometrik sing dibangun ing smartphone, sing nyatane ora bisa dipercaya. Organisasi kudu mbuwang dhuwit kanggo tuku token lan nindakake karya (nyatane, gampang banget) kanggo ngetrapake. Lan kaping pindho, mung wong kesed sing ora nulis babagan bocor sandhi saka layanan kaya Facebook lan Dropbox, nanging ing kahanan apa wae, CIO organisasi kasebut ora bakal nuduhake crita babagan carane tembung sandhi dicolong (lan kedadeyan sabanjure) ing organisasi.
Wong-wong sing ora nggunakake otentikasi sing kuwat ngremehake risiko kanggo bisnis lan pelanggan. Sawetara organisasi sing saiki ora nggunakake otentikasi sing kuat cenderung ndeleng login lan sandhi minangka salah sawijining cara otentikasi pangguna sing paling efektif lan gampang digunakake. Wong liya ora weruh regane aset digital sing diduweni. Sawise kabeh, iku worth considering sing cybercriminals kasengsem ing sembarang informasi konsumen lan bisnis. Rong pertiga perusahaan sing mung nggunakake tembung sandhi kanggo otentikasi karyawan amarga dheweke yakin sandhi kasebut cukup apik kanggo jinis informasi sing dilindhungi.
Nanging, sandhi ing dalan menyang kuburan. Ketergantungan sandhi wis mudhun sacara signifikan sajrone taun kepungkur kanggo aplikasi konsumen lan perusahaan (saka 44% dadi 31%, lan saka 56% dadi 47%, masing-masing) amarga organisasi nambah panggunaan MFA tradisional lan otentikasi sing kuat.
Nanging yen kita ndeleng kahanan kasebut kanthi wutuh, metode otentikasi sing rawan isih ana. Kanggo otentikasi pangguna, kira-kira seprapat organisasi nggunakake SMS OTP (sandi siji-wektu) bebarengan karo pitakonan keamanan. AkibatΓ©, langkah-langkah keamanan tambahan kudu dileksanakake kanggo nglindhungi saka kerentanan, sing nambah biaya. Panggunaan cara otentikasi sing luwih aman, kayata kunci kriptografi hardware, luwih jarang digunakake, ing kira-kira 5% organisasi.
Lingkungan peraturan sing terus berkembang janji bakal nyepetake adopsi otentikasi sing kuat kanggo aplikasi konsumen. Kanthi introduksi PSD2, uga aturan proteksi data anyar ing EU lan sawetara negara AS kayata California, perusahaan ngrasakake panas. SaklawasΓ© 70% perusahaan setuju yen ngadhepi tekanan peraturan sing kuat kanggo menehi otentikasi sing kuat kanggo para pelanggan. Luwih saka setengah perusahaan percaya yen ing sawetara taun cara otentikasi ora cukup kanggo nyukupi standar peraturan.
Bentenipun ing pendekatan legislatif Rusia lan Amerika-Eropa kanggo pangayoman data pribadhi pangguna program lan layanan katon cetha. Wong Rusia ujar: pamilik layanan sing dikasihi, lakoni apa sing dikarepake lan kepiye, nanging yen admin nggabungake database, kita bakal ngukum sampeyan. Dheweke ujar ing luar negeri: sampeyan kudu ngetrapake sawetara langkah kasebut ora ngidini saluran dhasar. Pramila syarat kanggo otentikasi rong faktor sing ketat ditindakake ing kana.
Bener, adoh saka kasunyatan manawa mesin legislatif kita bakal ora ngerti lan njupuk pengalaman Barat. Banjur dadi kabeh wong kudu ngetrapake 2FA, sing tundhuk karo standar kriptografi Rusia, lan kanthi cepet.
Nggawe kerangka otentikasi sing kuat ngidini perusahaan ngalih fokus saka nyukupi syarat peraturan kanggo nyukupi kabutuhan pelanggan. Kanggo organisasi sing isih nggunakake tembung sandhi sing prasaja utawa nampa kode liwat SMS, faktor sing paling penting nalika milih metode otentikasi yaiku tundhuk karo syarat peraturan. Nanging perusahaan sing wis nggunakake otentikasi sing kuat bisa fokus kanggo milih metode otentikasi sing nambah kesetiaan pelanggan.
Nalika milih cara otentikasi perusahaan ing perusahaan, syarat regulasi ora dadi faktor penting maneh. Ing kasus iki, gampang integrasi (32%) lan biaya (26%) luwih penting.
Ing jaman phishing, panyerang bisa nggunakake email perusahaan kanggo scam kanggo fraudulently gain akses kanggo data, akun (karo hak akses cocok), lan malah kanggo gawe uwong yakin karyawan kanggo nggawe transfer dhuwit kanggo akun. Mula, akun email lan portal perusahaan kudu dilindhungi kanthi apik.
Google wis nguatake keamanan kanthi ngetrapake otentikasi sing kuat. Luwih saka rong taun kepungkur, Google nerbitake laporan babagan implementasi otentikasi rong faktor adhedhasar kunci keamanan kriptografi nggunakake standar FIDO U2F, nglaporake asil sing nyengsemake. Miturut perusahaan kasebut, ora ana serangan phishing sing ditindakake marang luwih saka 85 karyawan.
Rekomendasi
Ngleksanakake otentikasi sing kuat kanggo aplikasi seluler lan online. Otentikasi multi-faktor adhedhasar kunci kriptografi menehi proteksi sing luwih apik marang peretasan tinimbang metode MFA tradisional. Kajaba iku, panggunaan kunci kriptografi luwih trep amarga ora perlu nggunakake lan nransfer informasi tambahan - sandhi, sandhi siji-wektu utawa data biometrik saka piranti pangguna menyang server otentikasi. Kajaba iku, standarisasi protokol otentikasi nggawe luwih gampang kanggo ngetrapake metode otentikasi anyar nalika kasedhiya, nyuda biaya implementasine lan nglindhungi skema penipuan sing luwih canggih.
Siapke mati sandhi siji-wektu (OTP). Kerentanan sing ana ing OTP saya tambah katon amarga para penjahat siber nggunakake teknik sosial, kloning smartphone lan malware kanggo kompromi sarana otentikasi kasebut. Lan yen OTP ing sawetara kasus duwe kaluwihan tartamtu, mung saka sudut pandang kasedhiyan universal kanggo kabeh pangguna, nanging ora saka sudut pandang keamanan.
Sampeyan ora bisa sok dong mirsani yen nampa kode liwat SMS utawa kabar Push, uga ngasilake kode nggunakake program kanggo smartphone, iku nggunakake tembung sandhi siji-wektu (OTP) sing padha dijaluk nyiyapake kanggo nolak. Saka sudut pandang teknis, solusi kasebut bener banget, amarga iku penipu langka sing ora nyoba nemokake tembung sandi siji-wektu saka pangguna sing gampang disalahake. Nanging aku mikir manawa produsen sistem kasebut bakal nempel ing teknologi sing mati nganti pungkasan.
Gunakake otentikasi sing kuat minangka alat marketing kanggo nambah kepercayaan pelanggan. Otentikasi sing kuat bisa nindakake luwih saka mung nambah keamanan nyata bisnis sampeyan. Ngandhani pelanggan manawa bisnis sampeyan nggunakake otentikasi sing kuat bisa nguatake persepsi umum babagan keamanan bisnis kasebut-faktor penting nalika ana panjaluk pelanggan sing signifikan kanggo metode otentikasi sing kuat.
Nindakake inventarisasi lan penilaian kritis babagan data perusahaan lan nglindhungi miturut pentinge. Malah data berisiko rendah kayata informasi kontak pelanggan (ora, tenan, laporan ngandika "resiko kurang", iku banget aneh sing padha ngremehake pentinge informasi iki), bisa nggawa nilai sing signifikan kanggo penipu lan nyebabake masalah kanggo perusahaan.
Gunakake bukti asli perusahaan sing kuwat. Sawetara sistem minangka target sing paling menarik kanggo para penjahat. Iki kalebu sistem internal lan sambungan Internet kayata program akuntansi utawa gudang data perusahaan. Otentikasi sing kuat nyegah panyerang entuk akses sing ora sah, lan uga bisa nemtokake karyawan sing nindakake kegiatan jahat kasebut kanthi akurat.
Apa Otentikasi Kuat?
Nalika nggunakake otentikasi sing kuat, sawetara cara utawa faktor digunakake kanggo verifikasi keasliane pangguna:
- Faktor pengetahuan: rahasia sing dienggo bareng antarane pangguna lan subyek sing wis dikonfirmasi pangguna (kayata sandhi, jawaban kanggo pitakonan keamanan, lsp.)
- Faktor kepemilikan: piranti sing mung nduweni pangguna (contone, piranti seluler, kunci kriptografi, lsp.)
- Faktor integritas: karakteristik fisik (asring biometrik) pangguna (contone, sidik jari, pola iris, swara, prilaku, lsp.)
Kebutuhan kanggo hack macem-macem faktor nemen nambah kamungkinan saka Gagal kanggo panyerang, amarga bypassing utawa ngapusi macem-macem faktor mbutuhake nggunakake macem-macem jinis taktik hacking, kanggo saben faktor dhewe.
Contone, kanthi 2FA "sandi + smartphone," panyerang bisa nindakake otentikasi kanthi ndeleng sandhi pangguna lan nggawe salinan piranti lunak sing tepat saka smartphone. Lan iki luwih angel tinimbang mung nyolong sandhi.
Nanging yen tembung sandhi lan token kriptografi digunakake kanggo 2FA, banjur pilihan nyalin ora bisa digunakake ing kene - ora bisa duplikat token kasebut. Penipu kudu nyolong token saka pangguna. Yen pangguna sok dong mirsani mundhut ing wektu lan menehi kabar marang admin, token bakal diblokir lan upaya penipu bakal muspra. Mulane faktor kepemilikan mbutuhake nggunakake piranti aman khusus (token) tinimbang piranti umum (smartphone).
Nggunakake kabeh telung faktor bakal nggawe cara otentikasi iki cukup larang kanggo dileksanakake lan cukup ora trep kanggo nggunakake. Mulane, loro saka telung faktor biasane digunakake.
Prinsip otentikasi rong faktor diterangake kanthi luwih rinci , ing blok "Carane otentikasi rong faktor".
Penting kanggo dicathet yen paling ora salah siji faktor otentikasi sing digunakake ing otentikasi sing kuat kudu nggunakake kriptografi kunci publik.
Otentikasi sing kuat nyedhiyakake proteksi sing luwih kuat tinimbang otentikasi siji-faktor adhedhasar sandhi klasik lan MFA tradisional. Tembung sandhi bisa diintip utawa dicegat nggunakake keylogger, situs phishing, utawa serangan rekayasa sosial (ing ngendi korban diapusi kanggo mbukak tembung sandhi). Menapa malih, pemilik sandi ora bakal ngerti apa-apa bab nyolong. MFA tradisional (kalebu kode OTP, ngiket menyang smartphone utawa kertu SIM) uga bisa gampang disusupi, amarga ora adhedhasar kriptografi kunci umum (Miturut cara, ana akeh conto nalika, nggunakake teknik teknik sosial sing padha, scammers mbujuk pangguna kanggo menehi sandhi siji-wektu.).
Untunge, panggunaan otentikasi sing kuat lan MFA tradisional wis entuk daya tarik ing aplikasi konsumen lan perusahaan wiwit taun kepungkur. Panggunaan otentikasi sing kuat ing aplikasi konsumen wis berkembang kanthi cepet. Yen ing 2017 mung 5% perusahaan sing nggunakake, banjur ing 2018 wis kaping telu - 16%. Iki bisa diterangake kanthi kasedhiyan token sing ndhukung algoritma Kriptografi Kunci Umum (PKC). Kajaba iku, tambah tekanan saka regulator Eropa sawise adopsi aturan proteksi data anyar kayata PSD2 lan GDPR duwe pengaruh sing kuat sanajan ing njaba Eropa (kalebu ing Rusia).
Ayo padha nliti nomer kasebut. Kaya sing bisa dideleng, persentase individu pribadi sing nggunakake otentikasi multi-faktor mundhak 11% ing taun. Lan iki cetha kedaden ing beyo saka penyayang sandi, wiwit nomer sing pracaya ing keamanan kabar Push, SMS lan biometrik wis ora diganti.
Nanging kanthi otentikasi rong faktor kanggo panggunaan perusahaan, kahanan kasebut ora apik. Kaping pisanan, miturut laporan kasebut, mung 5% karyawan sing ditransfer saka otentikasi sandi menyang token. Lan kaping pindho, jumlah wong sing nggunakake opsi MFA alternatif ing lingkungan perusahaan saya tambah 4%.
Aku bakal nyoba kanggo muter Analyst lan menehi interpretasi sandi. Ing tengah jagad digital pangguna individu yaiku smartphone. Mulane, ora nggumunake yen mayoritas nggunakake kemampuan sing diwenehake piranti kasebut - otentikasi biometrik, kabar SMS lan Push, uga sandhi siji-wektu sing digawe dening aplikasi ing smartphone dhewe. Wong biasane ora mikir babagan safety lan linuwih nalika nggunakake alat sing digunakake.
Mulane persentase pangguna faktor otentikasi "tradisional" primitif tetep ora owah. Nanging wong-wong sing sadurunge wis nggunakake tembung sandhi ngerti sepira resikone, lan nalika milih faktor otentikasi anyar, dheweke milih pilihan paling anyar lan paling aman - token cryptographic.
Kanggo pasar perusahaan, penting kanggo ngerti babagan otentikasi sistem sing ditindakake. Yen mlebu menyang domain Windows dileksanakake, banjur token kriptografi digunakake. Kemungkinan kanggo nggunakake kanggo 2FA wis dibangun ing Windows lan Linux, nanging opsi alternatif dawa lan angel kanggo ngleksanakake. Dadi akeh kanggo migrasi 5% saka sandhi menyang token.
Lan implementasine 2FA ing sistem informasi perusahaan gumantung banget marang kualifikasi pangembang. Lan luwih gampang kanggo pangembang njupuk modul sing wis siap kanggo ngasilake sandhi siji-wektu tinimbang ngerti operasi algoritma kriptografi. Lan minangka asil, malah aplikasi keamanan-kritis luar biasa kaya Sistem Single Sign-On utawa Privileged Access Management nggunakake OTP minangka faktor liya.
Akeh kerentanan ing metode otentikasi tradisional
Nalika akeh organisasi tetep gumantung ing sistem siji-faktor warisan, kerentanan ing otentikasi multi-faktor tradisional saya tambah katon. Tembung sandhi sepisan, biasane enem nganti wolung karakter, dikirim liwat SMS, tetep dadi wangun otentikasi sing paling umum (saliyane faktor tembung sandhi, mesthi). Lan nalika tembung "otentikasi rong faktor" utawa "verifikasi rong langkah" kasebut ing pers populer, dheweke meh tansah ngrujuk marang otentikasi tembung sandhi sapisan SMS.
Ing kene penulis rada salah. Ngirim sandhi siji-wektu liwat SMS ora tau otentikasi rong faktor. Iki minangka tahap paling murni saka otentikasi rong langkah, ing endi tahap pertama ngetik login lan sandhi.
Ing 2016, Institut Standar lan Teknologi Nasional (NIST) nganyari aturan otentikasi kanggo ngilangi panggunaan sandhi sepisan sing dikirim liwat SMS. Nanging, aturan kasebut santai banget sawise protes industri.
Dadi, ayo tindakake plot kasebut. Regulator Amerika kanthi bener ngakoni manawa teknologi sing wis lawas ora bisa njamin keamanan pangguna lan ngenalake standar anyar. Standar sing dirancang kanggo nglindhungi pangguna aplikasi online lan seluler (kalebu perbankan). Industri kasebut ngitung jumlah dhuwit sing kudu dituku kanggo tuku token kriptografi sing dipercaya, ngrancang ulang aplikasi, ngetrapake infrastruktur kunci umum, lan "munggah ing sikil mburi." Ing tangan siji, pangguna yakin babagan linuwih sandhi siji-wektu, lan ing sisih liya, ana serangan ing NIST. AkibatΓ©, standar iki softened, lan jumlah hacks lan nyolong sandhi (lan dhuwit saka aplikasi banking) tambah banget. Nanging industri ora kudu ngetokake dhuwit.
Wiwit iku, kelemahane SMS OTP dadi luwih jelas. Penipu nggunakake macem-macem cara kanggo kompromi pesen SMS:
- duplikasi kertu SIM. Penyerang nggawe salinan SIM (kanthi bantuan karyawan operator seluler, utawa kanthi mandiri, nggunakake piranti lunak lan hardware khusus). AkibatΓ©, panyerang nampa SMS kanthi sandhi sepisan. Ing salah sawijining kasus sing misuwur, peretas malah bisa kompromi akun AT&T investor cryptocurrency Michael Turpin, lan nyolong meh $24 yuta ing cryptocurrencies. AkibatΓ©, Turpin nyatakake yen AT&T salah amarga langkah verifikasi sing lemah sing nyebabake duplikasi kertu SIM.
Logika sing nggumunake. Dadi pancen mung kesalahan AT&T? Ora, temtu salah operator seluler manawa para penjual ing toko komunikasi ngetokake kertu SIM duplikat. Kepiye babagan sistem otentikasi ijol-ijolan cryptocurrency? Napa dheweke ora nggunakake token kriptografi sing kuwat? Apa iku tega kanggo nglampahi dhuwit ing implementasine? Apa Michael ora kudu disalahake? Napa dheweke ora meksa ngganti mekanisme otentikasi utawa mung nggunakake ijol-ijolan sing ngetrapake otentikasi rong faktor adhedhasar token kriptografi?
Introduksi metode otentikasi sing bener-bener dipercaya ditundha amarga pangguna nuduhake kecerobohan sing luar biasa sadurunge hacking, lan banjur nyalahake masalahe marang sapa wae lan apa wae kajaba teknologi otentikasi kuno lan "bocor".
- Malware. Salah sawijining fungsi awal malware seluler yaiku nyegat lan nerusake pesen teks menyang panyerang. Uga, serangan man-in-the-browser lan man-in-the-middle bisa nyegat sandhi sapisan nalika dilebokake ing laptop utawa piranti desktop sing kena infeksi.
Nalika aplikasi Sberbank ing smartphone sampeyan kedhip lambang ijo ing garis status, iku uga katon kanggo "malware" ing telpon. Tujuan saka acara iki yaiku kanggo ngowahi lingkungan eksekusi sing ora dipercaya saka smartphone khas dadi, paling ora ing sawetara cara, sing dipercaya.
Miturut cara, smartphone, minangka piranti sing ora bisa dipercaya sing bisa ditindakake apa wae, minangka alasan liyane kanggo nggunakake aplikasi kasebut kanggo otentikasi. mung token hardware, sing dilindhungi lan bebas saka virus lan Trojan. - Rekayasa sosial. Nalika scammers ngerti yen korban wis OTPs aktif liwat SMS, padha bisa langsung hubungi korban, posing minangka organisasi dipercaya kayata bank utawa serikat kredit, kanggo ngapusi korban kanggo nyedhiyani kode sing lagi wae ditampa.
Aku wis kerep nemoni jinis penipuan iki, contone, nalika nyoba adol barang ing pasar loak online sing populer. Aku dhewe ngece karo tukang ngapusi sing nyoba ngapusi aku kanthi ati. Nanging sayangΓ©, aku ajeg maca ing warta carane korban scammers liyane "ora mikir," menehi kode konfirmasi lan ilang jumlah gedhe. Lan kabeh iki amarga bank mung ora pengin menehi hasil karo implementasine token cryptographic ing aplikasi. Sawise kabeh, yen ana kedadeyan, para klien "kudu disalahake."
Nalika cara pangiriman OTP alternatif bisa nyuda sawetara kerentanan ing metode otentikasi iki, kerentanan liyane tetep. Aplikasi nggawe kode mandiri minangka proteksi paling apik kanggo nguping, amarga malah malware meh ora bisa sesambungan langsung karo generator kode (serius? Apa penulis laporan lali babagan remot kontrol?), nanging OTP isih bisa dicegat nalika mlebu menyang browser (contone nggunakake keylogger), liwat aplikasi seluler sing disusupi; lan uga bisa dipikolehi langsung saka pangguna nggunakake teknik sosial.
Nggunakake macem-macem alat penilaian risiko kayata pangenalan piranti (deteksi nyoba kanggo nindakake transaksi saka piranti sing ora kagungane pangguna legal), geolokasi (pangguna sing lagi wae ing Moscow nyoba kanggo nindakake operasi saka Novosibirsk) lan analytics prilaku penting kanggo ngilangi kerentanan, nanging ora ana solusi sing bisa dadi panacea. Kanggo saben kahanan lan jinis data, perlu kanthi ati-ati netepake risiko lan milih teknologi otentikasi sing kudu digunakake.
Ora ana solusi otentikasi minangka panacea
Gambar 2. Tabel pilihan otentikasi
| Otentikasi | Faktor | Description | Kerentanan utama |
| Sandi utawa PIN | Katrangan | Nilai tetep, sing bisa kalebu huruf, angka lan sawetara karakter liyane | Bisa dicegat, diintip, dicolong, dijupuk utawa disusupi |
| Otentikasi adhedhasar kawruh | Katrangan | Pitakonan jawaban sing mung bisa dingerteni pangguna sing sah | Bisa dicegat, dijupuk, dipikolehi nggunakake metode rekayasa sosial |
| Hardware OTP () | kagungan | Piranti khusus sing ngasilake sandhi siji-wektu | Kode kasebut bisa dicegat lan diulang, utawa piranti kasebut bisa dicolong |
| OTPs piranti lunak | kagungan | Aplikasi (seluler, bisa diakses liwat browser, utawa ngirim kode liwat e-mail) sing nggawe sandhi sapisan | Kode kasebut bisa dicegat lan diulang, utawa piranti kasebut bisa dicolong |
| SMS OTP | kagungan | Tembung sandhi sepisan dikirim liwat pesen teks SMS | Kode kasebut bisa dicegat lan diulang, utawa smartphone utawa kertu SIM bisa dicolong, utawa kertu SIM bisa diduplikasi |
| kertu pinter () | kagungan | Kertu sing ngemot chip cryptographic lan memori kunci aman sing nggunakake infrastruktur kunci umum kanggo otentikasi | Bisa dicolong fisik (nanging panyerang ora bakal bisa nggunakake piranti kasebut tanpa ngerti kode PIN; yen ana sawetara upaya input sing salah, piranti bakal diblokir) |
| Kunci keamanan - token (, ) | kagungan | Piranti USB sing ngemot chip cryptographic lan memori kunci aman sing nggunakake infrastruktur kunci umum kanggo otentikasi | Bisa dicolong kanthi fisik (nanging panyerang ora bakal bisa nggunakake piranti kasebut tanpa ngerti kode PIN; yen ana sawetara upaya mlebu sing salah, piranti kasebut bakal diblokir) |
| Nyambung menyang piranti | kagungan | Proses sing nggawe profil, asring nggunakake JavaScript, utawa nggunakake spidol kayata cookie lan Flash Obyek Shared kanggo mesthekake yen piranti tartamtu digunakake. | Token bisa dicolong (disalin), lan karakteristik piranti legal bisa ditiru dening panyerang ing piranti kasebut. |
| Prilaku | Keturunan | Nganalisis cara pangguna sesambungan karo piranti utawa program | Kelakuane bisa ditiru |
| Sidik jari | Keturunan | Sidik jari sing disimpen dibandhingake karo sing dijupuk kanthi optik utawa elektronik | Gambar kasebut bisa dicolong lan digunakake kanggo otentikasi |
| Pindai mripat | Keturunan | Mbandhingake karakteristik mripat, kayata pola iris, karo pindai optik anyar | Gambar kasebut bisa dicolong lan digunakake kanggo otentikasi |
| Pangenalan pasuryan | Keturunan | Karakteristik rai dibandhingake karo scan optik anyar | Gambar kasebut bisa dicolong lan digunakake kanggo otentikasi |
| Pangenalan swara | Keturunan | Karakteristik sampel swara sing direkam dibandhingake karo sampel anyar | Rekaman kasebut bisa dicolong lan digunakake kanggo otentikasi, utawa ditiru |
Ing bagean liya saka publikasi, nunggu kita bab paling Γ©ca - nomer lan kasunyatan, kang Serat lan Rekomendasi ing bagean pisanan adhedhasar. Otentikasi ing aplikasi pangguna lan ing sistem perusahaan bakal dibahas kanthi kapisah.
Ndeleng sampeyan rauh!
Source: www.habr.com