ಪ್ರೊಹೋಸ್ಟರ್ > Блог > ಇಂಟರ್ನೆಟ್ ಸುದ್ದಿ > ದೃಢೀಕರಣ ಮತ್ತು ಪಾಸ್‌ವರ್ಡ್‌ಗಳಿಗೆ ಏನಾಗುತ್ತದೆ? ಕಾಮೆಂಟ್‌ಗಳೊಂದಿಗೆ ಜಾವೆಲಿನ್ ವರದಿಯ ಅನುವಾದ “ಸ್ಟೇಟ್ ಆಫ್ ಸ್ಟ್ರಾಂಗ್ ಅಥೆಂಟಿಕೇಶನ್”

ದೃಢೀಕರಣ ಮತ್ತು ಪಾಸ್‌ವರ್ಡ್‌ಗಳಿಗೆ ಏನಾಗುತ್ತದೆ? ಕಾಮೆಂಟ್‌ಗಳೊಂದಿಗೆ ಜಾವೆಲಿನ್ ವರದಿಯ ಅನುವಾದ “ಸ್ಟೇಟ್ ಆಫ್ ಸ್ಟ್ರಾಂಗ್ ಅಥೆಂಟಿಕೇಶನ್”

ದೃಢೀಕರಣ ಮತ್ತು ಪಾಸ್‌ವರ್ಡ್‌ಗಳಿಗೆ ಏನಾಗುತ್ತದೆ? ಕಾಮೆಂಟ್‌ಗಳೊಂದಿಗೆ ಜಾವೆಲಿನ್ ವರದಿಯ ಅನುವಾದ “ಸ್ಟೇಟ್ ಆಫ್ ಸ್ಟ್ರಾಂಗ್ ಅಥೆಂಟಿಕೇಶನ್”

ವರದಿಯ ಶೀರ್ಷಿಕೆಯಿಂದ ಸ್ಪಾಯ್ಲರ್: "ಹೊಸ ಅಪಾಯಗಳು ಮತ್ತು ನಿಯಂತ್ರಕ ಅಗತ್ಯತೆಗಳ ಬೆದರಿಕೆಯಿಂದಾಗಿ ಬಲವಾದ ದೃಢೀಕರಣದ ಬಳಕೆಯು ಹೆಚ್ಚಾಗುತ್ತದೆ."
ಸಂಶೋಧನಾ ಕಂಪನಿ "ಜಾವೆಲಿನ್ ಸ್ಟ್ರಾಟಜಿ & ರಿಸರ್ಚ್" "ದಿ ಸ್ಟೇಟ್ ಆಫ್ ಸ್ಟ್ರಾಂಗ್ ಅಥೆಂಟಿಕೇಶನ್ 2019" ವರದಿಯನ್ನು ಪ್ರಕಟಿಸಿತು ( ಪಿಡಿಎಫ್ ರೂಪದಲ್ಲಿ ಮೂಲವನ್ನು ಇಲ್ಲಿ ಡೌನ್‌ಲೋಡ್ ಮಾಡಬಹುದು) ಈ ವರದಿಯು ಹೇಳುತ್ತದೆ: ಅಮೇರಿಕನ್ ಮತ್ತು ಯುರೋಪಿಯನ್ ಕಂಪನಿಗಳು ಎಷ್ಟು ಶೇಕಡಾವಾರು ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಬಳಸುತ್ತವೆ (ಮತ್ತು ಕೆಲವು ಜನರು ಈಗ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಏಕೆ ಬಳಸುತ್ತಾರೆ); ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಟೋಕನ್‌ಗಳ ಆಧಾರದ ಮೇಲೆ ಎರಡು-ಅಂಶದ ದೃಢೀಕರಣದ ಬಳಕೆ ಏಕೆ ವೇಗವಾಗಿ ಬೆಳೆಯುತ್ತಿದೆ; SMS ಮೂಲಕ ಕಳುಹಿಸಲಾದ ಒಂದು-ಬಾರಿ ಕೋಡ್‌ಗಳು ಏಕೆ ಸುರಕ್ಷಿತವಾಗಿಲ್ಲ.

ಉದ್ಯಮಗಳು ಮತ್ತು ಗ್ರಾಹಕ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ ದೃಢೀಕರಣದ ಪ್ರಸ್ತುತ, ಹಿಂದಿನ ಮತ್ತು ಭವಿಷ್ಯದಲ್ಲಿ ಆಸಕ್ತಿ ಹೊಂದಿರುವ ಯಾರಾದರೂ ಸ್ವಾಗತಾರ್ಹ.

ಅನುವಾದಕರಿಂದ

ಅಯ್ಯೋ, ಈ ವರದಿಯನ್ನು ಬರೆಯಲಾದ ಭಾಷೆ ಸಾಕಷ್ಟು "ಶುಷ್ಕ" ಮತ್ತು ಔಪಚಾರಿಕವಾಗಿದೆ. ಮತ್ತು ಒಂದು ಸಣ್ಣ ವಾಕ್ಯದಲ್ಲಿ "ದೃಢೀಕರಣ" ಎಂಬ ಪದದ ಐದು ಬಾರಿ ಬಳಕೆಯು ಭಾಷಾಂತರಕಾರನ ವಕ್ರ ಕೈಗಳು (ಅಥವಾ ಮಿದುಳುಗಳು) ಅಲ್ಲ, ಆದರೆ ಲೇಖಕರ ಹುಚ್ಚಾಟಿಕೆ. ಎರಡು ಆಯ್ಕೆಗಳಿಂದ ಭಾಷಾಂತರಿಸುವಾಗ - ಓದುಗರಿಗೆ ಮೂಲಕ್ಕೆ ಹತ್ತಿರವಿರುವ ಪಠ್ಯವನ್ನು ಅಥವಾ ಹೆಚ್ಚು ಆಸಕ್ತಿದಾಯಕವನ್ನು ನೀಡಲು, ನಾನು ಕೆಲವೊಮ್ಮೆ ಮೊದಲನೆಯದನ್ನು ಮತ್ತು ಕೆಲವೊಮ್ಮೆ ಎರಡನೆಯದನ್ನು ಆರಿಸಿಕೊಂಡಿದ್ದೇನೆ. ಆದರೆ ತಾಳ್ಮೆಯಿಂದಿರಿ, ಪ್ರಿಯ ಓದುಗರೇ, ವರದಿಯ ವಿಷಯಗಳು ಯೋಗ್ಯವಾಗಿವೆ.

ಕಥೆಗಾಗಿ ಕೆಲವು ಮುಖ್ಯವಲ್ಲದ ಮತ್ತು ಅನಗತ್ಯ ತುಣುಕುಗಳನ್ನು ತೆಗೆದುಹಾಕಲಾಗಿದೆ, ಇಲ್ಲದಿದ್ದರೆ ಹೆಚ್ಚಿನವರು ಸಂಪೂರ್ಣ ಪಠ್ಯವನ್ನು ಪಡೆಯಲು ಸಾಧ್ಯವಾಗುತ್ತಿರಲಿಲ್ಲ. "ಅನ್ ಕಟ್" ವರದಿಯನ್ನು ಓದಲು ಬಯಸುವವರು ಲಿಂಕ್ ಅನ್ನು ಅನುಸರಿಸುವ ಮೂಲಕ ಮೂಲ ಭಾಷೆಯಲ್ಲಿ ಹಾಗೆ ಮಾಡಬಹುದು.

ದುರದೃಷ್ಟವಶಾತ್, ಲೇಖಕರು ಯಾವಾಗಲೂ ಪರಿಭಾಷೆಯೊಂದಿಗೆ ಜಾಗರೂಕರಾಗಿರುವುದಿಲ್ಲ. ಹೀಗಾಗಿ, ಒಂದು-ಬಾರಿ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು (ಒನ್ ಟೈಮ್ ಪಾಸ್‌ವರ್ಡ್ - OTP) ಕೆಲವೊಮ್ಮೆ "ಪಾಸ್‌ವರ್ಡ್‌ಗಳು" ಮತ್ತು ಕೆಲವೊಮ್ಮೆ "ಕೋಡ್‌ಗಳು" ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ. ದೃಢೀಕರಣ ವಿಧಾನಗಳೊಂದಿಗೆ ಇದು ಇನ್ನೂ ಕೆಟ್ಟದಾಗಿದೆ. "ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಕೀಗಳನ್ನು ಬಳಸಿಕೊಂಡು ದೃಢೀಕರಣ" ಮತ್ತು "ಬಲವಾದ ದೃಢೀಕರಣ" ಒಂದೇ ಎಂದು ಊಹಿಸಲು ತರಬೇತಿ ಪಡೆಯದ ಓದುಗರಿಗೆ ಯಾವಾಗಲೂ ಸುಲಭವಲ್ಲ. ನಾನು ಸಾಧ್ಯವಾದಷ್ಟು ನಿಯಮಗಳನ್ನು ಏಕೀಕರಿಸಲು ಪ್ರಯತ್ನಿಸಿದೆ, ಮತ್ತು ವರದಿಯಲ್ಲಿಯೇ ಅವರ ವಿವರಣೆಯೊಂದಿಗೆ ಒಂದು ತುಣುಕು ಇದೆ.

ಅದೇನೇ ಇದ್ದರೂ, ವರದಿಯನ್ನು ಓದಲು ಹೆಚ್ಚು ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ ಏಕೆಂದರೆ ಇದು ಅನನ್ಯ ಸಂಶೋಧನಾ ಫಲಿತಾಂಶಗಳು ಮತ್ತು ಸರಿಯಾದ ತೀರ್ಮಾನಗಳನ್ನು ಒಳಗೊಂಡಿದೆ.

ಎಲ್ಲಾ ಅಂಕಿಅಂಶಗಳು ಮತ್ತು ಸತ್ಯಗಳನ್ನು ಸಣ್ಣದೊಂದು ಬದಲಾವಣೆಗಳಿಲ್ಲದೆ ಪ್ರಸ್ತುತಪಡಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ನೀವು ಅವರೊಂದಿಗೆ ಒಪ್ಪದಿದ್ದರೆ, ಅನುವಾದಕರೊಂದಿಗೆ ಅಲ್ಲ, ಆದರೆ ವರದಿಯ ಲೇಖಕರೊಂದಿಗೆ ವಾದಿಸುವುದು ಉತ್ತಮ. ಮತ್ತು ನನ್ನ ಕಾಮೆಂಟ್‌ಗಳು ಇಲ್ಲಿವೆ (ಉಲ್ಲೇಖಗಳಂತೆ ಮತ್ತು ಪಠ್ಯದಲ್ಲಿ ಗುರುತಿಸಲಾಗಿದೆ ಇಟಾಲಿಯನ್) ನನ್ನ ಮೌಲ್ಯದ ತೀರ್ಪು ಮತ್ತು ಅವುಗಳಲ್ಲಿ ಪ್ರತಿಯೊಂದರ ಮೇಲೆ (ಹಾಗೆಯೇ ಅನುವಾದದ ಗುಣಮಟ್ಟದ ಮೇಲೆ) ವಾದಿಸಲು ನಾನು ಸಂತೋಷಪಡುತ್ತೇನೆ.

ಅವಲೋಕನ

ಇತ್ತೀಚಿನ ದಿನಗಳಲ್ಲಿ, ಗ್ರಾಹಕರೊಂದಿಗೆ ಸಂವಹನದ ಡಿಜಿಟಲ್ ಚಾನಲ್‌ಗಳು ವ್ಯವಹಾರಗಳಿಗೆ ಎಂದಿಗಿಂತಲೂ ಹೆಚ್ಚು ಮುಖ್ಯವಾಗಿದೆ. ಮತ್ತು ಕಂಪನಿಯೊಳಗೆ, ಉದ್ಯೋಗಿಗಳ ನಡುವಿನ ಸಂವಹನವು ಹಿಂದೆಂದಿಗಿಂತಲೂ ಹೆಚ್ಚು ಡಿಜಿಟಲ್ ಆಧಾರಿತವಾಗಿದೆ. ಮತ್ತು ಈ ಸಂವಹನಗಳು ಎಷ್ಟು ಸುರಕ್ಷಿತವಾಗಿರುತ್ತವೆ ಎಂಬುದು ಬಳಕೆದಾರರ ದೃಢೀಕರಣದ ಆಯ್ಕೆ ವಿಧಾನವನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ. ಬಳಕೆದಾರರ ಖಾತೆಗಳನ್ನು ಬೃಹತ್ ಪ್ರಮಾಣದಲ್ಲಿ ಹ್ಯಾಕ್ ಮಾಡಲು ದಾಳಿಕೋರರು ದುರ್ಬಲ ದೃಢೀಕರಣವನ್ನು ಬಳಸುತ್ತಾರೆ. ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿ, ಬಳಕೆದಾರರ ಖಾತೆಗಳು ಮತ್ತು ಡೇಟಾವನ್ನು ಉತ್ತಮವಾಗಿ ರಕ್ಷಿಸಲು ವ್ಯವಹಾರಗಳನ್ನು ಒತ್ತಾಯಿಸಲು ನಿಯಂತ್ರಕರು ಮಾನದಂಡಗಳನ್ನು ಬಿಗಿಗೊಳಿಸುತ್ತಿದ್ದಾರೆ.

ದೃಢೀಕರಣ-ಸಂಬಂಧಿತ ಬೆದರಿಕೆಗಳು ಗ್ರಾಹಕ ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಮೀರಿ ವಿಸ್ತರಿಸುತ್ತವೆ; ದಾಳಿಕೋರರು ಎಂಟರ್‌ಪ್ರೈಸ್‌ನಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿರುವ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಿಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಬಹುದು. ಈ ಕಾರ್ಯಾಚರಣೆಯು ಕಾರ್ಪೊರೇಟ್ ಬಳಕೆದಾರರನ್ನು ಸೋಗು ಹಾಕಲು ಅವರಿಗೆ ಅನುಮತಿಸುತ್ತದೆ. ದುರ್ಬಲ ದೃಢೀಕರಣದೊಂದಿಗೆ ಪ್ರವೇಶ ಬಿಂದುಗಳನ್ನು ಬಳಸುವ ದಾಳಿಕೋರರು ಡೇಟಾವನ್ನು ಕದಿಯಬಹುದು ಮತ್ತು ಇತರ ಮೋಸದ ಚಟುವಟಿಕೆಗಳನ್ನು ಮಾಡಬಹುದು. ಅದೃಷ್ಟವಶಾತ್, ಇದನ್ನು ಎದುರಿಸಲು ಕ್ರಮಗಳಿವೆ. ಗ್ರಾಹಕರ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಮತ್ತು ಎಂಟರ್‌ಪ್ರೈಸ್ ವ್ಯವಹಾರ ವ್ಯವಸ್ಥೆಗಳ ಮೇಲೆ ದಾಳಿಕೋರರಿಂದ ದಾಳಿಯ ಅಪಾಯವನ್ನು ಗಣನೀಯವಾಗಿ ಕಡಿಮೆ ಮಾಡಲು ಬಲವಾದ ದೃಢೀಕರಣವು ಸಹಾಯ ಮಾಡುತ್ತದೆ.

ಈ ಅಧ್ಯಯನವು ಪರಿಶೀಲಿಸುತ್ತದೆ: ಎಂಟರ್‌ಪ್ರೈಸ್‌ಗಳು ಅಂತಿಮ-ಬಳಕೆದಾರ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಮತ್ತು ಎಂಟರ್‌ಪ್ರೈಸ್ ವ್ಯವಹಾರ ವ್ಯವಸ್ಥೆಗಳನ್ನು ರಕ್ಷಿಸಲು ದೃಢೀಕರಣವನ್ನು ಹೇಗೆ ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತವೆ; ದೃಢೀಕರಣ ಪರಿಹಾರವನ್ನು ಆಯ್ಕೆಮಾಡುವಾಗ ಅವರು ಪರಿಗಣಿಸುವ ಅಂಶಗಳು; ಅವರ ಸಂಸ್ಥೆಗಳಲ್ಲಿ ಬಲವಾದ ದೃಢೀಕರಣವು ವಹಿಸುವ ಪಾತ್ರ; ಈ ಸಂಸ್ಥೆಗಳು ಪಡೆಯುವ ಪ್ರಯೋಜನಗಳು.

ಸಾರಾಂಶ

ಪ್ರಮುಖ ಸಂಶೋಧನೆಗಳು

2017 ರಿಂದ, ಬಲವಾದ ದೃಢೀಕರಣದ ಬಳಕೆಯು ತೀವ್ರವಾಗಿ ಹೆಚ್ಚಾಗಿದೆ. ಸಾಂಪ್ರದಾಯಿಕ ದೃಢೀಕರಣ ಪರಿಹಾರಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುವ ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ದುರ್ಬಲತೆಗಳೊಂದಿಗೆ, ಸಂಸ್ಥೆಗಳು ತಮ್ಮ ದೃಢೀಕರಣ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಬಲವಾದ ದೃಢೀಕರಣದೊಂದಿಗೆ ಬಲಪಡಿಸುತ್ತಿವೆ. ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಮಲ್ಟಿ-ಫ್ಯಾಕ್ಟರ್ ಅಥೆಂಟಿಕೇಶನ್ (MFA) ಅನ್ನು ಬಳಸುವ ಸಂಸ್ಥೆಗಳ ಸಂಖ್ಯೆಯು ಗ್ರಾಹಕ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಿಗಾಗಿ 2017 ರಿಂದ ಮೂರು ಪಟ್ಟು ಹೆಚ್ಚಾಗಿದೆ ಮತ್ತು ಎಂಟರ್‌ಪ್ರೈಸ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಿಗಾಗಿ ಸುಮಾರು 50% ರಷ್ಟು ಹೆಚ್ಚಾಗಿದೆ. ಬಯೋಮೆಟ್ರಿಕ್ ದೃಢೀಕರಣದ ಹೆಚ್ಚುತ್ತಿರುವ ಲಭ್ಯತೆಯಿಂದಾಗಿ ಮೊಬೈಲ್ ದೃಢೀಕರಣದಲ್ಲಿ ವೇಗವಾಗಿ ಬೆಳವಣಿಗೆ ಕಂಡುಬರುತ್ತದೆ.

ಇಲ್ಲಿ ನಾವು "ಗುಡುಗು ಹೊಡೆಯುವವರೆಗೂ, ಒಬ್ಬ ಮನುಷ್ಯನು ತನ್ನನ್ನು ತಾನೇ ದಾಟಿಕೊಳ್ಳುವುದಿಲ್ಲ" ಎಂಬ ಮಾತಿನ ದೃಷ್ಟಾಂತವನ್ನು ನೋಡುತ್ತೇವೆ. ಪಾಸ್ವರ್ಡ್ಗಳ ಅಭದ್ರತೆಯ ಬಗ್ಗೆ ತಜ್ಞರು ಎಚ್ಚರಿಸಿದಾಗ, ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣವನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಯಾರೂ ಹಸಿವಿನಲ್ಲಿ ಇರಲಿಲ್ಲ. ಹ್ಯಾಕರ್‌ಗಳು ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಕದಿಯಲು ಪ್ರಾರಂಭಿಸಿದ ತಕ್ಷಣ, ಜನರು ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣವನ್ನು ಅಳವಡಿಸಲು ಪ್ರಾರಂಭಿಸಿದರು.

ನಿಜ, ವ್ಯಕ್ತಿಗಳು 2FA ಅನ್ನು ಹೆಚ್ಚು ಸಕ್ರಿಯವಾಗಿ ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತಿದ್ದಾರೆ. ಮೊದಲನೆಯದಾಗಿ, ಸ್ಮಾರ್ಟ್‌ಫೋನ್‌ಗಳಲ್ಲಿ ನಿರ್ಮಿಸಲಾದ ಬಯೋಮೆಟ್ರಿಕ್ ದೃಢೀಕರಣವನ್ನು ಅವಲಂಬಿಸಿ ಅವರ ಭಯವನ್ನು ಶಾಂತಗೊಳಿಸಲು ಅವರಿಗೆ ಸುಲಭವಾಗಿದೆ, ಇದು ವಾಸ್ತವವಾಗಿ ತುಂಬಾ ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲ. ಸಂಸ್ಥೆಗಳು ಟೋಕನ್‌ಗಳನ್ನು ಖರೀದಿಸಲು ಹಣವನ್ನು ಖರ್ಚು ಮಾಡಬೇಕಾಗುತ್ತದೆ ಮತ್ತು ಅವುಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಕೆಲಸವನ್ನು (ವಾಸ್ತವವಾಗಿ, ತುಂಬಾ ಸರಳ) ಕೈಗೊಳ್ಳಬೇಕು. ಮತ್ತು ಎರಡನೆಯದಾಗಿ, ಸೋಮಾರಿಯಾದ ಜನರು ಮಾತ್ರ ಫೇಸ್‌ಬುಕ್ ಮತ್ತು ಡ್ರಾಪ್‌ಬಾಕ್ಸ್‌ನಂತಹ ಸೇವೆಗಳಿಂದ ಪಾಸ್‌ವರ್ಡ್ ಸೋರಿಕೆಯ ಬಗ್ಗೆ ಬರೆದಿಲ್ಲ, ಆದರೆ ಯಾವುದೇ ಸಂದರ್ಭಗಳಲ್ಲಿ ಈ ಸಂಸ್ಥೆಗಳ ಸಿಐಒಗಳು ಸಂಸ್ಥೆಗಳಲ್ಲಿ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಹೇಗೆ ಕದ್ದಿದ್ದಾರೆ (ಮತ್ತು ಮುಂದೆ ಏನಾಯಿತು) ಕುರಿತು ಕಥೆಗಳನ್ನು ಹಂಚಿಕೊಳ್ಳುವುದಿಲ್ಲ.

ಬಲವಾದ ದೃಢೀಕರಣವನ್ನು ಬಳಸದವರು ತಮ್ಮ ವ್ಯಾಪಾರ ಮತ್ತು ಗ್ರಾಹಕರಿಗೆ ತಮ್ಮ ಅಪಾಯವನ್ನು ಕಡಿಮೆ ಅಂದಾಜು ಮಾಡುತ್ತಿದ್ದಾರೆ. ಪ್ರಸ್ತುತ ಪ್ರಬಲ ದೃಢೀಕರಣವನ್ನು ಬಳಸದ ಕೆಲವು ಸಂಸ್ಥೆಗಳು ಲಾಗಿನ್‌ಗಳು ಮತ್ತು ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಬಳಕೆದಾರರ ದೃಢೀಕರಣದ ಅತ್ಯಂತ ಪರಿಣಾಮಕಾರಿ ಮತ್ತು ಬಳಸಲು ಸುಲಭವಾದ ವಿಧಾನಗಳಲ್ಲಿ ಒಂದಾಗಿ ವೀಕ್ಷಿಸಲು ಒಲವು ತೋರುತ್ತವೆ. ಇತರರು ತಾವು ಹೊಂದಿರುವ ಡಿಜಿಟಲ್ ಸ್ವತ್ತುಗಳ ಮೌಲ್ಯವನ್ನು ನೋಡುವುದಿಲ್ಲ. ಎಲ್ಲಾ ನಂತರ, ಸೈಬರ್ ಅಪರಾಧಿಗಳು ಯಾವುದೇ ಗ್ರಾಹಕ ಮತ್ತು ವ್ಯವಹಾರ ಮಾಹಿತಿಯಲ್ಲಿ ಆಸಕ್ತಿ ಹೊಂದಿದ್ದಾರೆ ಎಂದು ಪರಿಗಣಿಸುವುದು ಯೋಗ್ಯವಾಗಿದೆ. ತಮ್ಮ ಉದ್ಯೋಗಿಗಳನ್ನು ದೃಢೀಕರಿಸಲು ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಬಳಸುವ ಮೂರನೇ ಎರಡರಷ್ಟು ಕಂಪನಿಗಳು ಹಾಗೆ ಮಾಡುತ್ತವೆ ಏಕೆಂದರೆ ಅವರು ರಕ್ಷಿಸುವ ಮಾಹಿತಿಯ ಪ್ರಕಾರಕ್ಕೆ ಪಾಸ್‌ವರ್ಡ್‌ಗಳು ಸಾಕಷ್ಟು ಉತ್ತಮವೆಂದು ಅವರು ನಂಬುತ್ತಾರೆ.

ಆದಾಗ್ಯೂ, ಪಾಸ್ವರ್ಡ್ಗಳು ಸಮಾಧಿಗೆ ಹೋಗುತ್ತಿವೆ. ಪಾಸ್‌ವರ್ಡ್ ಅವಲಂಬನೆಯು ಕಳೆದ ವರ್ಷದಲ್ಲಿ ಗ್ರಾಹಕ ಮತ್ತು ಎಂಟರ್‌ಪ್ರೈಸ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಿಗೆ (44% ರಿಂದ 31% ವರೆಗೆ ಮತ್ತು ಕ್ರಮವಾಗಿ 56% ರಿಂದ 47% ವರೆಗೆ) ಗಮನಾರ್ಹವಾಗಿ ಕುಸಿದಿದೆ, ಏಕೆಂದರೆ ಸಂಸ್ಥೆಗಳು ಸಾಂಪ್ರದಾಯಿಕ MFA ಮತ್ತು ಬಲವಾದ ದೃಢೀಕರಣದ ಬಳಕೆಯನ್ನು ಹೆಚ್ಚಿಸುತ್ತವೆ.
ಆದರೆ ನಾವು ಒಟ್ಟಾರೆಯಾಗಿ ಪರಿಸ್ಥಿತಿಯನ್ನು ನೋಡಿದರೆ, ದುರ್ಬಲ ದೃಢೀಕರಣ ವಿಧಾನಗಳು ಇನ್ನೂ ಮೇಲುಗೈ ಸಾಧಿಸುತ್ತವೆ. ಬಳಕೆದಾರರ ದೃಢೀಕರಣಕ್ಕಾಗಿ, ಸುಮಾರು ಕಾಲು ಭಾಗದಷ್ಟು ಸಂಸ್ಥೆಗಳು ಭದ್ರತಾ ಪ್ರಶ್ನೆಗಳೊಂದಿಗೆ SMS OTP (ಒಂದು-ಬಾರಿಯ ಪಾಸ್‌ವರ್ಡ್) ಅನ್ನು ಬಳಸುತ್ತವೆ. ಪರಿಣಾಮವಾಗಿ, ದುರ್ಬಲತೆಯ ವಿರುದ್ಧ ರಕ್ಷಿಸಲು ಹೆಚ್ಚುವರಿ ಭದ್ರತಾ ಕ್ರಮಗಳನ್ನು ಅಳವಡಿಸಬೇಕು, ಇದು ವೆಚ್ಚವನ್ನು ಹೆಚ್ಚಿಸುತ್ತದೆ. ಹಾರ್ಡ್‌ವೇರ್ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಕೀಗಳಂತಹ ಹೆಚ್ಚು ಸುರಕ್ಷಿತವಾದ ದೃಢೀಕರಣ ವಿಧಾನಗಳ ಬಳಕೆಯನ್ನು ಸರಿಸುಮಾರು 5% ಸಂಸ್ಥೆಗಳಲ್ಲಿ ಕಡಿಮೆ ಬಾರಿ ಬಳಸಲಾಗುತ್ತದೆ.

ವಿಕಸನಗೊಳ್ಳುತ್ತಿರುವ ನಿಯಂತ್ರಕ ಪರಿಸರವು ಗ್ರಾಹಕರ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಿಗೆ ಬಲವಾದ ದೃಢೀಕರಣದ ಅಳವಡಿಕೆಯನ್ನು ವೇಗಗೊಳಿಸಲು ಭರವಸೆ ನೀಡುತ್ತದೆ. PSD2 ಪರಿಚಯದೊಂದಿಗೆ, EU ಮತ್ತು ಕ್ಯಾಲಿಫೋರ್ನಿಯಾದಂತಹ ಹಲವಾರು US ರಾಜ್ಯಗಳಲ್ಲಿ ಹೊಸ ಡೇಟಾ ಸಂರಕ್ಷಣಾ ನಿಯಮಗಳು, ಕಂಪನಿಗಳು ಶಾಖವನ್ನು ಅನುಭವಿಸುತ್ತಿವೆ. ಸುಮಾರು 70% ಕಂಪನಿಗಳು ತಮ್ಮ ಗ್ರಾಹಕರಿಗೆ ಬಲವಾದ ದೃಢೀಕರಣವನ್ನು ಒದಗಿಸಲು ಬಲವಾದ ನಿಯಂತ್ರಕ ಒತ್ತಡವನ್ನು ಎದುರಿಸುತ್ತವೆ ಎಂದು ಒಪ್ಪಿಕೊಳ್ಳುತ್ತಾರೆ. ಅರ್ಧಕ್ಕಿಂತ ಹೆಚ್ಚು ಉದ್ಯಮಗಳು ಕೆಲವೇ ವರ್ಷಗಳಲ್ಲಿ ತಮ್ಮ ದೃಢೀಕರಣ ವಿಧಾನಗಳು ನಿಯಂತ್ರಕ ಮಾನದಂಡಗಳನ್ನು ಪೂರೈಸಲು ಸಾಕಾಗುವುದಿಲ್ಲ ಎಂದು ನಂಬುತ್ತಾರೆ.

ಕಾರ್ಯಕ್ರಮಗಳು ಮತ್ತು ಸೇವೆಗಳ ಬಳಕೆದಾರರ ವೈಯಕ್ತಿಕ ಡೇಟಾದ ರಕ್ಷಣೆಗೆ ರಷ್ಯಾದ ಮತ್ತು ಅಮೇರಿಕನ್-ಯುರೋಪಿಯನ್ ಶಾಸಕರ ವಿಧಾನಗಳಲ್ಲಿನ ವ್ಯತ್ಯಾಸವು ಸ್ಪಷ್ಟವಾಗಿ ಗೋಚರಿಸುತ್ತದೆ. ರಷ್ಯನ್ನರು ಹೇಳುತ್ತಾರೆ: ಆತ್ಮೀಯ ಸೇವಾ ಮಾಲೀಕರೇ, ನಿಮಗೆ ಬೇಕಾದುದನ್ನು ಮತ್ತು ನಿಮಗೆ ಬೇಕಾದುದನ್ನು ಮಾಡಿ, ಆದರೆ ನಿಮ್ಮ ನಿರ್ವಾಹಕರು ಡೇಟಾಬೇಸ್ ಅನ್ನು ವಿಲೀನಗೊಳಿಸಿದರೆ, ನಾವು ನಿಮ್ಮನ್ನು ಶಿಕ್ಷಿಸುತ್ತೇವೆ. ಅವರು ವಿದೇಶದಲ್ಲಿ ಹೇಳುತ್ತಾರೆ: ನೀವು ಕ್ರಮಗಳ ಗುಂಪನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬೇಕು ಅನುಮತಿಸುವುದಿಲ್ಲ ಬೇಸ್ ಅನ್ನು ಹರಿಸುತ್ತವೆ. ಅದಕ್ಕಾಗಿಯೇ ಕಟ್ಟುನಿಟ್ಟಾದ ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣದ ಅವಶ್ಯಕತೆಗಳನ್ನು ಅಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತಿದೆ.
ನಿಜ, ನಮ್ಮ ಶಾಸಕಾಂಗ ಯಂತ್ರವು ಒಂದು ದಿನ ತನ್ನ ಇಂದ್ರಿಯಗಳಿಗೆ ಬರುವುದಿಲ್ಲ ಮತ್ತು ಪಾಶ್ಚಾತ್ಯ ಅನುಭವವನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಳ್ಳುವುದಿಲ್ಲ ಎಂಬುದು ಸತ್ಯದಿಂದ ದೂರವಿದೆ. ನಂತರ ಪ್ರತಿಯೊಬ್ಬರೂ 2FA ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಬೇಕಾಗಿದೆ ಎಂದು ತಿರುಗುತ್ತದೆ, ಇದು ರಷ್ಯಾದ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಮಾನದಂಡಗಳಿಗೆ ಅನುಗುಣವಾಗಿರುತ್ತದೆ ಮತ್ತು ತುರ್ತಾಗಿ.

ಬಲವಾದ ದೃಢೀಕರಣ ಚೌಕಟ್ಟನ್ನು ಸ್ಥಾಪಿಸುವುದರಿಂದ ಕಂಪನಿಗಳು ತಮ್ಮ ಗಮನವನ್ನು ನಿಯಂತ್ರಕ ಅವಶ್ಯಕತೆಗಳನ್ನು ಪೂರೈಸುವುದರಿಂದ ಗ್ರಾಹಕರ ಅಗತ್ಯಗಳನ್ನು ಪೂರೈಸಲು ಅನುಮತಿಸುತ್ತದೆ. ಇನ್ನೂ ಸರಳ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಬಳಸುತ್ತಿರುವ ಅಥವಾ SMS ಮೂಲಕ ಕೋಡ್‌ಗಳನ್ನು ಸ್ವೀಕರಿಸುತ್ತಿರುವ ಸಂಸ್ಥೆಗಳಿಗೆ, ದೃಢೀಕರಣ ವಿಧಾನವನ್ನು ಆಯ್ಕೆಮಾಡುವಾಗ ಪ್ರಮುಖ ಅಂಶವೆಂದರೆ ನಿಯಂತ್ರಕ ಅಗತ್ಯತೆಗಳ ಅನುಸರಣೆ. ಆದರೆ ಈಗಾಗಲೇ ಬಲವಾದ ದೃಢೀಕರಣವನ್ನು ಬಳಸುವ ಕಂಪನಿಗಳು ಗ್ರಾಹಕರ ನಿಷ್ಠೆಯನ್ನು ಹೆಚ್ಚಿಸುವ ಆ ದೃಢೀಕರಣ ವಿಧಾನಗಳನ್ನು ಆಯ್ಕೆಮಾಡುವುದರ ಮೇಲೆ ಕೇಂದ್ರೀಕರಿಸಬಹುದು.

ಎಂಟರ್‌ಪ್ರೈಸ್‌ನಲ್ಲಿ ಕಾರ್ಪೊರೇಟ್ ದೃಢೀಕರಣ ವಿಧಾನವನ್ನು ಆಯ್ಕೆಮಾಡುವಾಗ, ನಿಯಂತ್ರಕ ಅಗತ್ಯತೆಗಳು ಇನ್ನು ಮುಂದೆ ಮಹತ್ವದ ಅಂಶವಾಗಿರುವುದಿಲ್ಲ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಏಕೀಕರಣದ ಸುಲಭತೆ (32%) ಮತ್ತು ವೆಚ್ಚ (26%) ಹೆಚ್ಚು ಮುಖ್ಯವಾಗಿದೆ.

ಫಿಶಿಂಗ್ ಯುಗದಲ್ಲಿ, ಆಕ್ರಮಣಕಾರರು ಸ್ಕ್ಯಾಮ್ ಮಾಡಲು ಕಾರ್ಪೊರೇಟ್ ಇಮೇಲ್ ಅನ್ನು ಬಳಸಬಹುದು ಡೇಟಾ, ಖಾತೆಗಳಿಗೆ (ಸೂಕ್ತ ಪ್ರವೇಶ ಹಕ್ಕುಗಳೊಂದಿಗೆ) ಮೋಸದ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಮತ್ತು ತನ್ನ ಖಾತೆಗೆ ಹಣ ವರ್ಗಾವಣೆ ಮಾಡಲು ಉದ್ಯೋಗಿಗಳನ್ನು ಮನವೊಲಿಸಲು. ಆದ್ದರಿಂದ, ಕಾರ್ಪೊರೇಟ್ ಇಮೇಲ್ ಮತ್ತು ಪೋರ್ಟಲ್ ಖಾತೆಗಳನ್ನು ವಿಶೇಷವಾಗಿ ಉತ್ತಮವಾಗಿ ರಕ್ಷಿಸಬೇಕು.

ಬಲವಾದ ದೃಢೀಕರಣವನ್ನು ಅಳವಡಿಸುವ ಮೂಲಕ Google ತನ್ನ ಭದ್ರತೆಯನ್ನು ಬಲಪಡಿಸಿದೆ. ಎರಡು ವರ್ಷಗಳ ಹಿಂದೆ, Google FIDO U2F ಮಾನದಂಡವನ್ನು ಬಳಸಿಕೊಂಡು ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಭದ್ರತಾ ಕೀಗಳ ಆಧಾರದ ಮೇಲೆ ಎರಡು ಅಂಶದ ದೃಢೀಕರಣದ ಅನುಷ್ಠಾನದ ಕುರಿತು ವರದಿಯನ್ನು ಪ್ರಕಟಿಸಿತು, ಪ್ರಭಾವಶಾಲಿ ಫಲಿತಾಂಶಗಳನ್ನು ವರದಿ ಮಾಡಿದೆ. ಕಂಪನಿಯ ಪ್ರಕಾರ, 85 ಕ್ಕೂ ಹೆಚ್ಚು ಉದ್ಯೋಗಿಗಳ ವಿರುದ್ಧ ಒಂದೇ ಒಂದು ಫಿಶಿಂಗ್ ದಾಳಿಯನ್ನು ನಡೆಸಲಾಗಿಲ್ಲ.

ಶಿಫಾರಸುಗಳನ್ನು

ಮೊಬೈಲ್ ಮತ್ತು ಆನ್‌ಲೈನ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಿಗೆ ಬಲವಾದ ದೃಢೀಕರಣವನ್ನು ಅಳವಡಿಸಿ. ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಕೀಗಳನ್ನು ಆಧರಿಸಿದ ಬಹು-ಅಂಶದ ದೃಢೀಕರಣವು ಸಾಂಪ್ರದಾಯಿಕ MFA ವಿಧಾನಗಳಿಗಿಂತ ಹ್ಯಾಕಿಂಗ್ ವಿರುದ್ಧ ಉತ್ತಮ ರಕ್ಷಣೆ ನೀಡುತ್ತದೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಕೀಗಳ ಬಳಕೆಯು ಹೆಚ್ಚು ಅನುಕೂಲಕರವಾಗಿದೆ ಏಕೆಂದರೆ ಹೆಚ್ಚುವರಿ ಮಾಹಿತಿಯನ್ನು ಬಳಸಲು ಮತ್ತು ವರ್ಗಾಯಿಸಲು ಅಗತ್ಯವಿಲ್ಲ - ಪಾಸ್‌ವರ್ಡ್‌ಗಳು, ಒಂದು-ಬಾರಿ ಪಾಸ್‌ವರ್ಡ್‌ಗಳು ಅಥವಾ ಬಳಕೆದಾರರ ಸಾಧನದಿಂದ ದೃಢೀಕರಣ ಸರ್ವರ್‌ಗೆ ಬಯೋಮೆಟ್ರಿಕ್ ಡೇಟಾ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ದೃಢೀಕರಣ ಪ್ರೋಟೋಕಾಲ್‌ಗಳನ್ನು ಪ್ರಮಾಣೀಕರಿಸುವುದರಿಂದ ಹೊಸ ದೃಢೀಕರಣ ವಿಧಾನಗಳು ಲಭ್ಯವಾಗುವಂತೆ ಕಾರ್ಯಗತಗೊಳಿಸಲು ಸುಲಭವಾಗುತ್ತದೆ, ಅನುಷ್ಠಾನದ ವೆಚ್ಚವನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತದೆ ಮತ್ತು ಹೆಚ್ಚು ಅತ್ಯಾಧುನಿಕ ವಂಚನೆ ಯೋಜನೆಗಳಿಂದ ರಕ್ಷಿಸುತ್ತದೆ.

ಒನ್-ಟೈಮ್ ಪಾಸ್‌ವರ್ಡ್‌ಗಳ (OTP) ಅಂತ್ಯಕ್ಕೆ ಸಿದ್ಧರಾಗಿ. ಸೈಬರ್ ಅಪರಾಧಿಗಳು ಸಾಮಾಜಿಕ ಇಂಜಿನಿಯರಿಂಗ್, ಸ್ಮಾರ್ಟ್‌ಫೋನ್ ಕ್ಲೋನಿಂಗ್ ಮತ್ತು ಮಾಲ್‌ವೇರ್‌ಗಳನ್ನು ಈ ದೃಢೀಕರಣ ವಿಧಾನಗಳನ್ನು ರಾಜಿ ಮಾಡಿಕೊಳ್ಳುವುದರಿಂದ OTP ಗಳಲ್ಲಿ ಅಂತರ್ಗತವಾಗಿರುವ ದುರ್ಬಲತೆಗಳು ಹೆಚ್ಚು ಸ್ಪಷ್ಟವಾಗಿ ಗೋಚರಿಸುತ್ತಿವೆ. ಮತ್ತು ಕೆಲವು ಸಂದರ್ಭಗಳಲ್ಲಿ OTP ಗಳು ಕೆಲವು ಪ್ರಯೋಜನಗಳನ್ನು ಹೊಂದಿದ್ದರೆ, ನಂತರ ಎಲ್ಲಾ ಬಳಕೆದಾರರಿಗೆ ಸಾರ್ವತ್ರಿಕ ಲಭ್ಯತೆಯ ದೃಷ್ಟಿಕೋನದಿಂದ ಮಾತ್ರ, ಆದರೆ ಭದ್ರತೆಯ ದೃಷ್ಟಿಕೋನದಿಂದ ಅಲ್ಲ.

SMS ಅಥವಾ ಪುಶ್ ಅಧಿಸೂಚನೆಗಳ ಮೂಲಕ ಕೋಡ್‌ಗಳನ್ನು ಸ್ವೀಕರಿಸುವುದು, ಹಾಗೆಯೇ ಸ್ಮಾರ್ಟ್‌ಫೋನ್‌ಗಳಿಗಾಗಿ ಪ್ರೋಗ್ರಾಂಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಕೋಡ್‌ಗಳನ್ನು ರಚಿಸುವುದು, ಅದೇ ಒಂದು-ಬಾರಿ ಪಾಸ್‌ವರ್ಡ್‌ಗಳ (OTP) ಬಳಕೆಯಾಗಿದೆ ಎಂದು ಗಮನಿಸುವುದು ಅಸಾಧ್ಯ, ಇದಕ್ಕಾಗಿ ನಾವು ನಿರಾಕರಣೆಗೆ ಸಿದ್ಧರಾಗಲು ಕೇಳುತ್ತೇವೆ. ತಾಂತ್ರಿಕ ದೃಷ್ಟಿಕೋನದಿಂದ, ಪರಿಹಾರವು ತುಂಬಾ ಸರಿಯಾಗಿದೆ, ಏಕೆಂದರೆ ಇದು ಅಪರೂಪದ ವಂಚಕ, ಮೋಸಗಾರ ಬಳಕೆದಾರರಿಂದ ಒಂದು ಬಾರಿ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಕಂಡುಹಿಡಿಯಲು ಪ್ರಯತ್ನಿಸುವುದಿಲ್ಲ. ಆದರೆ ಅಂತಹ ವ್ಯವಸ್ಥೆಗಳ ತಯಾರಕರು ಸಾಯುತ್ತಿರುವ ತಂತ್ರಜ್ಞಾನಕ್ಕೆ ಕೊನೆಯವರೆಗೂ ಅಂಟಿಕೊಳ್ಳುತ್ತಾರೆ ಎಂದು ನಾನು ಭಾವಿಸುತ್ತೇನೆ.

ಗ್ರಾಹಕರ ನಂಬಿಕೆಯನ್ನು ಹೆಚ್ಚಿಸಲು ಮಾರ್ಕೆಟಿಂಗ್ ಸಾಧನವಾಗಿ ಬಲವಾದ ದೃಢೀಕರಣವನ್ನು ಬಳಸಿ. ಬಲವಾದ ದೃಢೀಕರಣವು ನಿಮ್ಮ ವ್ಯಾಪಾರದ ನಿಜವಾದ ಭದ್ರತೆಯನ್ನು ಸುಧಾರಿಸುವುದಕ್ಕಿಂತ ಹೆಚ್ಚಿನದನ್ನು ಮಾಡಬಹುದು. ನಿಮ್ಮ ವ್ಯಾಪಾರವು ಪ್ರಬಲವಾದ ದೃಢೀಕರಣವನ್ನು ಬಳಸುತ್ತದೆ ಎಂದು ಗ್ರಾಹಕರಿಗೆ ತಿಳಿಸುವುದರಿಂದ ಆ ವ್ಯಾಪಾರದ ಸುರಕ್ಷತೆಯ ಸಾರ್ವಜನಿಕ ಗ್ರಹಿಕೆಯನ್ನು ಬಲಪಡಿಸಬಹುದು - ಬಲವಾದ ದೃಢೀಕರಣ ವಿಧಾನಗಳಿಗಾಗಿ ಗಮನಾರ್ಹವಾದ ಗ್ರಾಹಕ ಬೇಡಿಕೆ ಇದ್ದಾಗ ಪ್ರಮುಖ ಅಂಶವಾಗಿದೆ.

ಕಾರ್ಪೊರೇಟ್ ಡೇಟಾದ ಸಂಪೂರ್ಣ ದಾಸ್ತಾನು ಮತ್ತು ವಿಮರ್ಶಾತ್ಮಕ ಮೌಲ್ಯಮಾಪನವನ್ನು ನಡೆಸಿ ಮತ್ತು ಪ್ರಾಮುಖ್ಯತೆಗೆ ಅನುಗುಣವಾಗಿ ಅದನ್ನು ರಕ್ಷಿಸಿ. ಗ್ರಾಹಕರ ಸಂಪರ್ಕ ಮಾಹಿತಿಯಂತಹ ಕಡಿಮೆ-ಅಪಾಯದ ಡೇಟಾ ಕೂಡ (ಇಲ್ಲ, ನಿಜವಾಗಿಯೂ, ವರದಿಯು "ಕಡಿಮೆ-ಅಪಾಯ" ಎಂದು ಹೇಳುತ್ತದೆ, ಅವರು ಈ ಮಾಹಿತಿಯ ಪ್ರಾಮುಖ್ಯತೆಯನ್ನು ಕಡಿಮೆ ಅಂದಾಜು ಮಾಡುವುದು ತುಂಬಾ ವಿಚಿತ್ರವಾಗಿದೆ), ವಂಚಕರಿಗೆ ಗಮನಾರ್ಹ ಮೌಲ್ಯವನ್ನು ತರಬಹುದು ಮತ್ತು ಕಂಪನಿಗೆ ಸಮಸ್ಯೆಗಳನ್ನು ಉಂಟುಮಾಡಬಹುದು.

ಬಲವಾದ ಎಂಟರ್‌ಪ್ರೈಸ್ ದೃಢೀಕರಣವನ್ನು ಬಳಸಿ. ಅಪರಾಧಿಗಳಿಗೆ ಹಲವಾರು ವ್ಯವಸ್ಥೆಗಳು ಅತ್ಯಂತ ಆಕರ್ಷಕ ಗುರಿಗಳಾಗಿವೆ. ಇವುಗಳು ಅಕೌಂಟಿಂಗ್ ಪ್ರೋಗ್ರಾಂ ಅಥವಾ ಕಾರ್ಪೊರೇಟ್ ಡೇಟಾ ವೇರ್‌ಹೌಸ್‌ನಂತಹ ಆಂತರಿಕ ಮತ್ತು ಇಂಟರ್ನೆಟ್-ಸಂಪರ್ಕಿತ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಒಳಗೊಂಡಿವೆ. ಬಲವಾದ ದೃಢೀಕರಣವು ಆಕ್ರಮಣಕಾರರನ್ನು ಅನಧಿಕೃತ ಪ್ರವೇಶವನ್ನು ಪಡೆಯುವುದನ್ನು ತಡೆಯುತ್ತದೆ ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತ ಚಟುವಟಿಕೆಯನ್ನು ಯಾವ ಉದ್ಯೋಗಿ ಮಾಡಿದ್ದಾರೆ ಎಂಬುದನ್ನು ನಿಖರವಾಗಿ ನಿರ್ಧರಿಸಲು ಸಾಧ್ಯವಾಗಿಸುತ್ತದೆ.

ಬಲವಾದ ದೃಢೀಕರಣ ಎಂದರೇನು?

ಬಲವಾದ ದೃಢೀಕರಣವನ್ನು ಬಳಸುವಾಗ, ಬಳಕೆದಾರರ ದೃಢೀಕರಣವನ್ನು ಪರಿಶೀಲಿಸಲು ಹಲವಾರು ವಿಧಾನಗಳು ಅಥವಾ ಅಂಶಗಳನ್ನು ಬಳಸಲಾಗುತ್ತದೆ:

  • ಜ್ಞಾನದ ಅಂಶ: ಬಳಕೆದಾರ ಮತ್ತು ಬಳಕೆದಾರರ ದೃಢೀಕೃತ ವಿಷಯದ ನಡುವೆ ರಹಸ್ಯವನ್ನು ಹಂಚಿಕೊಳ್ಳಲಾಗಿದೆ (ಉದಾಹರಣೆಗೆ ಪಾಸ್‌ವರ್ಡ್‌ಗಳು, ಭದ್ರತಾ ಪ್ರಶ್ನೆಗಳಿಗೆ ಉತ್ತರಗಳು, ಇತ್ಯಾದಿ)
  • ಮಾಲೀಕತ್ವದ ಅಂಶ: ಬಳಕೆದಾರರು ಮಾತ್ರ ಹೊಂದಿರುವ ಸಾಧನ (ಉದಾಹರಣೆಗೆ, ಮೊಬೈಲ್ ಸಾಧನ, ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಕೀ, ಇತ್ಯಾದಿ)
  • ಸಮಗ್ರತೆಯ ಅಂಶ: ಬಳಕೆದಾರರ ಭೌತಿಕ (ಸಾಮಾನ್ಯವಾಗಿ ಬಯೋಮೆಟ್ರಿಕ್) ಗುಣಲಕ್ಷಣಗಳು (ಉದಾಹರಣೆಗೆ, ಫಿಂಗರ್‌ಪ್ರಿಂಟ್, ಐರಿಸ್ ಮಾದರಿ, ಧ್ವನಿ, ನಡವಳಿಕೆ, ಇತ್ಯಾದಿ)

ಅನೇಕ ಅಂಶಗಳನ್ನು ಹ್ಯಾಕ್ ಮಾಡುವ ಅಗತ್ಯವು ದಾಳಿಕೋರರಿಗೆ ವೈಫಲ್ಯದ ಸಾಧ್ಯತೆಯನ್ನು ಹೆಚ್ಚಿಸುತ್ತದೆ, ಏಕೆಂದರೆ ವಿವಿಧ ಅಂಶಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡುವುದು ಅಥವಾ ಮೋಸ ಮಾಡುವುದು ಅನೇಕ ರೀತಿಯ ಹ್ಯಾಕಿಂಗ್ ತಂತ್ರಗಳನ್ನು ಬಳಸಬೇಕಾಗುತ್ತದೆ, ಪ್ರತಿಯೊಂದು ಅಂಶಕ್ಕೂ ಪ್ರತ್ಯೇಕವಾಗಿ.

ಉದಾಹರಣೆಗೆ, 2FA "ಪಾಸ್‌ವರ್ಡ್ + ಸ್ಮಾರ್ಟ್‌ಫೋನ್" ನೊಂದಿಗೆ, ಆಕ್ರಮಣಕಾರನು ಬಳಕೆದಾರರ ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ನೋಡುವ ಮೂಲಕ ಮತ್ತು ಅವನ ಸ್ಮಾರ್ಟ್‌ಫೋನ್‌ನ ನಿಖರವಾದ ಸಾಫ್ಟ್‌ವೇರ್ ನಕಲನ್ನು ಮಾಡುವ ಮೂಲಕ ದೃಢೀಕರಣವನ್ನು ಮಾಡಬಹುದು. ಮತ್ತು ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಕದಿಯುವುದಕ್ಕಿಂತ ಇದು ತುಂಬಾ ಕಷ್ಟ.

ಆದರೆ ಪಾಸ್ವರ್ಡ್ ಮತ್ತು ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಟೋಕನ್ ಅನ್ನು 2FA ಗಾಗಿ ಬಳಸಿದರೆ, ನಂತರ ನಕಲು ಆಯ್ಕೆಯು ಇಲ್ಲಿ ಕಾರ್ಯನಿರ್ವಹಿಸುವುದಿಲ್ಲ - ಟೋಕನ್ ಅನ್ನು ನಕಲು ಮಾಡುವುದು ಅಸಾಧ್ಯ. ವಂಚಕನು ಬಳಕೆದಾರರಿಂದ ರಹಸ್ಯವಾಗಿ ಟೋಕನ್ ಅನ್ನು ಕದಿಯಬೇಕಾಗುತ್ತದೆ. ಬಳಕೆದಾರರು ಸಮಯಕ್ಕೆ ನಷ್ಟವನ್ನು ಗಮನಿಸಿದರೆ ಮತ್ತು ನಿರ್ವಾಹಕರಿಗೆ ಸೂಚಿಸಿದರೆ, ಟೋಕನ್ ಅನ್ನು ನಿರ್ಬಂಧಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ವಂಚಕರ ಪ್ರಯತ್ನಗಳು ವ್ಯರ್ಥವಾಗುತ್ತವೆ. ಇದಕ್ಕಾಗಿಯೇ ಮಾಲೀಕತ್ವದ ಅಂಶವು ಸಾಮಾನ್ಯ ಉದ್ದೇಶದ ಸಾಧನಗಳಿಗಿಂತ (ಸ್ಮಾರ್ಟ್‌ಫೋನ್‌ಗಳು) ವಿಶೇಷ ಸುರಕ್ಷಿತ ಸಾಧನಗಳ (ಟೋಕನ್‌ಗಳು) ಬಳಕೆಯನ್ನು ಬಯಸುತ್ತದೆ.

ಎಲ್ಲಾ ಮೂರು ಅಂಶಗಳನ್ನು ಬಳಸುವುದರಿಂದ ಈ ದೃಢೀಕರಣ ವಿಧಾನವನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಸಾಕಷ್ಟು ದುಬಾರಿ ಮತ್ತು ಬಳಸಲು ಸಾಕಷ್ಟು ಅನಾನುಕೂಲವಾಗುತ್ತದೆ. ಆದ್ದರಿಂದ, ಮೂರು ಅಂಶಗಳಲ್ಲಿ ಎರಡು ಸಾಮಾನ್ಯವಾಗಿ ಬಳಸಲಾಗುತ್ತದೆ.

ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣದ ತತ್ವಗಳನ್ನು ಹೆಚ್ಚು ವಿವರವಾಗಿ ವಿವರಿಸಲಾಗಿದೆ ಇಲ್ಲಿ, "ಎರಡು ಅಂಶದ ದೃಢೀಕರಣವು ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ" ಬ್ಲಾಕ್ನಲ್ಲಿ.

ಬಲವಾದ ದೃಢೀಕರಣದಲ್ಲಿ ಬಳಸಲಾಗುವ ದೃಢೀಕರಣದ ಅಂಶಗಳಲ್ಲಿ ಕನಿಷ್ಠ ಒಂದಾದರೂ ಸಾರ್ವಜನಿಕ ಕೀಲಿ ಗುಪ್ತ ಲಿಪಿ ಶಾಸ್ತ್ರವನ್ನು ಬಳಸಬೇಕು ಎಂಬುದನ್ನು ಗಮನಿಸುವುದು ಮುಖ್ಯವಾಗಿದೆ.

ಕ್ಲಾಸಿಕ್ ಪಾಸ್‌ವರ್ಡ್‌ಗಳು ಮತ್ತು ಸಾಂಪ್ರದಾಯಿಕ MFA ಆಧಾರಿತ ಏಕ-ಅಂಶದ ದೃಢೀಕರಣಕ್ಕಿಂತ ಬಲವಾದ ದೃಢೀಕರಣವು ಹೆಚ್ಚು ಬಲವಾದ ರಕ್ಷಣೆಯನ್ನು ಒದಗಿಸುತ್ತದೆ. ಕೀಲಾಗರ್‌ಗಳು, ಫಿಶಿಂಗ್ ಸೈಟ್‌ಗಳು ಅಥವಾ ಸಾಮಾಜಿಕ ಎಂಜಿನಿಯರಿಂಗ್ ದಾಳಿಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಬೇಹುಗಾರಿಕೆ ಮಾಡಬಹುದು ಅಥವಾ ಪ್ರತಿಬಂಧಿಸಬಹುದು (ಅಲ್ಲಿ ಬಲಿಪಶು ತಮ್ಮ ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ಬಹಿರಂಗಪಡಿಸಲು ಮೋಸಗೊಳಿಸಲಾಗುತ್ತದೆ). ಇದಲ್ಲದೆ, ಪಾಸ್ವರ್ಡ್ನ ಮಾಲೀಕರು ಕಳ್ಳತನದ ಬಗ್ಗೆ ಏನನ್ನೂ ತಿಳಿದಿರುವುದಿಲ್ಲ. ಸಾಂಪ್ರದಾಯಿಕ MFA (ಒಟಿಪಿ ಕೋಡ್‌ಗಳು, ಸ್ಮಾರ್ಟ್‌ಫೋನ್ ಅಥವಾ ಸಿಮ್ ಕಾರ್ಡ್‌ಗೆ ಬಂಧಿಸುವುದು ಸೇರಿದಂತೆ) ಸಹ ಸುಲಭವಾಗಿ ಹ್ಯಾಕ್ ಮಾಡಬಹುದು, ಏಕೆಂದರೆ ಇದು ಸಾರ್ವಜನಿಕ ಕೀ ಕ್ರಿಪ್ಟೋಗ್ರಫಿಯನ್ನು ಆಧರಿಸಿಲ್ಲ (ಅಂದಹಾಗೆ, ಅದೇ ಸಾಮಾಜಿಕ ಎಂಜಿನಿಯರಿಂಗ್ ತಂತ್ರಗಳನ್ನು ಬಳಸಿಕೊಂಡು, ಸ್ಕ್ಯಾಮರ್‌ಗಳು ಬಳಕೆದಾರರಿಗೆ ಒಂದು-ಬಾರಿ ಪಾಸ್‌ವರ್ಡ್ ನೀಡಲು ಮನವೊಲಿಸಿದಾಗ ಅನೇಕ ಉದಾಹರಣೆಗಳಿವೆ.).

ಅದೃಷ್ಟವಶಾತ್, ಬಲವಾದ ದೃಢೀಕರಣ ಮತ್ತು ಸಾಂಪ್ರದಾಯಿಕ MFA ಬಳಕೆಯು ಕಳೆದ ವರ್ಷದಿಂದ ಗ್ರಾಹಕ ಮತ್ತು ಎಂಟರ್‌ಪ್ರೈಸ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ ಎಳೆತವನ್ನು ಪಡೆಯುತ್ತಿದೆ. ಗ್ರಾಹಕ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ ಬಲವಾದ ದೃಢೀಕರಣದ ಬಳಕೆಯು ವಿಶೇಷವಾಗಿ ವೇಗವಾಗಿ ಬೆಳೆದಿದೆ. 2017 ರಲ್ಲಿ ಕೇವಲ 5% ಕಂಪನಿಗಳು ಇದನ್ನು ಬಳಸಿದರೆ, 2018 ರಲ್ಲಿ ಅದು ಈಗಾಗಲೇ ಮೂರು ಪಟ್ಟು ಹೆಚ್ಚು - 16%. ಸಾರ್ವಜನಿಕ ಕೀ ಕ್ರಿಪ್ಟೋಗ್ರಫಿ (PKC) ಅಲ್ಗಾರಿದಮ್‌ಗಳನ್ನು ಬೆಂಬಲಿಸುವ ಟೋಕನ್‌ಗಳ ಹೆಚ್ಚಿದ ಲಭ್ಯತೆಯಿಂದ ಇದನ್ನು ವಿವರಿಸಬಹುದು. ಇದರ ಜೊತೆಗೆ, PSD2 ಮತ್ತು GDPR ನಂತಹ ಹೊಸ ಡೇಟಾ ಸಂರಕ್ಷಣಾ ನಿಯಮಗಳ ಅಳವಡಿಕೆಯ ನಂತರ ಯುರೋಪಿಯನ್ ನಿಯಂತ್ರಕರಿಂದ ಹೆಚ್ಚಿದ ಒತ್ತಡವು ಯುರೋಪಿನ ಹೊರಗೆ ಸಹ ಬಲವಾದ ಪರಿಣಾಮವನ್ನು ಹೊಂದಿದೆ (ರಷ್ಯಾದಲ್ಲಿ ಸೇರಿದಂತೆ).

ದೃಢೀಕರಣ ಮತ್ತು ಪಾಸ್‌ವರ್ಡ್‌ಗಳಿಗೆ ಏನಾಗುತ್ತದೆ? ಕಾಮೆಂಟ್‌ಗಳೊಂದಿಗೆ ಜಾವೆಲಿನ್ ವರದಿಯ ಅನುವಾದ “ಸ್ಟೇಟ್ ಆಫ್ ಸ್ಟ್ರಾಂಗ್ ಅಥೆಂಟಿಕೇಶನ್”

ಈ ಸಂಖ್ಯೆಗಳನ್ನು ಹತ್ತಿರದಿಂದ ನೋಡೋಣ. ನಾವು ನೋಡುವಂತೆ, ಬಹು ಅಂಶದ ದೃಢೀಕರಣವನ್ನು ಬಳಸುವ ಖಾಸಗಿ ವ್ಯಕ್ತಿಗಳ ಶೇಕಡಾವಾರು ಪ್ರಮಾಣವು ವರ್ಷದಲ್ಲಿ ಪ್ರಭಾವಶಾಲಿ 11% ರಷ್ಟು ಬೆಳೆದಿದೆ. ಮತ್ತು ಪಾಸ್ವರ್ಡ್ ಪ್ರಿಯರ ವೆಚ್ಚದಲ್ಲಿ ಇದು ಸ್ಪಷ್ಟವಾಗಿ ಸಂಭವಿಸಿದೆ, ಏಕೆಂದರೆ ಪುಶ್ ಅಧಿಸೂಚನೆಗಳು, SMS ಮತ್ತು ಬಯೋಮೆಟ್ರಿಕ್ಸ್ನ ಭದ್ರತೆಯನ್ನು ನಂಬುವವರ ಸಂಖ್ಯೆಯು ಬದಲಾಗಿಲ್ಲ.

ಆದರೆ ಕಾರ್ಪೊರೇಟ್ ಬಳಕೆಗಾಗಿ ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣದೊಂದಿಗೆ, ವಿಷಯಗಳು ಅಷ್ಟು ಉತ್ತಮವಾಗಿಲ್ಲ. ಮೊದಲನೆಯದಾಗಿ, ವರದಿಯ ಪ್ರಕಾರ, ಕೇವಲ 5% ಉದ್ಯೋಗಿಗಳನ್ನು ಪಾಸ್ವರ್ಡ್ ದೃಢೀಕರಣದಿಂದ ಟೋಕನ್ಗಳಿಗೆ ವರ್ಗಾಯಿಸಲಾಗಿದೆ. ಮತ್ತು ಎರಡನೆಯದಾಗಿ, ಕಾರ್ಪೊರೇಟ್ ಪರಿಸರದಲ್ಲಿ ಪರ್ಯಾಯ MFA ಆಯ್ಕೆಗಳನ್ನು ಬಳಸುವವರ ಸಂಖ್ಯೆ 4% ಹೆಚ್ಚಾಗಿದೆ.

ನಾನು ವಿಶ್ಲೇಷಕನನ್ನು ಆಡಲು ಪ್ರಯತ್ನಿಸುತ್ತೇನೆ ಮತ್ತು ನನ್ನ ವ್ಯಾಖ್ಯಾನವನ್ನು ನೀಡುತ್ತೇನೆ. ವೈಯಕ್ತಿಕ ಬಳಕೆದಾರರ ಡಿಜಿಟಲ್ ಪ್ರಪಂಚದ ಕೇಂದ್ರದಲ್ಲಿ ಸ್ಮಾರ್ಟ್ಫೋನ್ ಆಗಿದೆ. ಆದ್ದರಿಂದ, ಬಹುಪಾಲು ಸಾಧನವು ಅವರಿಗೆ ಒದಗಿಸುವ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಬಳಸುವುದರಲ್ಲಿ ಆಶ್ಚರ್ಯವೇನಿಲ್ಲ - ಬಯೋಮೆಟ್ರಿಕ್ ದೃಢೀಕರಣ, SMS ಮತ್ತು ಪುಶ್ ಅಧಿಸೂಚನೆಗಳು, ಹಾಗೆಯೇ ಸ್ಮಾರ್ಟ್‌ಫೋನ್‌ನಲ್ಲಿಯೇ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಿಂದ ರಚಿಸಲಾದ ಒಂದು-ಬಾರಿ ಪಾಸ್‌ವರ್ಡ್‌ಗಳು. ಜನರು ಸಾಮಾನ್ಯವಾಗಿ ಬಳಸುವ ಸಾಧನಗಳನ್ನು ಬಳಸುವಾಗ ಸುರಕ್ಷತೆ ಮತ್ತು ವಿಶ್ವಾಸಾರ್ಹತೆಯ ಬಗ್ಗೆ ಯೋಚಿಸುವುದಿಲ್ಲ.

ಇದಕ್ಕಾಗಿಯೇ ಪ್ರಾಚೀನ "ಸಾಂಪ್ರದಾಯಿಕ" ದೃಢೀಕರಣ ಅಂಶಗಳ ಬಳಕೆದಾರರ ಶೇಕಡಾವಾರು ಬದಲಾಗದೆ ಉಳಿಯುತ್ತದೆ. ಆದರೆ ಹಿಂದೆ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಬಳಸಿದವರು ಅವರು ಎಷ್ಟು ಅಪಾಯವನ್ನು ಎದುರಿಸುತ್ತಿದ್ದಾರೆಂದು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುತ್ತಾರೆ ಮತ್ತು ಹೊಸ ದೃಢೀಕರಣದ ಅಂಶವನ್ನು ಆಯ್ಕೆಮಾಡುವಾಗ, ಅವರು ಹೊಸ ಮತ್ತು ಸುರಕ್ಷಿತವಾದ ಆಯ್ಕೆಯನ್ನು ಆರಿಸಿಕೊಳ್ಳುತ್ತಾರೆ - ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಟೋಕನ್.

ಕಾರ್ಪೊರೇಟ್ ಮಾರುಕಟ್ಟೆಗೆ ಸಂಬಂಧಿಸಿದಂತೆ, ಯಾವ ಸಿಸ್ಟಮ್ ದೃಢೀಕರಣವನ್ನು ಕೈಗೊಳ್ಳಲಾಗುತ್ತದೆ ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು ಮುಖ್ಯವಾಗಿದೆ. ವಿಂಡೋಸ್ ಡೊಮೇನ್‌ಗೆ ಲಾಗಿನ್ ಆಗಿದ್ದರೆ, ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಟೋಕನ್‌ಗಳನ್ನು ಬಳಸಲಾಗುತ್ತದೆ. 2FA ಗಾಗಿ ಅವುಗಳನ್ನು ಬಳಸುವ ಸಾಧ್ಯತೆಗಳನ್ನು ಈಗಾಗಲೇ ವಿಂಡೋಸ್ ಮತ್ತು ಲಿನಕ್ಸ್ ಎರಡರಲ್ಲೂ ನಿರ್ಮಿಸಲಾಗಿದೆ, ಆದರೆ ಪರ್ಯಾಯ ಆಯ್ಕೆಗಳು ದೀರ್ಘ ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಕಷ್ಟ. ಪಾಸ್‌ವರ್ಡ್‌ಗಳಿಂದ ಟೋಕನ್‌ಗಳಿಗೆ 5% ರ ವಲಸೆಗಾಗಿ ತುಂಬಾ.

ಮತ್ತು ಕಾರ್ಪೊರೇಟ್ ಮಾಹಿತಿ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ 2FA ಅನುಷ್ಠಾನವು ಡೆವಲಪರ್‌ಗಳ ಅರ್ಹತೆಗಳನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ. ಮತ್ತು ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಅಲ್ಗಾರಿದಮ್‌ಗಳ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದಕ್ಕಿಂತ ಡೆವಲಪರ್‌ಗಳು ಒಂದು-ಬಾರಿ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಉತ್ಪಾದಿಸಲು ಸಿದ್ಧ ಮಾಡ್ಯೂಲ್‌ಗಳನ್ನು ತೆಗೆದುಕೊಳ್ಳುವುದು ತುಂಬಾ ಸುಲಭ. ಮತ್ತು ಪರಿಣಾಮವಾಗಿ, ಸಿಂಗಲ್ ಸೈನ್-ಆನ್ ಅಥವಾ ಪ್ರಿವಿಲೇಜ್ಡ್ ಆಕ್ಸೆಸ್ ಮ್ಯಾನೇಜ್‌ಮೆಂಟ್ ಸಿಸ್ಟಮ್‌ಗಳಂತಹ ನಂಬಲಾಗದಷ್ಟು ಭದ್ರತೆ-ನಿರ್ಣಾಯಕ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು OTP ಅನ್ನು ಎರಡನೇ ಅಂಶವಾಗಿ ಬಳಸುತ್ತವೆ.

ಸಾಂಪ್ರದಾಯಿಕ ದೃಢೀಕರಣ ವಿಧಾನಗಳಲ್ಲಿ ಅನೇಕ ದುರ್ಬಲತೆಗಳು

ಅನೇಕ ಸಂಸ್ಥೆಗಳು ಲೆಗಸಿ ಸಿಂಗಲ್-ಫ್ಯಾಕ್ಟರ್ ಸಿಸ್ಟಮ್‌ಗಳ ಮೇಲೆ ಅವಲಂಬಿತವಾಗಿದ್ದರೂ, ಸಾಂಪ್ರದಾಯಿಕ ಬಹು-ಅಂಶದ ದೃಢೀಕರಣದಲ್ಲಿನ ದುರ್ಬಲತೆಗಳು ಹೆಚ್ಚು ಸ್ಪಷ್ಟವಾಗಿ ಗೋಚರಿಸುತ್ತಿವೆ. ಒನ್-ಟೈಮ್ ಪಾಸ್‌ವರ್ಡ್‌ಗಳು, ಸಾಮಾನ್ಯವಾಗಿ ಆರರಿಂದ ಎಂಟು ಅಕ್ಷರಗಳ ಉದ್ದ, SMS ಮೂಲಕ ವಿತರಿಸಲಾಗುತ್ತದೆ, ದೃಢೀಕರಣದ ಸಾಮಾನ್ಯ ರೂಪವಾಗಿ ಉಳಿಯುತ್ತದೆ (ಪಾಸ್‌ವರ್ಡ್ ಅಂಶದ ಹೊರತಾಗಿ, ಸಹಜವಾಗಿ). ಮತ್ತು "ಎರಡು-ಅಂಶದ ದೃಢೀಕರಣ" ಅಥವಾ "ಎರಡು-ಹಂತದ ಪರಿಶೀಲನೆ" ಪದಗಳನ್ನು ಜನಪ್ರಿಯ ಪತ್ರಿಕಾದಲ್ಲಿ ಉಲ್ಲೇಖಿಸಿದಾಗ, ಅವರು ಯಾವಾಗಲೂ SMS ಒಂದು-ಬಾರಿ ಪಾಸ್ವರ್ಡ್ ದೃಢೀಕರಣವನ್ನು ಉಲ್ಲೇಖಿಸುತ್ತಾರೆ.

ಇಲ್ಲಿ ಲೇಖಕರು ಸ್ವಲ್ಪ ತಪ್ಪಾಗಿದ್ದಾರೆ. SMS ಮೂಲಕ ಒಂದು-ಬಾರಿ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ತಲುಪಿಸುವುದು ಎರಡು ಅಂಶಗಳ ದೃಢೀಕರಣವಾಗಿರಲಿಲ್ಲ. ಇದು ಅದರ ಶುದ್ಧ ರೂಪದಲ್ಲಿ ಎರಡು-ಹಂತದ ದೃಢೀಕರಣದ ಎರಡನೇ ಹಂತವಾಗಿದೆ, ಅಲ್ಲಿ ಮೊದಲ ಹಂತವು ನಿಮ್ಮ ಲಾಗಿನ್ ಮತ್ತು ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ನಮೂದಿಸುತ್ತದೆ.

2016 ರಲ್ಲಿ, ನ್ಯಾಷನಲ್ ಇನ್‌ಸ್ಟಿಟ್ಯೂಟ್ ಆಫ್ ಸ್ಟ್ಯಾಂಡರ್ಡ್ಸ್ ಅಂಡ್ ಟೆಕ್ನಾಲಜಿ (NIST) SMS ಮೂಲಕ ಕಳುಹಿಸಲಾದ ಒಂದು-ಬಾರಿ ಪಾಸ್‌ವರ್ಡ್‌ಗಳ ಬಳಕೆಯನ್ನು ತೆಗೆದುಹಾಕಲು ತನ್ನ ದೃಢೀಕರಣ ನಿಯಮಗಳನ್ನು ನವೀಕರಿಸಿದೆ. ಆದಾಗ್ಯೂ, ಉದ್ಯಮದ ಪ್ರತಿಭಟನೆಗಳ ನಂತರ ಈ ನಿಯಮಗಳನ್ನು ಗಮನಾರ್ಹವಾಗಿ ಸಡಿಲಿಸಲಾಗಿದೆ.

ಆದ್ದರಿಂದ, ಕಥಾವಸ್ತುವನ್ನು ಅನುಸರಿಸೋಣ. ಹಳತಾದ ತಂತ್ರಜ್ಞಾನವು ಬಳಕೆದಾರರ ಸುರಕ್ಷತೆಯನ್ನು ಖಾತ್ರಿಪಡಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿಲ್ಲ ಮತ್ತು ಹೊಸ ಮಾನದಂಡಗಳನ್ನು ಪರಿಚಯಿಸುತ್ತಿದೆ ಎಂದು ಅಮೇರಿಕನ್ ನಿಯಂತ್ರಕ ಸರಿಯಾಗಿ ಗುರುತಿಸುತ್ತದೆ. ಆನ್‌ಲೈನ್ ಮತ್ತು ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳ ಬಳಕೆದಾರರನ್ನು ರಕ್ಷಿಸಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ಮಾನದಂಡಗಳು (ಬ್ಯಾಂಕಿಂಗ್ ಸೇರಿದಂತೆ). ಉದ್ಯಮವು ನಿಜವಾಗಿಯೂ ವಿಶ್ವಾಸಾರ್ಹ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಟೋಕನ್‌ಗಳನ್ನು ಖರೀದಿಸಲು, ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ಮರುವಿನ್ಯಾಸಗೊಳಿಸಲು, ಸಾರ್ವಜನಿಕ ಕೀ ಮೂಲಸೌಕರ್ಯವನ್ನು ನಿಯೋಜಿಸಲು ಎಷ್ಟು ಹಣವನ್ನು ಖರ್ಚು ಮಾಡಬೇಕಾಗುತ್ತದೆ ಮತ್ತು "ಅದರ ಹಿಂಗಾಲುಗಳ ಮೇಲೆ ಏರುತ್ತಿದೆ" ಎಂದು ಲೆಕ್ಕಾಚಾರ ಮಾಡುತ್ತಿದೆ. ಒಂದೆಡೆ, ಬಳಕೆದಾರರು ಒಂದು-ಬಾರಿ ಪಾಸ್‌ವರ್ಡ್‌ಗಳ ವಿಶ್ವಾಸಾರ್ಹತೆಯ ಬಗ್ಗೆ ಮನವರಿಕೆ ಮಾಡಿದರು ಮತ್ತು ಮತ್ತೊಂದೆಡೆ, ಎನ್‌ಐಎಸ್‌ಟಿ ಮೇಲೆ ದಾಳಿಗಳು ನಡೆದವು. ಪರಿಣಾಮವಾಗಿ, ಗುಣಮಟ್ಟವನ್ನು ಮೃದುಗೊಳಿಸಲಾಯಿತು ಮತ್ತು ಪಾಸ್‌ವರ್ಡ್‌ಗಳ ಹ್ಯಾಕ್‌ಗಳು ಮತ್ತು ಕಳ್ಳತನದ ಸಂಖ್ಯೆ (ಮತ್ತು ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಿಂದ ಹಣ) ತೀವ್ರವಾಗಿ ಹೆಚ್ಚಾಯಿತು. ಆದರೆ ಉದ್ಯಮವು ಹಣವನ್ನು ಶೆಲ್ ಮಾಡಬೇಕಾಗಿಲ್ಲ.

ಅಂದಿನಿಂದ, SMS OTP ಯ ಅಂತರ್ಗತ ದೌರ್ಬಲ್ಯಗಳು ಹೆಚ್ಚು ಸ್ಪಷ್ಟವಾಗಿವೆ. SMS ಸಂದೇಶಗಳನ್ನು ರಾಜಿ ಮಾಡಿಕೊಳ್ಳಲು ವಂಚಕರು ವಿವಿಧ ವಿಧಾನಗಳನ್ನು ಬಳಸುತ್ತಾರೆ:

  • ಸಿಮ್ ಕಾರ್ಡ್ ನಕಲು. ದಾಳಿಕೋರರು ಸಿಮ್ ನ ನಕಲನ್ನು ರಚಿಸುತ್ತಾರೆ (ಮೊಬೈಲ್ ಆಪರೇಟರ್ ಉದ್ಯೋಗಿಗಳ ಸಹಾಯದಿಂದ ಅಥವಾ ಸ್ವತಂತ್ರವಾಗಿ, ವಿಶೇಷ ಸಾಫ್ಟ್‌ವೇರ್ ಮತ್ತು ಹಾರ್ಡ್‌ವೇರ್ ಬಳಸಿ) ಪರಿಣಾಮವಾಗಿ, ಆಕ್ರಮಣಕಾರರು ಒಂದು ಬಾರಿ ಪಾಸ್ವರ್ಡ್ನೊಂದಿಗೆ SMS ಅನ್ನು ಸ್ವೀಕರಿಸುತ್ತಾರೆ. ಒಂದು ನಿರ್ದಿಷ್ಟವಾಗಿ ಪ್ರಸಿದ್ಧವಾದ ಪ್ರಕರಣದಲ್ಲಿ, ಹ್ಯಾಕರ್‌ಗಳು ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿ ಹೂಡಿಕೆದಾರ ಮೈಕೆಲ್ ಟರ್ಪಿನ್‌ನ AT&T ಖಾತೆಯನ್ನು ರಾಜಿ ಮಾಡಿಕೊಳ್ಳಲು ಮತ್ತು ಸುಮಾರು $24 ಮಿಲಿಯನ್ ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿಗಳನ್ನು ಕದಿಯಲು ಸಮರ್ಥರಾಗಿದ್ದರು. ಇದರ ಪರಿಣಾಮವಾಗಿ, SIM ಕಾರ್ಡ್ ನಕಲು ಮಾಡಲು ಕಾರಣವಾದ ದುರ್ಬಲ ಪರಿಶೀಲನಾ ಕ್ರಮಗಳಿಂದಾಗಿ AT&T ದೋಷಪೂರಿತವಾಗಿದೆ ಎಂದು ಟರ್ಪಿನ್ ಹೇಳಿದ್ದಾರೆ.

    ಅದ್ಭುತ ತರ್ಕ. ಹಾಗಾದರೆ ಇದು ನಿಜವಾಗಿಯೂ AT&T ಯ ತಪ್ಪು ಮಾತ್ರವೇ? ಇಲ್ಲ, ಇದು ನಿಸ್ಸಂದೇಹವಾಗಿ ಮೊಬೈಲ್ ಆಪರೇಟರ್‌ನ ತಪ್ಪು, ಸಂವಹನ ಅಂಗಡಿಯಲ್ಲಿನ ಮಾರಾಟಗಾರರು ನಕಲಿ ಸಿಮ್ ಕಾರ್ಡ್ ಅನ್ನು ನೀಡಿದ್ದಾರೆ. ಕ್ರಿಪ್ಟೋಕರೆನ್ಸಿ ವಿನಿಮಯ ದೃಢೀಕರಣ ವ್ಯವಸ್ಥೆಯ ಬಗ್ಗೆ ಏನು? ಅವರು ಏಕೆ ಪ್ರಬಲ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಟೋಕನ್‌ಗಳನ್ನು ಬಳಸಲಿಲ್ಲ? ಅನುಷ್ಠಾನಕ್ಕೆ ಹಣವನ್ನು ಖರ್ಚು ಮಾಡುವುದು ಕರುಣೆಯಾಗಿದೆಯೇ? ಮೈಕೆಲ್ ಸ್ವತಃ ತಪ್ಪಿತಸ್ಥನಲ್ಲವೇ? ಅವರು ಏಕೆ ದೃಢೀಕರಣ ಕಾರ್ಯವಿಧಾನವನ್ನು ಬದಲಾಯಿಸಲು ಒತ್ತಾಯಿಸಲಿಲ್ಲ ಅಥವಾ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಟೋಕನ್‌ಗಳ ಆಧಾರದ ಮೇಲೆ ಎರಡು-ಅಂಶದ ದೃಢೀಕರಣವನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ವಿನಿಮಯವನ್ನು ಮಾತ್ರ ಬಳಸಲಿಲ್ಲ?

    ನಿಜವಾದ ವಿಶ್ವಾಸಾರ್ಹ ದೃಢೀಕರಣ ವಿಧಾನಗಳ ಪರಿಚಯವು ನಿಖರವಾಗಿ ವಿಳಂಬವಾಗಿದೆ ಏಕೆಂದರೆ ಬಳಕೆದಾರರು ಹ್ಯಾಕಿಂಗ್ ಮಾಡುವ ಮೊದಲು ಅದ್ಭುತ ಅಸಡ್ಡೆಯನ್ನು ತೋರಿಸುತ್ತಾರೆ ಮತ್ತು ನಂತರ ಅವರು ತಮ್ಮ ತೊಂದರೆಗಳನ್ನು ಯಾರಾದರೂ ಮತ್ತು ಪ್ರಾಚೀನ ಮತ್ತು "ಸೋರುವ" ದೃಢೀಕರಣ ತಂತ್ರಜ್ಞಾನಗಳನ್ನು ಹೊರತುಪಡಿಸಿ ಬೇರೆ ಯಾವುದನ್ನಾದರೂ ದೂಷಿಸುತ್ತಾರೆ.

  • ಮಾಲ್ವೇರ್. ಮೊಬೈಲ್ ಮಾಲ್‌ವೇರ್‌ನ ಆರಂಭಿಕ ಕಾರ್ಯಗಳಲ್ಲಿ ಒಂದಾಗಿದ್ದು, ಆಕ್ರಮಣಕಾರರಿಗೆ ಪಠ್ಯ ಸಂದೇಶಗಳನ್ನು ಪ್ರತಿಬಂಧಿಸುವುದು ಮತ್ತು ಫಾರ್ವರ್ಡ್ ಮಾಡುವುದು. ಅಲ್ಲದೆ, ಮ್ಯಾನ್-ಇನ್-ಬ್ರೌಸರ್ ಮತ್ತು ಮ್ಯಾನ್-ಇನ್-ದಿ-ಮಿಡಲ್ ದಾಳಿಗಳು ಸೋಂಕಿತ ಲ್ಯಾಪ್‌ಟಾಪ್‌ಗಳು ಅಥವಾ ಡೆಸ್ಕ್‌ಟಾಪ್ ಸಾಧನಗಳಲ್ಲಿ ನಮೂದಿಸಿದಾಗ ಒಂದು-ಬಾರಿಯ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ಪ್ರತಿಬಂಧಿಸಬಹುದು.

    ನಿಮ್ಮ ಸ್ಮಾರ್ಟ್‌ಫೋನ್‌ನಲ್ಲಿರುವ Sberbank ಅಪ್ಲಿಕೇಶನ್ ಸ್ಟೇಟಸ್ ಬಾರ್‌ನಲ್ಲಿ ಹಸಿರು ಐಕಾನ್ ಅನ್ನು ಮಿಟುಕಿಸಿದಾಗ, ಅದು ನಿಮ್ಮ ಫೋನ್‌ನಲ್ಲಿ "ಮಾಲ್‌ವೇರ್" ಅನ್ನು ಸಹ ಹುಡುಕುತ್ತದೆ. ಈ ಈವೆಂಟ್‌ನ ಗುರಿಯು ವಿಶಿಷ್ಟವಾದ ಸ್ಮಾರ್ಟ್‌ಫೋನ್‌ನ ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ ಕಾರ್ಯಗತಗೊಳಿಸುವ ಪರಿಸರವನ್ನು ಕನಿಷ್ಠ ಕೆಲವು ರೀತಿಯಲ್ಲಿ ವಿಶ್ವಾಸಾರ್ಹವಾಗಿ ಪರಿವರ್ತಿಸುವುದು.
    ಅಂದಹಾಗೆ, ಸ್ಮಾರ್ಟ್‌ಫೋನ್, ಸಂಪೂರ್ಣವಾಗಿ ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ ಸಾಧನವಾಗಿ ಏನು ಮಾಡಬಹುದು, ಅದನ್ನು ದೃಢೀಕರಣಕ್ಕಾಗಿ ಬಳಸಲು ಮತ್ತೊಂದು ಕಾರಣವಾಗಿದೆ ಹಾರ್ಡ್‌ವೇರ್ ಟೋಕನ್‌ಗಳು ಮಾತ್ರ, ಇವುಗಳನ್ನು ರಕ್ಷಿಸಲಾಗಿದೆ ಮತ್ತು ವೈರಸ್‌ಗಳು ಮತ್ತು ಟ್ರೋಜನ್‌ಗಳಿಂದ ಮುಕ್ತವಾಗಿದೆ.

  • ಸಾಮಾಜಿಕ ಎಂಜಿನಿಯರಿಂಗ್. ಬಲಿಪಶುವಿಗೆ SMS ಮೂಲಕ OTP ಗಳನ್ನು ಸಕ್ರಿಯಗೊಳಿಸಲಾಗಿದೆ ಎಂದು ಸ್ಕ್ಯಾಮರ್‌ಗಳು ತಿಳಿದಾಗ, ಅವರು ಬಲಿಪಶುವನ್ನು ನೇರವಾಗಿ ಸಂಪರ್ಕಿಸಬಹುದು, ಅವರ ಬ್ಯಾಂಕ್ ಅಥವಾ ಕ್ರೆಡಿಟ್ ಯೂನಿಯನ್‌ನಂತಹ ವಿಶ್ವಾಸಾರ್ಹ ಸಂಸ್ಥೆಯಾಗಿ ನಟಿಸಬಹುದು, ಬಲಿಪಶುವನ್ನು ಮೋಸಗೊಳಿಸಲು ಅವರು ಸ್ವೀಕರಿಸಿದ ಕೋಡ್ ಅನ್ನು ಒದಗಿಸಬಹುದು.

    ನಾನು ವೈಯಕ್ತಿಕವಾಗಿ ಈ ರೀತಿಯ ವಂಚನೆಯನ್ನು ಹಲವು ಬಾರಿ ಎದುರಿಸಿದ್ದೇನೆ, ಉದಾಹರಣೆಗೆ, ಜನಪ್ರಿಯ ಆನ್‌ಲೈನ್ ಫ್ಲೀ ಮಾರುಕಟ್ಟೆಯಲ್ಲಿ ಏನನ್ನಾದರೂ ಮಾರಾಟ ಮಾಡಲು ಪ್ರಯತ್ನಿಸುವಾಗ. ನನ್ನ ಮನಸಾರೆ ನನ್ನನ್ನು ಮರುಳು ಮಾಡಲು ಯತ್ನಿಸಿದ ಮೋಸಗಾರನನ್ನು ನಾನೇ ಗೇಲಿ ಮಾಡಿದೆ. ಆದರೆ ಅಯ್ಯೋ, ಸ್ಕ್ಯಾಮರ್‌ಗಳ ಇನ್ನೊಬ್ಬ ಬಲಿಪಶು ಹೇಗೆ "ಆಲೋಚಿಸಲಿಲ್ಲ" ಎಂದು ನಾನು ನಿಯಮಿತವಾಗಿ ಸುದ್ದಿಯಲ್ಲಿ ಓದುತ್ತೇನೆ, ದೃಢೀಕರಣ ಕೋಡ್ ನೀಡಿದರು ಮತ್ತು ದೊಡ್ಡ ಮೊತ್ತವನ್ನು ಕಳೆದುಕೊಂಡರು. ಮತ್ತು ಈ ಎಲ್ಲಾ ಏಕೆಂದರೆ ಬ್ಯಾಂಕ್ ಸರಳವಾಗಿ ಅದರ ಅನ್ವಯಗಳಲ್ಲಿ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಟೋಕನ್ಗಳ ಅನುಷ್ಠಾನವನ್ನು ಎದುರಿಸಲು ಬಯಸುವುದಿಲ್ಲ. ಎಲ್ಲಾ ನಂತರ, ಏನಾದರೂ ಸಂಭವಿಸಿದಲ್ಲಿ, ಗ್ರಾಹಕರು "ತಮ್ಮನ್ನು ದೂಷಿಸಬೇಕಾಗುತ್ತದೆ."

ಪರ್ಯಾಯ OTP ವಿತರಣಾ ವಿಧಾನಗಳು ಈ ದೃಢೀಕರಣ ವಿಧಾನದಲ್ಲಿ ಕೆಲವು ದುರ್ಬಲತೆಗಳನ್ನು ತಗ್ಗಿಸಬಹುದು, ಇತರ ದುರ್ಬಲತೆಗಳು ಉಳಿದಿವೆ. ಕದ್ದಾಲಿಕೆ ವಿರುದ್ಧ ಸ್ವತಂತ್ರ ಕೋಡ್ ಜನರೇಷನ್ ಅಪ್ಲಿಕೇಶನ್‌ಗಳು ಉತ್ತಮ ರಕ್ಷಣೆಯಾಗಿದೆ, ಏಕೆಂದರೆ ಮಾಲ್‌ವೇರ್ ಸಹ ಕೋಡ್ ಜನರೇಟರ್‌ನೊಂದಿಗೆ ನೇರವಾಗಿ ಸಂವಹನ ನಡೆಸುವುದಿಲ್ಲ (ಗಂಭೀರವಾಗಿ? ವರದಿಯ ಲೇಖಕರು ರಿಮೋಟ್ ಕಂಟ್ರೋಲ್ ಬಗ್ಗೆ ಮರೆತಿದ್ದಾರೆಯೇ?), ಆದರೆ ಬ್ರೌಸರ್‌ನಲ್ಲಿ ನಮೂದಿಸಿದಾಗ OTP ಗಳನ್ನು ತಡೆಹಿಡಿಯಬಹುದು (ಉದಾಹರಣೆಗೆ ಕೀಲಾಗರ್ ಬಳಸಿ), ಹ್ಯಾಕ್ ಮಾಡಿದ ಮೊಬೈಲ್ ಅಪ್ಲಿಕೇಶನ್ ಮೂಲಕ; ಮತ್ತು ಸಾಮಾಜಿಕ ಇಂಜಿನಿಯರಿಂಗ್ ಬಳಸಿ ಬಳಕೆದಾರರಿಂದ ನೇರವಾಗಿ ಪಡೆಯಬಹುದು.
ಸಾಧನ ಗುರುತಿಸುವಿಕೆಯಂತಹ ಬಹು ಅಪಾಯದ ಮೌಲ್ಯಮಾಪನ ಸಾಧನಗಳನ್ನು ಬಳಸುವುದು (ಕಾನೂನು ಬಳಕೆದಾರರಿಗೆ ಸೇರದ ಸಾಧನಗಳಿಂದ ವಹಿವಾಟು ನಡೆಸುವ ಪ್ರಯತ್ನಗಳ ಪತ್ತೆ), ಜಿಯೋಲೊಕೇಶನ್ (ಈಗಷ್ಟೇ ಮಾಸ್ಕೋದಲ್ಲಿದ್ದ ಬಳಕೆದಾರರು ನೊವೊಸಿಬಿರ್ಸ್ಕ್‌ನಿಂದ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಮಾಡಲು ಪ್ರಯತ್ನಿಸುತ್ತಾರೆ) ಮತ್ತು ವರ್ತನೆಯ ವಿಶ್ಲೇಷಣೆಯು ದುರ್ಬಲತೆಗಳನ್ನು ಪರಿಹರಿಸಲು ಮುಖ್ಯವಾಗಿದೆ, ಆದರೆ ಯಾವುದೇ ಪರಿಹಾರವು ರಾಮಬಾಣವಲ್ಲ. ಪ್ರತಿಯೊಂದು ಸನ್ನಿವೇಶ ಮತ್ತು ಡೇಟಾ ಪ್ರಕಾರಕ್ಕಾಗಿ, ಅಪಾಯಗಳನ್ನು ಎಚ್ಚರಿಕೆಯಿಂದ ನಿರ್ಣಯಿಸುವುದು ಮತ್ತು ಯಾವ ದೃಢೀಕರಣ ತಂತ್ರಜ್ಞಾನವನ್ನು ಬಳಸಬೇಕೆಂದು ಆಯ್ಕೆ ಮಾಡುವುದು ಅವಶ್ಯಕ.

ಯಾವುದೇ ದೃಢೀಕರಣ ಪರಿಹಾರವು ರಾಮಬಾಣವಲ್ಲ

ಚಿತ್ರ 2. ದೃಢೀಕರಣ ಆಯ್ಕೆಗಳ ಕೋಷ್ಟಕ

ದೃ ation ೀಕರಣ ಅಂಶ ವಿವರಣೆ ಪ್ರಮುಖ ದುರ್ಬಲತೆಗಳು
ಪಾಸ್ವರ್ಡ್ ಅಥವಾ ಪಿನ್ ಜ್ಞಾನ ಸ್ಥಿರ ಮೌಲ್ಯ, ಇದು ಅಕ್ಷರಗಳು, ಸಂಖ್ಯೆಗಳು ಮತ್ತು ಹಲವಾರು ಇತರ ಅಕ್ಷರಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ ತಡೆಹಿಡಿಯಬಹುದು, ಬೇಹುಗಾರಿಕೆ ಮಾಡಬಹುದು, ಕದಿಯಬಹುದು, ಎತ್ತಿಕೊಂಡು ಹೋಗಬಹುದು ಅಥವಾ ಹ್ಯಾಕ್ ಮಾಡಬಹುದು
ಜ್ಞಾನ ಆಧಾರಿತ ದೃಢೀಕರಣ ಜ್ಞಾನ ಕಾನೂನು ಬಳಕೆದಾರರಿಗೆ ಮಾತ್ರ ತಿಳಿಯಬಹುದಾದ ಉತ್ತರಗಳನ್ನು ಪ್ರಶ್ನಿಸುತ್ತದೆ ಸಾಮಾಜಿಕ ಎಂಜಿನಿಯರಿಂಗ್ ವಿಧಾನಗಳನ್ನು ಬಳಸಿಕೊಂಡು ತಡೆಹಿಡಿಯಬಹುದು, ಎತ್ತಿಕೊಳ್ಳಬಹುದು, ಪಡೆಯಬಹುದು
ಹಾರ್ಡ್‌ವೇರ್ OTP (ಉದಾಹರಣೆ) ಸ್ವಾಧೀನ ಒಂದು-ಬಾರಿ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ರಚಿಸುವ ವಿಶೇಷ ಸಾಧನ ಕೋಡ್ ಅನ್ನು ತಡೆಹಿಡಿಯಬಹುದು ಮತ್ತು ಪುನರಾವರ್ತಿಸಬಹುದು ಅಥವಾ ಸಾಧನವನ್ನು ಕದಿಯಬಹುದು
ಸಾಫ್ಟ್‌ವೇರ್ OTP ಗಳು ಸ್ವಾಧೀನ ಒಂದು-ಬಾರಿ ಪಾಸ್‌ವರ್ಡ್‌ಗಳನ್ನು ರಚಿಸುವ ಅಪ್ಲಿಕೇಶನ್ (ಮೊಬೈಲ್, ಬ್ರೌಸರ್ ಮೂಲಕ ಪ್ರವೇಶಿಸಬಹುದು ಅಥವಾ ಇಮೇಲ್ ಮೂಲಕ ಕೋಡ್‌ಗಳನ್ನು ಕಳುಹಿಸುವುದು) ಕೋಡ್ ಅನ್ನು ತಡೆಹಿಡಿಯಬಹುದು ಮತ್ತು ಪುನರಾವರ್ತಿಸಬಹುದು ಅಥವಾ ಸಾಧನವನ್ನು ಕದಿಯಬಹುದು
SMS OTP ಸ್ವಾಧೀನ SMS ಪಠ್ಯ ಸಂದೇಶದ ಮೂಲಕ ಒಂದು-ಬಾರಿಯ ಪಾಸ್‌ವರ್ಡ್ ಅನ್ನು ವಿತರಿಸಲಾಗಿದೆ ಕೋಡ್ ಅನ್ನು ತಡೆಹಿಡಿಯಬಹುದು ಮತ್ತು ಪುನರಾವರ್ತಿಸಬಹುದು, ಅಥವಾ ಸ್ಮಾರ್ಟ್‌ಫೋನ್ ಅಥವಾ ಸಿಮ್ ಕಾರ್ಡ್ ಕದಿಯಬಹುದು ಅಥವಾ ಸಿಮ್ ಕಾರ್ಡ್ ನಕಲು ಮಾಡಬಹುದು
ಸ್ಮಾರ್ಟ್ ಕಾರ್ಡ್‌ಗಳು (ಉದಾಹರಣೆ) ಸ್ವಾಧೀನ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಚಿಪ್ ಅನ್ನು ಒಳಗೊಂಡಿರುವ ಕಾರ್ಡ್ ಮತ್ತು ದೃಢೀಕರಣಕ್ಕಾಗಿ ಸಾರ್ವಜನಿಕ ಕೀ ಮೂಲಸೌಕರ್ಯವನ್ನು ಬಳಸುವ ಸುರಕ್ಷಿತ ಕೀ ಮೆಮೊರಿ ಭೌತಿಕವಾಗಿ ಕದ್ದಿರಬಹುದು (ಆದರೆ ದಾಳಿಕೋರರು ಪಿನ್ ಕೋಡ್ ತಿಳಿಯದೆ ಸಾಧನವನ್ನು ಬಳಸಲು ಸಾಧ್ಯವಾಗುವುದಿಲ್ಲ; ಹಲವಾರು ತಪ್ಪಾದ ಇನ್‌ಪುಟ್ ಪ್ರಯತ್ನಗಳ ಸಂದರ್ಭದಲ್ಲಿ, ಸಾಧನವನ್ನು ನಿರ್ಬಂಧಿಸಲಾಗುತ್ತದೆ)
ಭದ್ರತಾ ಕೀಗಳು - ಟೋಕನ್ಗಳು (ಉದಾಹರಣೆ, ಇನ್ನೊಂದು ಉದಾಹರಣೆ) ಸ್ವಾಧೀನ ದೃಢೀಕರಣಕ್ಕಾಗಿ ಸಾರ್ವಜನಿಕ ಕೀ ಮೂಲಸೌಕರ್ಯವನ್ನು ಬಳಸುವ ಕ್ರಿಪ್ಟೋಗ್ರಾಫಿಕ್ ಚಿಪ್ ಮತ್ತು ಸುರಕ್ಷಿತ ಕೀ ಮೆಮೊರಿಯನ್ನು ಒಳಗೊಂಡಿರುವ USB ಸಾಧನ ಭೌತಿಕವಾಗಿ ಕದಿಯಬಹುದು (ಆದರೆ ದಾಳಿಕೋರರು ಪಿನ್ ಕೋಡ್ ತಿಳಿಯದೆ ಸಾಧನವನ್ನು ಬಳಸಲು ಸಾಧ್ಯವಾಗುವುದಿಲ್ಲ; ಹಲವಾರು ತಪ್ಪಾದ ಪ್ರವೇಶ ಪ್ರಯತ್ನಗಳ ಸಂದರ್ಭದಲ್ಲಿ, ಸಾಧನವನ್ನು ನಿರ್ಬಂಧಿಸಲಾಗುತ್ತದೆ)
ಸಾಧನಕ್ಕೆ ಲಿಂಕ್ ಮಾಡಲಾಗುತ್ತಿದೆ ಸ್ವಾಧೀನ ಪ್ರೊಫೈಲ್ ಅನ್ನು ರಚಿಸುವ ಪ್ರಕ್ರಿಯೆ, ಸಾಮಾನ್ಯವಾಗಿ ಜಾವಾಸ್ಕ್ರಿಪ್ಟ್ ಬಳಸಿ, ಅಥವಾ ನಿರ್ದಿಷ್ಟ ಸಾಧನವನ್ನು ಬಳಸಲಾಗುತ್ತಿದೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲು ಕುಕೀಸ್ ಮತ್ತು ಫ್ಲ್ಯಾಶ್ ಶೇರ್ಡ್ ಆಬ್ಜೆಕ್ಟ್‌ಗಳಂತಹ ಮಾರ್ಕರ್‌ಗಳನ್ನು ಬಳಸುವುದು ಟೋಕನ್‌ಗಳನ್ನು ಕದಿಯಬಹುದು (ನಕಲು ಮಾಡಬಹುದು), ಮತ್ತು ಕಾನೂನು ಸಾಧನದ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಆಕ್ರಮಣಕಾರನು ತನ್ನ ಸಾಧನದಲ್ಲಿ ಅನುಕರಿಸಬಹುದು
ವರ್ತನೆ ಅಂತರ್ಗತ ಸಾಧನ ಅಥವಾ ಪ್ರೋಗ್ರಾಂನೊಂದಿಗೆ ಬಳಕೆದಾರರು ಹೇಗೆ ಸಂವಹನ ನಡೆಸುತ್ತಾರೆ ಎಂಬುದನ್ನು ವಿಶ್ಲೇಷಿಸುತ್ತದೆ ನಡವಳಿಕೆಯನ್ನು ಅನುಕರಿಸಬಹುದು
ಬೆರಳಚ್ಚುಗಳು ಅಂತರ್ಗತ ಸಂಗ್ರಹಿಸಿದ ಫಿಂಗರ್‌ಪ್ರಿಂಟ್‌ಗಳನ್ನು ಆಪ್ಟಿಕಲ್ ಅಥವಾ ವಿದ್ಯುನ್ಮಾನವಾಗಿ ಸೆರೆಹಿಡಿಯಲಾದ ಫಿಂಗರ್‌ಪ್ರಿಂಟ್‌ಗಳೊಂದಿಗೆ ಹೋಲಿಸಲಾಗುತ್ತದೆ ಚಿತ್ರವನ್ನು ಕದಿಯಬಹುದು ಮತ್ತು ದೃಢೀಕರಣಕ್ಕಾಗಿ ಬಳಸಬಹುದು
ಕಣ್ಣಿನ ಸ್ಕ್ಯಾನ್ ಅಂತರ್ಗತ ಹೊಸ ಆಪ್ಟಿಕಲ್ ಸ್ಕ್ಯಾನ್‌ಗಳೊಂದಿಗೆ ಐರಿಸ್ ಮಾದರಿಯಂತಹ ಕಣ್ಣಿನ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಹೋಲಿಸುತ್ತದೆ ಚಿತ್ರವನ್ನು ಕದಿಯಬಹುದು ಮತ್ತು ದೃಢೀಕರಣಕ್ಕಾಗಿ ಬಳಸಬಹುದು
ಮುಖ ಗುರುತಿಸುವಿಕೆ ಅಂತರ್ಗತ ಮುಖದ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಹೊಸ ಆಪ್ಟಿಕಲ್ ಸ್ಕ್ಯಾನ್‌ಗಳೊಂದಿಗೆ ಹೋಲಿಸಲಾಗುತ್ತದೆ ಚಿತ್ರವನ್ನು ಕದಿಯಬಹುದು ಮತ್ತು ದೃಢೀಕರಣಕ್ಕಾಗಿ ಬಳಸಬಹುದು
ಧ್ವನಿ ಗುರುತಿಸುವಿಕೆ ಅಂತರ್ಗತ ಧ್ವನಿಮುದ್ರಿತ ಧ್ವನಿ ಮಾದರಿಯ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಹೊಸ ಮಾದರಿಗಳೊಂದಿಗೆ ಹೋಲಿಸಲಾಗುತ್ತದೆ ದಾಖಲೆಯನ್ನು ಕದಿಯಬಹುದು ಮತ್ತು ದೃಢೀಕರಣಕ್ಕಾಗಿ ಬಳಸಬಹುದು ಅಥವಾ ಅನುಕರಿಸಬಹುದು

ಪ್ರಕಟಣೆಯ ಎರಡನೇ ಭಾಗದಲ್ಲಿ, ಅತ್ಯಂತ ರುಚಿಕರವಾದ ವಿಷಯಗಳು ನಮಗೆ ಕಾಯುತ್ತಿವೆ - ಸಂಖ್ಯೆಗಳು ಮತ್ತು ಸಂಗತಿಗಳು, ಅದರ ಮೇಲೆ ಮೊದಲ ಭಾಗದಲ್ಲಿ ನೀಡಲಾದ ತೀರ್ಮಾನಗಳು ಮತ್ತು ಶಿಫಾರಸುಗಳು ಆಧರಿಸಿವೆ. ಬಳಕೆದಾರರ ಅಪ್ಲಿಕೇಶನ್‌ಗಳಲ್ಲಿ ಮತ್ತು ಕಾರ್ಪೊರೇಟ್ ವ್ಯವಸ್ಥೆಗಳಲ್ಲಿ ದೃಢೀಕರಣವನ್ನು ಪ್ರತ್ಯೇಕವಾಗಿ ಚರ್ಚಿಸಲಾಗುವುದು.

ಶೀಘ್ರದಲ್ಲೇ ನಿಮ್ಮನ್ನು ಭೇಟಿ ಮಾಡುತ್ತೇವೆ!

ಮೂಲ: www.habr.com

ಕಾಮೆಂಟ್ ಅನ್ನು ಸೇರಿಸಿ