Баяндаманың тақырыбынан спойлер: «Күшті аутентификацияны пайдалану жаңа қауіптер мен нормативтік талаптар қаупіне байланысты артады».
«Javelin Strategy & Research» зерттеу компаниясы «The State of Strong Authentication 2019» есебін жариялады (). Бұл есепте былай делінген: американдық және еуропалық компаниялардың қанша пайызы құпия сөздерді пайдаланады (және неге қазір құпия сөздерді аз адамдар пайдаланады); криптографиялық таңбалауыштарға негізделген екі факторлы аутентификацияны пайдалану неге сонша тез өсіп келеді; Неліктен SMS арқылы жіберілген бір реттік кодтар қауіпсіз емес.
Кәсіпорындардағы және тұтынушылық қосымшалардағы аутентификацияның бүгініне, өткеніне және болашағына қызығушылық танытқан кез келген адам құпталады.
Аудармашыдан
Өкінішке орай, бұл есептің жазылатын тілі өте «құрғақ» және ресми. Ал «аутентификация» деген сөздің бір қысқа сөйлемде бес рет қолданылуы аудармашының қисық қолы (немесе миы) емес, авторлардың қалауы. Екі нұсқадан аударған кезде – оқырмандарға түпнұсқаға жақынырақ немесе қызықтырақ мәтін беру үшін мен кейде біріншісін, кейде екіншісін таңдадым. Бірақ шыдамды болыңыз, құрметті оқырмандар, баяндаманың мазмұны оған тұрарлық.
Әңгіме үшін кейбір маңызды емес және қажет емес бөліктер алынып тасталды, әйтпесе көпшілік мәтінді толығымен оқи алмас еді. «Кесілмеген» баяндаманы оқығысы келетіндер сілтеме бойынша оны түпнұсқа тілінде оқи алады.
Өкінішке орай, авторлар терминологияға әрқашан мұқият бола бермейді. Осылайша, бір реттік парольдер (One Time Password - OTP) кейде «құпиясөздер», ал кейде «кодтар» деп аталады. Аутентификация әдістерімен бұл одан да нашар. Тәжірибеден өтпеген оқырманға «криптографиялық кілттердің көмегімен аутентификация» және «күшті аутентификация» бір нәрсе екенін болжау әрқашан оңай бола бермейді. Мен терминдерді барынша біріктіруге тырыстым, баяндаманың өзінде олардың сипаттамасы бар үзінді бар.
Соған қарамастан баяндаманы оқу өте ұсынылады, өйткені онда бірегей зерттеу нәтижелері мен дұрыс қорытындылар бар.
Барлық цифрлар мен фактілер болмашы өзгерістерсіз берілген, егер сіз олармен келіспесеңіз, онда аудармашымен емес, баяндама авторларымен айтысқан дұрыс. Міне, менің пікірлерім (дәйексөз ретінде берілген және мәтінде белгіленген итальян) бұл менің құнды пікірім және мен олардың әрқайсысы бойынша (сондай-ақ аударманың сапасы туралы) дауласуға қуаныштымын.
қайта қарау
Қазіргі уақытта тұтынушылармен байланысудың цифрлық арналары бизнес үшін бұрынғыдан да маңызды. Ал компания ішінде қызметкерлер арасындағы байланыс бұрынғыдан да цифрлық бағдарланған. Бұл өзара әрекеттесулердің қаншалықты қауіпсіз болатыны пайдаланушы аутентификациясының таңдалған әдісіне байланысты. Шабуылшылар пайдаланушы тіркелгілерін жаппай бұзу үшін әлсіз аутентификацияны пайдаланады. Жауап ретінде реттеушілер бизнесті пайдаланушы тіркелгілері мен деректерін жақсырақ қорғауға мәжбүрлеу үшін стандарттарды қатайтады.
Аутентификацияға қатысты қауіптер тұтынушы қолданбаларының шегінен шығады; шабуылдаушылар кәсіпорын ішінде жұмыс істейтін қолданбаларға да қол жеткізе алады. Бұл операция оларға корпоративтік пайдаланушылардың атын көрсетуге мүмкіндік береді. Аутентификациясы әлсіз кіру нүктелерін пайдаланатын шабуылдаушылар деректерді ұрлап, басқа алаяқтық әрекеттерді орындай алады. Бақытымызға орай, мұнымен күресу шаралары бар. Күшті аутентификация тұтынушы қолданбаларында да, кәсіпорынның бизнес жүйелерінде де шабуылдаушының шабуыл жасау қаупін айтарлықтай азайтуға көмектеседі.
Бұл зерттеу мыналарды зерттейді: кәсіпорындар түпкілікті пайдаланушы қолданбаларын және кәсіпорынның бизнес жүйелерін қорғау үшін аутентификацияны қалай жүзеге асырады; аутентификация шешімін таңдау кезінде ескеретін факторлар; олардың ұйымдарында күшті аутентификацияның атқаратын рөлі; бұл ұйымдар алатын жеңілдіктер.
Резюме
Негізгі нәтижелер
2017 жылдан бастап күшті аутентификацияны қолдану күрт өсті. Дәстүрлі аутентификация шешімдеріне әсер ететін осалдықтардың көбеюімен ұйымдар күшті аутентификация арқылы аутентификация мүмкіндіктерін күшейтуде. Криптографиялық көп факторлы аутентификацияны (MFA) қолданатын ұйымдардың саны 2017 жылдан бері тұтынушылық қосымшалар үшін үш есе өсті және кәсіпорын қолданбалары үшін шамамен 50% өсті. Ең жылдам өсу биометриялық аутентификацияның қолжетімділігінің артуына байланысты мобильді аутентификацияда байқалады.
Мұнда біз «күн күркіремейінше, адам кесіп өтпейді» деген сөздің мысалын көреміз. Сарапшылар парольдердің қауіпсіз еместігі туралы ескерткен кезде, ешкім екі факторлы аутентификацияны енгізуге асықпады. Хакерлер құпия сөздерді ұрлай бастағанда, адамдар екі факторлы аутентификацияны енгізе бастады.
Рас, адамдар 2FA-ны әлдеқайда белсенді түрде енгізеді. Біріншіден, оларға смартфондарға орнатылған биометриялық аутентификацияға сүйену арқылы қорқыныштарын тыныштандыру оңайырақ, бұл шын мәнінде өте сенімсіз. Ұйымдар токендерді сатып алуға ақша жұмсап, оларды жүзеге асыру үшін жұмыстарды (шын мәнінде өте қарапайым) орындауы керек. Екіншіден, Facebook және Dropbox сияқты қызметтерден құпия сөздің ағып кетуі туралы тек жалқау адамдар жазбаған, бірақ бұл ұйымдардың CIO-лары ұйымдарда құпия сөздердің қалай ұрланғаны (және одан әрі не болғаны) туралы әңгімелерді ешбір жағдайда бөліспейді.
Күшті аутентификацияны пайдаланбайтындар өз бизнесі мен тұтынушылары үшін тәуекелдерін төмендетеді. Қазіргі уақытта күшті аутентификацияны қолданбайтын кейбір ұйымдар логиндер мен құпия сөздерді пайдаланушы аутентификациясының ең тиімді және қолдануға оңай әдістерінің бірі ретінде қарайды. Басқалары өздеріне тиесілі сандық активтердің құнын көрмейді. Өйткені, киберқылмыскерлер кез келген тұтынушы және бизнес ақпаратына қызығушылық танытатынын ескерген жөн. Қызметкерлерінің түпнұсқалығын растау үшін құпия сөздерді ғана пайдаланатын компаниялардың үштен екісі құпия сөздерді олар қорғайтын ақпарат түріне жеткілікті деп санайтындықтан жасайды.
Дегенмен, парольдер қабірге бара жатыр. Құпия сөзге тәуелділік өткен жылы тұтынушылар үшін де, кәсіпорын қолданбалары үшін де (тиісінше 44%-дан 31%-ға және 56%-дан 47%-ға дейін) айтарлықтай төмендеді, өйткені ұйымдар дәстүрлі СІМ және күшті аутентификацияны пайдалануды арттырады.
Бірақ егер жағдайды тұтастай қарастыратын болсақ, аутентификацияның осал әдістері әлі де басым. Пайдаланушы аутентификациясы үшін ұйымдардың төрттен бір бөлігі қауіпсіздік сұрақтарымен бірге SMS OTP (бір реттік құпия сөз) пайдаланады. Нәтижесінде шығындарды арттыратын осалдықтан қорғау үшін қосымша қауіпсіздік шараларын енгізу қажет. Аппараттық криптографиялық кілттер сияқты әлдеқайда қауіпсіз аутентификация әдістерін қолдану ұйымдардың шамамен 5% -ында әлдеқайда сирек қолданылады.
Дамып келе жатқан нормативтік орта тұтынушылық қосымшалар үшін күшті аутентификацияны қабылдауды жеделдетуге уәде береді. PSD2, сондай-ақ ЕО-да және Калифорния сияқты АҚШ-тың бірнеше штаттарында деректерді қорғаудың жаңа ережелері енгізілуімен компаниялар жылуды сезінуде. Компаниялардың 70%-ға жуығы тұтынушыларына күшті аутентификацияны қамтамасыз ету үшін күшті реттеуші қысымға тап болатынымен келіседі. Кәсіпорындардың жартысынан көбі бірнеше жыл ішінде олардың аутентификация әдістері реттеуші стандарттарға сай болу үшін жеткіліксіз болады деп санайды.
Бағдарламалар мен қызметтерді пайдаланушылардың жеке деректерін қорғауға қатысты ресейлік және американдық-еуропалық заң шығарушылардың көзқарастарындағы айырмашылық айқын көрінеді. Орыстар айтады: құрметті қызмет иелері, не қаласаңыз, қалай қаласаңыз, солай істеңіз, бірақ админіңіз базаны біріктірсе, біз сізді жазалаймыз. Шетелде айтады: бұл шаралар кешенін жүзеге асыру керек рұқсат бермейді негізді төгіңіз. Сондықтан ол жерде қатаң екі факторлы аутентификация талаптары жүзеге асырылуда.
Рас, заң шығарушы машинамыз бір күні есін жиып, батыс тәжірибесімен санаспайтыны шындықтан алыс. Содан кейін әркім ресейлік криптографиялық стандарттарға сәйкес келетін 2FA-ны тез арада енгізуі керек екені белгілі болды.
Күшті аутентификация негізін құру компанияларға өз назарын реттеуші талаптарды қанағаттандырудан тұтынушылардың қажеттіліктерін қанағаттандыруға ауыстыруға мүмкіндік береді. Қарапайым парольдерді пайдаланып жатқан немесе SMS арқылы кодтарды алатын ұйымдар үшін аутентификация әдісін таңдаудағы ең маңызды фактор нормативтік талаптарға сәйкестік болады. Бірақ күшті аутентификацияны қолданатын компаниялар тұтынушылардың адалдығын арттыратын аутентификация әдістерін таңдауға назар аудара алады.
Кәсіпорын ішінде корпоративтік аутентификация әдісін таңдағанда, реттеу талаптары маңызды фактор болып табылмайды. Бұл жағдайда интеграцияның қарапайымдылығы (32%) және құны (26%) әлдеқайда маңызды.
Фишинг дәуірінде шабуылдаушылар алаяқтық үшін корпоративтік электрондық поштаны пайдалана алады деректерге, тіркелгілерге (тиісті қол жеткізу құқықтарымен) алаяқтық жолмен қол жеткізу және тіпті қызметкерлерді оның шотына ақша аударуға сендіру. Сондықтан корпоративтік электрондық пошта және портал тіркелгілері әсіресе жақсы қорғалған болуы керек.
Google күшті аутентификацияны енгізу арқылы өзінің қауіпсіздігін күшейтті. Екі жылдан астам уақыт бұрын Google FIDO U2F стандартын қолдана отырып, криптографиялық қауіпсіздік кілттеріне негізделген екі факторлы аутентификацияны енгізу туралы есепті жариялады, әсерлі нәтижелер туралы хабарлайды. Компанияның мәліметінше, 85 мыңнан астам қызметкерге бірде-бір фишингтік шабуыл жасалмаған.
ұсынымдар
Мобильді және онлайн қолданбалар үшін күшті аутентификацияны енгізіңіз. Криптографиялық кілттерге негізделген көп факторлы аутентификация дәстүрлі СІМ әдістеріне қарағанда бұзудан әлдеқайда жақсы қорғауды қамтамасыз етеді. Сонымен қатар, криптографиялық кілттерді пайдалану әлдеқайда ыңғайлы, өйткені қосымша ақпаратты - парольдерді, бір реттік парольдерді немесе пайдаланушы құрылғысынан аутентификация серверіне биометриялық деректерді пайдалану және тасымалдаудың қажеті жоқ. Оған қоса, аутентификация хаттамаларын стандарттау жаңа аутентификация әдістері қолжетімді болған кезде енгізуді әлдеқайда жеңілдетеді, іске асыру шығындарын азайтады және күрделі алаяқтық схемаларынан қорғайды.
Бір реттік құпия сөздердің (OTP) жойылуына дайындалыңыз. Киберқылмыскерлер осы аутентификация құралдарын бұзу үшін әлеуметтік инженерия, смартфондарды клондау және зиянды бағдарламаларды пайдаланатындықтан, OTP-ге тән осалдықтар барған сайын айқын бола түсуде. Ал егер OTP кейбір жағдайларда белгілі бір артықшылықтарға ие болса, онда барлық пайдаланушылар үшін әмбебап қолжетімділік тұрғысынан ғана, бірақ қауіпсіздік тұрғысынан емес.
SMS немесе Push хабарландырулары арқылы кодтарды алу, сондай-ақ смартфондарға арналған бағдарламаларды пайдалана отырып кодтарды жасау бізден құлдырауға дайындалу сұралатын бір реттік құпия сөздерді (OTP) пайдалану екенін байқамау мүмкін емес. Техникалық тұрғыдан алғанда, шешім өте дұрыс, өйткені бұл сенімді пайдаланушыдан бір реттік парольді табуға тырыспайтын сирек алаяқ. Бірақ, менің ойымша, мұндай жүйелерді өндірушілер өліп жатқан технологияны соңына дейін ұстайды.
Клиенттердің сенімін арттыру үшін маркетинг құралы ретінде күшті аутентификацияны пайдаланыңыз. Күшті аутентификация бизнесіңіздің нақты қауіпсіздігін жақсартып қана қоймайды. Клиенттерге сіздің бизнесіңіздің күшті аутентификацияны қолданатыны туралы хабарлау сол бизнестің қауіпсіздігі туралы жұртшылықтың қабылдауын күшейтуі мүмкін – бұл күшті аутентификация әдістеріне тұтынушы сұранысы болған кездегі маңызды фактор.
Корпоративтік деректердің мұқият түгендеуін және маңыздылығын бағалауды жүргізіңіз және оларды маңыздылығына қарай қорғаңыз. Тұтынушының байланыс ақпараты сияқты тіпті тәуекелі төмен деректер (жоқ, расында, есепте «қауіп-қатері төмен» деп жазылған, бұл ақпараттың маңыздылығын жете бағаламағаны өте таңқаларлық), алаяқтарға елеулі мән беріп, компанияға қиындықтар тудыруы мүмкін.
Күшті кәсіпорын аутентификациясын пайдаланыңыз. Бірқатар жүйелер қылмыскерлер үшін ең тартымды нысана болып табылады. Оларға бухгалтерлік бағдарлама немесе корпоративтік деректер қоймасы сияқты ішкі және Интернетке қосылған жүйелер кіреді. Күшті аутентификация шабуылдаушылардың рұқсатсыз кіруіне жол бермейді, сонымен қатар зиянды әрекетті қай қызметкер жасағанын дәл анықтауға мүмкіндік береді.
Күшті аутентификация дегеніміз не?
Күшті аутентификацияны пайдаланған кезде пайдаланушының түпнұсқалығын тексеру үшін бірнеше әдістер немесе факторлар пайдаланылады:
- Білім факторы: пайдаланушы мен пайдаланушының аутентификацияланған тақырыбы арасындағы ортақ құпия (құпия сөздер, қауіпсіздік сұрақтарына жауаптар және т.б.)
- Меншік факторы: тек пайдаланушыда болатын құрылғы (мысалы, мобильді құрылғы, криптографиялық кілт және т.б.)
- Тұтастық факторы: пайдаланушының физикалық (көбінесе биометриялық) сипаттамалары (мысалы, саусақ ізі, ирис үлгісі, дауыс, мінез-құлық және т.б.)
Көптеген факторларды бұзу қажеттілігі шабуылдаушылар үшін сәтсіздікке ұшырау ықтималдығын айтарлықтай арттырады, өйткені әртүрлі факторларды айналып өту немесе алдау әр фактор үшін жеке бұзу тактикасының бірнеше түрін қолдануды қажет етеді.
Мысалы, 2FA «құпия сөз + смартфон» көмегімен шабуылдаушы пайдаланушының құпия сөзін қарап, смартфонының нақты бағдарламалық құралының көшірмесін жасау арқылы аутентификацияны орындай алады. Бұл жай ғана құпия сөзді ұрлаудан әлдеқайда қиын.
Бірақ егер 2FA үшін құпия сөз және криптографиялық таңбалауыш пайдаланылса, онда көшіру опциясы мұнда жұмыс істемейді - таңбалауыштың көшірмесін жасау мүмкін емес. Алаяққа пайдаланушыдан токенді жасырын түрде ұрлау қажет болады. Егер пайдаланушы жоғалғанын дер кезінде байқаса және әкімшіге хабарласа, токен бұғатталып, алаяқтың әрекеті нәтижесіз болады. Міне, сондықтан меншік факторы жалпы мақсаттағы құрылғылардан (смартфондар) емес, арнайы қорғалған құрылғыларды (токендерді) пайдалануды талап етеді.
Барлық үш факторды пайдалану бұл аутентификация әдісін іске асыруды айтарлықтай қымбатқа түсіреді және пайдалануды өте ыңғайсыз етеді. Сондықтан әдетте үш фактордың екеуі қолданылады.
Екі факторлы аутентификация принциптері толығырақ сипатталған , «Екі факторлы аутентификация қалай жұмыс істейді» блогында.
Күшті аутентификацияда пайдаланылатын аутентификация факторларының кем дегенде біреуі ашық кілт криптографиясын қолдануы керек екенін ескеру маңызды.
Күшті аутентификация классикалық парольдер мен дәстүрлі СІМ негізінде бір факторлы аутентификацияға қарағанда әлдеқайда күшті қорғауды қамтамасыз етеді. Құпия сөздерге клавиштерді, фишингтік сайттарды немесе әлеуметтік инженерлік шабуылдарды (жәбірленуші алданып, құпия сөзін ашады) арқылы тыңшылыққа немесе ұстап алуға болады. Оның үстіне, құпия сөздің иесі ұрлық туралы ештеңе білмейді. Дәстүрлі СІМ (соның ішінде OTP кодтары, смартфонға немесе SIM картасына байланыстыру) оңай бұзылады, өйткені ол ашық кілт криптографиясына негізделмеген (Айтпақшы, сол әлеуметтік инженерия әдістерін қолдана отырып, алаяқтар пайдаланушыларды бір реттік құпия сөзді беруге көндірген мысалдар көп.).
Бақытымызға орай, күшті аутентификация мен дәстүрлі СІМ пайдалану өткен жылдан бері тұтынушылық және кәсіпорын қолданбаларында тартымдылыққа ие болды. Тұтынушы қолданбаларында күшті аутентификацияны пайдалану әсіресе тез өсті. Егер 2017 жылы компаниялардың 5%-ы ғана пайдаланса, 2018 жылы ол үш есе көп – 16%-ды құрады. Мұны ашық кілт криптографиясы (PKC) алгоритмдерін қолдайтын таңбалауыштардың қолжетімділігінің жоғарылауымен түсіндіруге болады. Сонымен қатар, PSD2 және GDPR сияқты деректерді қорғаудың жаңа ережелерін қабылдағаннан кейін еуропалық реттеушілер тарапынан қысымның күшеюі Еуропадан тыс жерлерде де күшті әсер етті (соның ішінде Ресейде).
Осы сандарды толығырақ қарастырайық. Көріп отырғанымыздай, көп факторлы аутентификацияны пайдаланатын жеке тұлғалардың пайызы бір жыл ішінде әсерлі 11%-ға өсті. Бұл құпия сөзді ұнататындардың есебінен болғаны анық, өйткені Push хабарландыруларының, SMS пен биометрияның қауіпсіздігіне сенетіндердің саны өзгерген жоқ.
Бірақ корпоративтік пайдалануға арналған екі факторлы аутентификациямен бәрі жақсы емес. Біріншіден, есеп бойынша, қызметкерлердің тек 5% пароль аутентификациясынан токендерге ауыстырылған. Екіншіден, корпоративтік ортада СІМ-нің балама нұсқаларын пайдаланатындар саны 4%-ға өсті.
Мен аналитикті ойнауға тырысамын және өз түсіндірмеімді бере аламын. Жеке пайдаланушылардың цифрлық әлемінің орталығында смартфон тұрады. Сондықтан, көпшіліктің құрылғы ұсынатын мүмкіндіктерін – биометриялық аутентификацияны, SMS және Push хабарландыруларын, сондай-ақ смартфонның өзінде қолданбалар жасаған бір реттік құпия сөздерді пайдалануы таңқаларлық емес. Адамдар әдетте өздері үйреніп қалған құралдарды пайдалану кезінде қауіпсіздік пен сенімділік туралы ойламайды.
Міне, сондықтан қарапайым «дәстүрлі» аутентификация факторларын пайдаланушылардың пайызы өзгеріссіз қалады. Бірақ бұрын құпия сөздерді пайдаланғандар қаншалықты тәуекелге баратынын түсінеді және аутентификацияның жаңа факторын таңдағанда, олар ең жаңа және қауіпсіз опцияны - криптографиялық таңбалауышты таңдайды.
Корпоративтік нарыққа келетін болсақ, аутентификация қай жүйеде жүзеге асырылатынын түсіну маңызды. Егер Windows доменіне кіру жүзеге асырылса, криптографиялық белгілер пайдаланылады. Оларды 2FA үшін пайдалану мүмкіндіктері Windows және Linux жүйелерінде бұрыннан бар, бірақ балама опциялар ұзақ және іске асыру қиын. Құпия сөздерден таңбалауыштарға 5% көшу үшін көп.
Ал корпоративтік ақпараттық жүйеде 2FA енгізу көп жағдайда әзірлеушілердің біліктілігіне байланысты. Ал әзірлеушілерге криптографиялық алгоритмдердің жұмысын түсінуден гөрі, бір реттік парольдерді генерациялау үшін дайын модульдерді алу оңайырақ. Нәтижесінде, тіпті бір рет кіру немесе артықшылықты рұқсатты басқару жүйелері сияқты қауіпсіздік үшін өте маңызды қолданбалар екінші фактор ретінде OTP пайдаланады.
Дәстүрлі аутентификация әдістерінде көптеген осалдықтар
Көптеген ұйымдар бұрынғы бір факторлы жүйелерге тәуелді болып қала бергенімен, дәстүрлі көп факторлы аутентификациядағы осалдықтар барған сайын айқын бола түсуде. Бір реттік парольдер, әдетте ұзындығы алты-сегіз таңбадан тұрады, SMS арқылы жеткізіледі, аутентификацияның ең кең таралған түрі болып қала береді (әрине, пароль факторынан басқа). Ал танымал баспасөзде «екі факторлы аутентификация» немесе «екі сатылы тексеру» сөздері айтылғанда, олар әрқашан дерлік SMS бір реттік пароль аутентификациясына сілтеме жасайды.
Бұл жерде автор аздап қателескен. SMS арқылы бір реттік парольдерді жеткізу ешқашан екі факторлы аутентификация болған емес. Бұл ең таза түрде екі сатылы аутентификацияның екінші кезеңі, мұнда бірінші кезең логин мен парольді енгізу болып табылады.
2016 жылы Ұлттық стандарттар және технологиялар институты (NIST) SMS арқылы жіберілетін бір реттік құпия сөздерді пайдалануды болдырмау үшін аутентификация ережелерін жаңартты. Дегенмен, бұл ережелер салалық наразылықтардан кейін айтарлықтай жеңілдетілді.
Олай болса, сюжетті орындайық. Американдық реттеуші ескірген технология пайдаланушылардың қауіпсіздігін қамтамасыз ете алмайтынын дұрыс мойындайды және жаңа стандарттарды енгізеді. Онлайн және мобильді қосымшаларды (соның ішінде банктік) пайдаланушыларды қорғауға арналған стандарттар. Сала шын мәнінде сенімді криптографиялық таңбалауыштарды сатып алуға, қолданбаларды қайта құруға, ашық кілттер инфрақұрылымын орналастыруға қанша ақша жұмсайтынын есептеп жатыр және «артқы аяғымен көтерілуде». Бір жағынан пайдаланушылар бір реттік парольдердің сенімділігіне көз жеткізді, ал екінші жағынан NIST-ке шабуылдар болды. Нәтижесінде стандарт жұмсартылып, бұзу және құпия сөздерді ұрлау (және банктік қосымшалардағы ақша) саны күрт өсті. Бірақ бұл салаға ақша шығарудың қажеті жоқ еді.
Содан бері SMS OTP-нің тән әлсіз жақтары айқын бола бастады. Алаяқтар SMS хабарламаларын бұзудың әртүрлі әдістерін пайдаланады:
- SIM картасының қайталануы. Шабуылшылар SIM картасының көшірмесін жасайды (ұялы байланыс операторы қызметкерлерінің көмегімен немесе өз бетінше, арнайы бағдарламалық және аппараттық құралдарды пайдалана отырып). Нәтижесінде шабуылдаушы бір реттік парольмен SMS алады. Бір ерекше атақты жағдайда хакерлер тіпті криптовалюта инвесторы Майкл Турпиннің AT&T есептік жазбасын бұзып, 24 миллион долларға жуық криптовалюта ұрлады. Нәтижесінде, Турпин AT&T SIM картасының қайталануына әкелген әлсіз тексеру шараларына байланысты кінәлі екенін мәлімдеді.
Керемет логика. Сонда бұл тек AT&T кінәлі ме? Жоқ, байланыс дүкеніндегі сатушылардың сим-картаның телнұсқасын беруіне ұялы байланыс операторының кінәсі екені даусыз. Криптовалюта алмасуының аутентификация жүйесі туралы не деуге болады? Неліктен олар күшті криптографиялық белгілерді пайдаланбады? Іске асыруға ақша жұмсау өкінішті болды ма? Майклдың өзі кінәлі емес пе? Неліктен ол аутентификация механизмін өзгертуді талап етпеді немесе криптографиялық белгілер негізінде екі факторлы аутентификацияны жүзеге асыратын алмасуларды ғана пайдаланбады?
Шынайы сенімді аутентификация әдістерін енгізу кешіктіріледі, өйткені пайдаланушылар бұзу алдында таңғажайып абайсыздық танытады, содан кейін олар өздерінің проблемаларын ежелгі және «ағып кеткен» аутентификация технологияларынан басқа кез келген нәрсені және кез келген нәрсені кінәлайды.
- Зиянды бағдарлама. Мобильді зиянды бағдарламаның ең алғашқы функцияларының бірі мәтіндік хабарламаларды шабуылдаушыларға ұстап алу және жіберу болды. Сондай-ақ, браузердегі адам және ортадағы адам шабуылдары вирус жұққан ноутбуктерде немесе жұмыс үстелі құрылғыларында енгізілген кезде бір реттік құпия сөздерді ұстай алады.
Смартфондағы Сбербанк қолданбасы күй жолағында жасыл белгішені жыпылықтаған кезде, ол телефоныңызда «зиянды бағдарламаны» да іздейді. Бұл іс-шараның мақсаты - әдеттегі смартфонның сенімсіз орындау ортасын, ең болмағанда, сенімді ортаға айналдыру.
Айтпақшы, смартфон, кез келген нәрсені жасауға болатын мүлдем сенімсіз құрылғы ретінде, оны аутентификация үшін пайдаланудың тағы бір себебі. тек аппараттық токендер, олар қорғалған және вирустар мен трояндардан таза. - Әлеуметтік инженерия. Алаяқтар жәбірленушінің SMS арқылы OTP қосылғанын білгенде, олар жәбірленушіні жаңа ғана алған кодты беру үшін алдау үшін жәбірленушімен тікелей байланыса алады.
Мен алаяқтықтың бұл түрін бірнеше рет кездестірдім, мысалы, танымал интернет-барахолкада бір нәрсені сатуға тырысқанда. Мені көңілімнен шыққанша алдамақ болған алаяқты мен өзім мазақ еттім. Өкінішке орай, мен жаңалықтардан үнемі алаяқтардың тағы бір құрбаны «ойланбайды», растау кодын беріп, үлкен соманы жоғалтқанын оқимын. Мұның бәрі банктің өз қосымшаларында криптографиялық белгілерді енгізумен айналысқысы келмейтіндігінде. Өйткені, егер бірдеңе болса, клиенттер «өзі кінәлі».
Баламалы OTP жеткізу әдістері осы аутентификация әдісіндегі кейбір осалдықтарды азайтуы мүмкін болғанымен, басқа осалдықтар қалады. Оқшауланған код генерациялау қолданбалары тыңдаудан ең жақсы қорғаныс болып табылады, өйткені тіпті зиянды бағдарлама код генераторымен тікелей әрекеттесе алмайды (шындап па? Баяндама авторы қашықтан басқаруды ұмытып кетті ме?), бірақ браузерге енгізілгенде, OTPs әлі де ұсталуы мүмкін (мысалы, keylogger көмегімен), бұзылған мобильді қосымша арқылы; және оны әлеуметтік инженерия арқылы тікелей пайдаланушыдан алуға болады.
Құрылғыны тану сияқты бірнеше тәуекелді бағалау құралдарын пайдалану (заңды пайдаланушыға тиесілі емес құрылғылардан транзакцияларды орындау әрекеттерін анықтау), геолокация (Мәскеуде ғана болған қолданушы Новосібірден операция жасамақшы) және мінез-құлық талдауы осалдықтарды шешу үшін маңызды, бірақ шешімнің ешқайсысы панацея емес. Әрбір жағдай мен деректер түрі үшін тәуекелдерді мұқият бағалау және аутентификацияның қандай технологиясын қолдану керектігін таңдау қажет.
Аутентификацияның ешбір шешімі панацея емес
Сурет 2. Аутентификация опциялары кестесі
| Түпнұсқалық растама | Фактор | сипаттамасы | Негізгі осалдықтар |
| Құпия сөз немесе PIN | Білім | Әріптерді, сандарды және басқа да бірқатар таңбаларды қамтуы мүмкін тұрақты мән | Ұстауға, тыңдауға, ұрлауға, алуға немесе бұзуға болады |
| Білімге негізделген аутентификация | Білім | Жауаптарын тек заңды пайдаланушы біле алатын сұрақтар қояды | Әлеуметтік инженерия әдістерін қолдану арқылы ұстауға, алуға, алуға болады |
| Жабдық OTP () | Меншік | Бір реттік құпия сөздерді жасайтын арнайы құрылғы | Код ұсталып, қайталануы мүмкін немесе құрылғы ұрлануы мүмкін |
| Бағдарламалық қамтамасыз етудің OTPs | Меншік | Бір реттік құпия сөздерді жасайтын қолданба (мобильді, браузер арқылы қолжетімді немесе кодтарды электрондық пошта арқылы жіберу) | Код ұсталып, қайталануы мүмкін немесе құрылғы ұрлануы мүмкін |
| SMS OTP | Меншік | SMS мәтіндік хабарлама арқылы жеткізілетін бір реттік пароль | Код ұсталып, қайталануы мүмкін немесе смартфон немесе SIM картасы ұрлануы немесе SIM картасының көшірмесі жасалуы мүмкін. |
| Смарт карталар () | Меншік | Аутентификация үшін ашық кілт инфрақұрылымын пайдаланатын криптографиялық чип пен қауіпсіз кілт жады бар карта | Физикалық ұрланған болуы мүмкін (бірақ шабуылдаушы PIN кодын білмей құрылғыны пайдалана алмайды; бірнеше қате енгізу әрекеті болған жағдайда құрылғы блокталады) |
| Қауіпсіздік кілттері - белгілер (, ) | Меншік | Аутентификация үшін ашық кілт инфрақұрылымын пайдаланатын криптографиялық чип пен қауіпсіз кілт жады бар USB құрылғысы | Физикалық түрде ұрлануы мүмкін (бірақ шабуылдаушы PIN кодын білмей құрылғыны пайдалана алмайды; бірнеше рет қате енгізу әрекеті болған жағдайда құрылғы бұғатталады) |
| Құрылғымен байланыстыру | Меншік | Белгілі бір құрылғының пайдаланылып жатқанына көз жеткізу үшін жиі JavaScript арқылы немесе cookie файлдары мен Flash ортақ нысандары сияқты маркерлерді пайдаланып профиль жасайтын процесс | Токендерді ұрлауға (көшіруге) болады және заңды құрылғының сипаттамаларын оның құрылғысында шабуылдаушы еліктей алады. |
| Мінез-құлық | Тұқым қуалаушылық | Пайдаланушының құрылғымен немесе бағдарламамен қалай әрекеттесетінін талдайды | Мінез-құлыққа еліктеуге болады |
| Саусақ іздері | Тұқым қуалаушылық | Сақталған саусақ іздері оптикалық немесе электронды түрде түсірілгендермен салыстырылады | Кескінді ұрлап, аутентификация үшін пайдалануға болады |
| Көзді сканерлеу | Тұқым қуалаушылық | Ирис үлгісі сияқты көз сипаттамаларын жаңа оптикалық сканерлеумен салыстырады | Кескінді ұрлап, аутентификация үшін пайдалануға болады |
| Бетті тану | Тұқым қуалаушылық | Бет сипаттамалары жаңа оптикалық сканерлеумен салыстырылады | Кескінді ұрлап, аутентификация үшін пайдалануға болады |
| Дауысты тану | Тұқым қуалаушылық | Жазылған дауыс үлгісінің сипаттамалары жаңа үлгілермен салыстырылады | Жазба ұрлануы және аутентификация үшін пайдаланылуы немесе эмуляциялануы мүмкін |
Басылымның екінші бөлімінде бізді ең дәмді нәрселер күтіп тұр - бірінші бөлімде келтірілген қорытындылар мен ұсыныстар негізделген сандар мен фактілер. Пайдаланушы қолданбаларында және корпоративтік жүйелерде аутентификация бөлек талқыланады.
Кездескенше!
Ақпарат көзі: www.habr.com