Spoiler ji sernavê raporê: "Ji ber metirsiya xetereyên nû û hewcedariyên birêkûpêk, karanîna piştrastkirina bihêz zêde dibe."
Pargîdaniya lêkolînê "Javelin Strategy & Research" rapora "Rewşa Rastkirina Hêzdar 2019" weşand (). Ev rapor dibêje: çend ji sedî ji kompaniyên Amerîkî û Ewropî şîfreyan bikar tînin (û çima hindik kes nuha şîfreyan bikar tînin); çima karanîna piştrastkirina du-faktorî ya li ser bingeha nîşaneyên krîptografî ewqas zû mezin dibe; Çima kodên yek carî ku bi SMS-ê têne şandin ne ewle ne.
Kesê ku di pargîdanî û serîlêdanên xerîdar de bi erêkirina niha, paşeroj û paşerojê re eleqedar e bi xêr hatî.
Ji wergêr
Heyf, zimanê ku ev rapor pê hatiye nivîsandin, pir "zuwa" û fermî ye. Û XNUMX caran bikaranîna peyva "rastkirin" di hevokeke kurt de ne destên (an jî mejiyên) yên wergêr ên çolê, lê kêfa nivîskaran e. Dema ku ji du vebijarkan werdigerînim - ji bo ku ez nivîsek nêzikî orîjînalê, an ya balkêştir bidim xwendevanan, min carinan ya yekem, carinan jî ya duyemîn hilbijart. Lê sebir bin, xwendevanên hêja, naveroka raporê hêja ye.
Ji bo çîrokê hin beşên ne girîng û nepêwist hatin rakirin, wekî din piraniyê nikarîbûya tevaya nivîsê derbas bikira. Kesên ku dixwazin raporê "nebirrîn" bixwînin, dikarin bi zimanê resen bi lînkê bixwînin.
Mixabin, nivîskar her gav ji termînolojiyê re ne baldar in. Ji ber vê yekê, şîfreyên yek carî (Şîfreyek Yek Dem - OTP) carinan wekî "şîfre", û carinan jî "kod" têne gotin. Ew bi rêbazên verastkirinê jî xirabtir e. Ji bo xwendevanê nexwendî her gav ne hêsan e ku texmîn bike ku "rêxistinkirina bi karanîna bişkojkên krîptografî" û "verastkirina bihêz" heman tişt in. Min hewl da ku heta ku dibe bila bibe, şert û mercan yek bikin, û di raporê de bi xwe jî perçeyek bi vegotina wan heye.
Lêbelê, rapor xwendina pir tê pêşniyar kirin ji ber ku ew encamên lêkolînê yên bêhempa û encamên rast dihewîne.
Hemî jimar û rastî bêyî guhertinên piçûk têne pêşkêş kirin, û heke hûn bi wan re ne razî ne, wê hingê çêtir e ku hûn ne bi wergêr, lê bi nivîskarên raporê re nîqaş bikin. Û li vir şîroveyên min hene (wekî neql hatine danîn, û di nivîsê de hatine nîşankirin Îtalî) nirxê min in û ez ê kêfxweş bibim ku li ser her yek ji wan nîqaşan bikim (û her weha li ser kalîteya wergerê).
gistî
Naha, kanalên dîjîtal ên danûstendinê yên bi xerîdaran re ji her demê zêdetir ji bo karsaziyan girîng in. Û di hundurê pargîdaniyê de, danûstendinên di navbera karmendan de ji berê bêtir dîjîtal têne rêve kirin. Û ev têkilî dê çiqas ewledar bin bi rêbaza bijartî ya pejirandina bikarhêner ve girêdayî ye. Êrîşker piştrastkirina qels bikar tînin da ku bi girseyî hesabên bikarhêneran hak bikin. Di bersivê de, regulator standardan hişk dikin da ku karsaziyan neçar bikin ku hesabên bikarhêner û daneyan çêtir biparêzin.
Tehdîdên têkildarî rastrastkirinê ji serîlêdanên xerîdar derbas dibin; êrîşkar jî dikarin bigihîjin serîlêdanên ku di hundurê pargîdaniyê de dixebitin. Ev operasyon rê dide wan ku bikarhênerên pargîdanî bişopînin. Êrîşkerên ku xalên gihîştinê yên bi erêkirina qels bikar tînin dikarin daneyan bidizin û çalakiyên din ên xapînok bikin. Xweşbextane, tedbîrên li dijî vê yekê hene. Nasnameya bihêz dê bibe alîkar ku bi girîngî xetera êrîşa êrîşkar kêm bike, hem li ser serîlêdanên xerîdar û hem jî li ser pergalên karsaziya pargîdanî.
Vê lêkolînê vedikole: ka pargîdanî çawa erêkirinê bicîh dikin da ku serîlêdanên bikarhênerê dawî û pergalên karsaziya pargîdanî biparêzin; faktorên ku ew dema ku çareseriyek pejirandinê hilbijêrin; rola ku piştrastkirina bihêz di rêxistinên wan de dilîze; feydeyên van rêxistinan distînin.
Nîqaş
Lêgerînên Key
Ji sala 2017-an vir ve, karanîna piştrastkirina bihêz bi tundî zêde bûye. Bi zêdebûna hejmara qelsbûnê re ku bandorê li çareseriyên erêkirina kevneşopî dike, rêxistin bi erêkirina bihêz re kapasîteyên xwe yên erêkirinê xurt dikin. Ji sala 2017-an vir ve ji bo serîlêdanên xerîdar ji sedî 50-ê ji sedî XNUMX zêde bûye. Ji ber zêdebûna hebûna pejirandina biyometrîkî, mezinbûna zûtirîn di pejirandina mobîl de tê dîtin.
Li vir em mînakek ji gotina "heta birûskê nekeve, mirov xwe derbas nake" dibînin. Dema ku pisporan di derbarê neewlehiya şîfreyan de hişyarî dan, tu kes lez nedikir ku piştrastkirina du-faktorî bicîh bîne. Hema ku hackeran dest bi dizîna şîfreyan kirin, mirovan dest bi bicihanîna rastkirina du-faktorî kirin.
Rast e, kes pir çalaktir 2FA bicîh dikin. Ya yekem, ji wan re hêsantir e ku tirsa xwe bispêrin bi piştrastkirina biyometrîkî ya ku di têlefonan de hatî çêkirin, ku bi rastî pir ne pêbawer e. Pêdivî ye ku rêxistin ji bo kirîna tokenan drav xerc bikin û ji bo bicihanîna wan kar (bi rastî, pir hêsan) bikin. Ya duyemîn jî, tenê mirovên tembel li ser derbeya şîfreyê ji karûbarên mîna Facebook û Dropbox nenivîsandine, lê di bin ti şert û mercan de CIO-yên van rêxistinan dê çîrokan li ser çawa şîfre hatine dizîn (û paşê çi qewimî) di rêxistinan de parve bikin.
Yên ku erêkirina bihêz bikar neynin, xetera xwe ya ji bo karsaz û xerîdarên xwe kêm dikin. Hin rêxistinên ku naha erêkirina bihêz bikar naynin, meyla dikin ku têketin û şîfreyan wekî yek ji awayên herî bi bandor û hêsan-karanîna rastkirina bikarhêneran bibînin. Yên din nirxa hebûnên dîjîtal ên ku xwedan in nabînin. Beriya her tiştî, hêja ye ku were fikirîn ku sûcdarên sîber bi agahdariya xerîdar û karsaziyê re eleqedar dibin. Du-sê pargîdaniyên ku tenê şîfreyan bikar tînin ji bo rastkirina karmendên xwe wiya dikin ji ber ku ew bawer dikin ku şîfre ji bo celebê agahdariya ku ew diparêzin têra xwe baş in.
Lêbelê, şîfre li ser riya gorê ne. Girêdana şîfreyê di sala borî de hem ji bo serîlêdanên xerîdar û hem jî ji bo pargîdanî (ji 44% ber 31%, û ji 56% ber 47%, bi rêzê ve) pir kêm bûye ji ber ku rêxistin karanîna MFA-ya kevneşopî û pejirandina bihêz zêde dikin.
Lê heke em li rewşê bi tevahî mêze bikin, rêbazên erêkirinê yên xedar hîn jî serdest in. Ji bo erêkirina bikarhêner, nêzî çaryek rêxistinan SMS OTP (şîfreya yek-car) digel pirsên ewlehiyê bikar tînin. Wekî encamek, pêdivî ye ku tedbîrên ewlehiyê yên din bêne bicîh kirin da ku li hember qelsbûnê, ku lêçûn zêde dike, were parastin. Bikaranîna rêbazên piştrastkirinê yên pir ewledar, wek mifteyên krîptografîk ên hardware, bi qasî 5% ji rêxistinan pir kêm têne bikar anîn.
Jîngeha birêkûpêk a pêşkeftî soz dide ku ji bo serîlêdanên xerîdar pejirandina pejirandina bihêz zûtir bike. Bi danasîna PSD2, û her weha qaîdeyên nû yên parastina daneyan li YE û çend eyaletên Dewletên Yekbûyî yên wekî California, pargîdanî germê hîs dikin. Nêzîkî 70% ji pargîdaniyan dipejirînin ku ew bi zextek birêkûpêk a bihêz re rû bi rû dimînin da ku ji xerîdarên xwe re pejirandina bihêz peyda bikin. Zêdetirî nîvê pargîdaniyan bawer dikin ku di nav çend salan de rêbazên rastkirina wan dê ne bes bin ku standardên birêkûpêk bicîh bînin.
Cûdahiya di nêzîkatiyên qanûndanerên Rûs û Amerîkî-Ewropî de ji bo parastina daneyên kesane yên bikarhênerên bername û karûbaran bi zelalî xuya dike. Rûs dibêjin: xwediyên xizmetên hêja, hûn çi dixwazin û çawa dixwazin bikin, lê ger rêvebirê we databasê bike yek, emê we ceza bikin. Ew li derve dibêjin: divê hûn komek tedbîrên ku pêk bînin destûr nade bingehê birijînin. Ji ber vê yekê hewcedariyên ji bo pejirandina du-faktorî ya hişk li wir têne bicîh kirin.
Rast e, dûrî rastiyekê ye ku makîneya me ya zagonsaz rojekê li ser hişê xwe neçe û ezmûna Rojava li ber çavan negire. Dûv re derdikeve holê ku her kes hewce dike ku 2FA, ku bi standardên krîptografî yên rûsî re tevdigere, û bi lez bicîh bîne.
Damezrandina çarçoveyek pejirandinê ya bihêz dihêle ku pargîdaniyan bala xwe ji bicîhanîna hewcedariyên birêkûpêk berbi pêkanîna hewcedariyên xerîdar veguhezînin. Ji bo wan rêxistinên ku hîn jî şîfreyên hêsan bikar tînin an jî kodên bi SMS-ê distînin, gava ku meriv rêbazek erêkirinê hilbijêrin, faktora herî girîng dê pêkanîna daxwazên rêziknameyê be. Lê ew pargîdaniyên ku berê erêkirina bihêz bikar tînin dikarin balê bikişînin ser hilbijartina wan rêbazên erêkirinê yên ku dilsoziya xerîdar zêde dikin.
Dema ku di nav pargîdaniyek de rêbazek pejirandina pargîdanî hilbijêrin, hewcedariyên birêkûpêk êdî faktorek girîng in. Di vê rewşê de, hêsankirina yekbûnê (32%) û lêçûn (26%) pir girîngtir in.
Di serdema phishing de, êrîşkar dikarin e-nameya pargîdanî ji bo xapandinê bikar bînin ku bi sextekarî bigihîje daneyan, hesaban (bi mafên gihîştina guncan), û tewra jî karmendan razî bike ku veguheztina drav li hesabê xwe bikin. Ji ber vê yekê, hesabên e-name û portalê yên pargîdanî divê bi taybetî baş werin parastin.
Google bi sepandina erêkirina bihêz ewlehiya xwe xurt kiriye. Zêdetirî du sal berê, Google raporek li ser pêkanîna rastkirina du-faktorî ya li ser bingeha bişkojkên ewlehiya krîptografî bi karanîna standarda FIDO U2F weşand, û encamên balkêş rapor kir. Li gorî şîrketê, li dijî zêdetirî 85 karmendan yek êrîşek fîşekirinê jî nehatiye kirin.
pêşnîyarên
Ji bo sepanên mobîl û serhêl erêkirina bihêz bicîh bikin. Nasnameya pir-faktorî ya ku li ser bingeha bişkojkên krîptografî ye, ji rêbazên MFA-ya kevneşopî li hember hakkirinê pir çêtir parastinê peyda dike. Wekî din, karanîna mifteyên krîptografî pir hêsantir e ji ber ku ne hewce ye ku meriv agahdariya zêde bikar bîne û veguhezîne - şîfre, şîfreyên yek-car an daneyên biyometrîk ji cîhaza bikarhêner berbi servera rastkirinê. Wekî din, standardkirina protokolên erêkirinê gava ku ew berdest dibin, pêkanîna rêbazên nû yên erêkirinê pir hêsantir dike, lêçûnên bicîhkirinê kêm dike û li hember pîlanên sextekariya bêtir sofîstîke diparêze.
Ji bo hilweşandina şîfreyên yek-car (OTP) amade bikin. Qelsiyên ku di OTP-an de ne her ku diçe diyar dibin ji ber ku sûcdarên sîber endezyariya civakî, klonkirina smartphone û malware bikar tînin da ku van tedbîrên erêkirinê têk bibin. Û heke OTP di hin rewşan de hin avantajên xwe hene, wê hingê tenê ji nihêrîna hebûna gerdûnî ya ji bo hemî bikarhêneran, lê ne ji hêla ewlehiyê ve.
Ne mimkûn e ku meriv pê nehese ku wergirtina kodan bi SMS an agahdariya Push, û her weha çêkirina kodan bi karanîna bernameyên ji bo têlefonên têlefonê, karanîna wan şîfreyên yek-car (OTP) e ku ji bo wan tê xwestin ku em ji kêmbûnê re amade bibin. Ji hêla teknîkî ve, çareserî pir rast e, ji ber ku ew xapînokek kêm e ku hewl nade ku şîfreya yek-car ji bikarhênerek dilpak bibîne. Lê ez difikirim ku çêkerên pergalên weha dê heya dawî bi teknolojiya mirinê ve girêdayî bin.
Nasnameya bihêz wekî amûrek kirrûbirrê bikar bînin da ku pêbaweriya xerîdar zêde bikin. Nasnameya bihêz dikare ji baştirkirina ewlehiya rastîn a karsaziya we zêdetir bike. Agahdariya xerîdar ku karsaziya we piştrastkirina bihêz bikar tîne dikare têgihîştina gelemperî ya ewlehiya wê karsaziyê xurt bike - faktorek girîng e dema ku daxwazek xerîdar a girîng ji bo rêbazên piştrastkirina bihêz hebe.
Daneyên pargîdanî de hilanînek bêkêmasî û nirxandina krîtîk pêk bînin û li gorî girîngiyê wê biparêzin. Tewra daneyên kêm-rîsk wekî agahdariya pêwendiya xerîdar (na, bi rastî, rapor dibêje "kêm xeternak", pir ecêb e ku ew girîngiya vê agahiyê kêm dikin), dikare ji sextekaran re nirxek girîng bîne û ji pargîdaniyê re bibe sedema pirsgirêkan.
Nasnameya pargîdaniya bihêz bikar bînin. Hejmarek pergal ji bo sûcdaran hedefên herî balkêş in. Di nav wan de pergalên hundurîn û bi Înternetê ve girêdayî hene, wekî bernameyek hesabê an depoyek daneya pargîdanî. Nasnameya bihêz rê li ber êrîşkeran digire ku bigihîjin destwerdana bêdestûr, û di heman demê de gengaz dike ku meriv rast diyar bike ka kîjan karmend çalakiya xirab kiriye.
Nasnameya Strong çi ye?
Dema ku pejirandina bihêz bikar tînin, çend rêbaz an faktor têne bikar anîn da ku rastiya bikarhênerê verast bikin:
- Faktora zanînê: raza hevbeş di navbera bikarhêner û mijara pejirandî ya bikarhêner de (wek şîfre, bersivên pirsên ewlehiyê, hwd.)
- Faktora xwedîtiyê: amûrek ku tenê bikarhêner heye (mînak, amûrek mobîl, mifteyek krîptografîk, hwd.)
- Faktora yekitiyê: taybetmendiyên fîzîkî (pir caran biyometrîk) yên bikarhêner (mînak, şopa tilikê, nimûneya iris, deng, tevger, hwd.)
Pêdiviya hakkirina gelek faktoran îhtîmala têkçûna êrîşkaran pir zêde dike, ji ber ku dûrxistin an xapandina faktorên cihêreng hewce dike ku gelek celeb taktîkên hakkirinê bikar bînin, ji bo her faktorek cuda.
Mînakî, bi 2FA "şîfre + smartphone", êrîşkar dikare bi nihêrîna şîfreya bikarhêner û çêkirina kopiyek nermalava rastîn a smartphone xwe verastkirinê pêk bîne. Û ev ji tenê dizîna şîfreyek pir dijwartir e.
Lê heke ji bo 2FA şîfreyek û nîşanek krîptografîk were bikar anîn, wê hingê vebijarka kopîkirinê li vir nexebite - ne gengaz e ku tokenê dubare bike. Dê hewce bike ku sextekar bi dizî tokenê ji bikarhênerê dizîne. Ger bikarhêner di wextê xwe de windahiyê ferq bike û rêveberê agahdar bike, dê token were asteng kirin û dê hewildanên sextekar bê encam bimîne. Ji ber vê yekê faktora xwedîtiyê ji bilî amûrên mebesta gelemperî (têlefonên zirav) hewce dike ku amûrên ewledar ên pispor (nîşan) bikar bînin.
Bikaranîna her sê faktoran dê vê rêbaza erêkirinê ji bo bicîhkirinê pir biha û karanîna pir nerehet bike. Ji ber vê yekê, du ji sê faktoran bi gelemperî têne bikar anîn.
Prensîbên piştrastkirina du-faktorî bi hûrgulî têne vegotin , di bloka "Rastkirina du-faktorî çawa dixebite".
Girîng e ku bala xwe bidinê ku bi kêmî ve yek ji faktorên erêkirinê yên ku di pejirandina bihêz de têne bikar anîn divê şîfreya mifteya giştî bikar bînin.
Nasnameya bihêz ji rastrastkirina yek-faktorê ku li ser bingeha şîfreyên klasîk û MFA-ya kevneşopî ye, parastinek pir bihêztir peyda dike. Şîfre dikarin bi karanîna keyloggers, malperên phishing, an êrîşên endezyariya civakî (ku mexdûr tê xapandin da ku şîfreya xwe eşkere bike) were şopandin an were girtin. Wekî din, xwediyê şîfreyê dê di derheqê diziyê de tiştek nizanibe. MFA ya kevneşopî (tevî kodên OTP, girêdana bi têlefonek an SIM-kartê) jî bi hêsanî dikare were hack kirin, ji ber ku ew ne li ser bingeha şîfrekirina mifteya giştî ye (Bi awayê, gelek mînak hene dema ku, bi karanîna heman teknîkên endezyariya civakî, xapînok bikarhêneran razî kirin ku şîfreyek yek-car bidin wan.).
Bi bextewarî, karanîna pejirandina bihêz û MFA-ya kevneşopî ji sala borî ve hem di serîlêdanên xerîdar û hem jî di pargîdanî de balê dikişîne. Di serîlêdanên xerîdar de karanîna pejirandina bihêz bi taybetî bi lez mezin bûye. Ger di sala 2017-an de tenê 5% ji pargîdaniyan ew bikar anîn, wê hingê di sala 2018-an de ew jixwe sê carî zêdetir bû - 16%. Ev dikare bi zêdebûna hebûna nîşanekan ku algorîtmayên Krîptografiya Klavyeya Giştî (PKC) piştgirî dikin ve were rave kirin. Digel vê yekê, zexta zêde ya sazûmanên Ewropî piştî pejirandina qaîdeyên nû yên parastina daneyê yên wekî PSD2 û GDPR bandorek xurt li derveyî Ewrûpa jî heye (di nav de li Rûsyayê).
Werin em ji nêz ve li van hejmaran binêrin. Wekî ku em dibînin, rêjeya kesên taybet ku pejirandina pir-faktorî bikar tînin di salekê de ji sedî 11% berbiçav zêde bûye. Û ev eşkere li ser hesabê hezkirên şîfreyê pêk hat, ji ber ku hejmarên kesên ku bi ewlehiya agahdariya Push, SMS û biyometrîk bawer dikin neguheriye.
Lê digel erêkirina du-faktorî ji bo karanîna pargîdanî, tişt ne ew qas baş in. Ya yekem, li gorî raporê, tenê 5% ji karmendan ji piştrastkirina şîfreyê veguheztin tokenan. Ya duyemîn jî, hejmara kesên ku vebijarkên MFA-yê yên alternatîf di hawîrdorek pargîdanî de bikar tînin ji sedî 4 zêde bûye.
Ez ê hewl bidim ku analîst bileyzim û şiroveya xwe bidim. Di navenda cîhana dîjîtal a bikarhênerên kesane de smartphone ye. Ji ber vê yekê, ne ecêb e ku piraniya wan kapasîteyên ku cîhaz ji wan re peyda dike bikar bînin - rastkirina biyometrîk, notifications SMS û Push, û her weha şîfreyên yek-carî ku ji hêla serîlêdanên li ser smartphone bixwe ve têne çêkirin. Mirov bi gelemperî dema ku amûrên ku ew bikar tînin bikar tînin li ser ewlehî û pêbaweriyê nafikirin.
Ji ber vê yekê rêjeya bikarhênerên faktorên erêkirina "kevneşopî" yên primitive nayê guhertin. Lê yên ku berê şîfre bikar anîne fêm dikin ka ew çiqas xeternak in, û dema ku faktorek nûvekirinê ya nû hildibijêrin, ew vebijarka herî nû û ewledar hildibijêrin - nîşanek krîptografîk.
Di derbarê bazara pargîdanî de, girîng e ku meriv têbigihîje ku têgihîştina pergalê di kîjan pergalê de tête kirin. Ger têketina navokek Windows-ê were bicîh kirin, wê hingê nîşaneyên krîptografî têne bikar anîn. Derfetên ji bo karanîna wan ji bo 2FA jixwe hem di Windows û hem jî Linux de hatine çêkirin, lê vebijarkên alternatîf dirêj û dijwar in ku bêne bicîh kirin. Ji bo koçkirina 5% ji şîfreyan ber bi nîşanan ve ewqas.
Û pêkanîna 2FA di pergalek agahdariya pargîdanî de pir bi kalîteyên pêşdebiran ve girêdayî ye. Û ji bo pêşdebiran pir hêsantir e ku modulên amade ji bo çêkirina şîfreyên yek-carî ji famkirina xebata algorîtmayên krîptografî bigirin. Wekî encamek, tewra serîlêdanên krîtîk ên ewlehiyê yên mîna Pergalên Rêvebiriya Rêvebiriya Gihîştina Taybet OTP-ê wekî faktorek duyemîn bikar tînin.
Di rêbazên erêkirina kevneşopî de gelek qelsî
Digel ku gelek rêxistin bi pergalên yek-faktorî yên mîras ve girêdayî dimînin, qelsiyên di pejirandina pir-faktorî ya kevneşopî de her ku diçe diyar dibin. Şîfreyên yek-car, bi gelemperî bi dirêjahiya şeş û heşt tîpan, ku bi SMS ve têne şandin, forma herî gelemperî ya pejirandinê dimîne (bê guman, ji bilî faktora şîfreyê). Û gava ku di çapemeniya populer de peyvên "erêkirina du-faktor" an "verastkirina du-gav" têne gotin, ew hema hema her gav behsa rastkirina şîfreya yek-carî ya SMS-ê dikin.
Li vir nivîskar hinekî şaş e. Radestkirina şîfreyên yek-carî bi SMS-ê çu carî erêkirina du-faktorî nebûye. Ev di forma xweya herî paqij de qonaxa duyemîn a rastkirina du-gavekî ye, ku qonaxa yekem têketina têketin û şîfreya we ye.
Di sala 2016-an de, Enstîtuya Neteweyî ya Standard û Teknolojiyê (NIST) qaîdeyên xweya erêkirinê nû kir da ku karanîna şîfreyên yek-carî yên ku bi SMS-ê hatine şandin ji holê rake. Lêbelê, ev rêgez piştî protestoyên pîşesaziyê bi girîngî rehet bûn.
Ji ber vê yekê, em li pey komployê bin. Rêvebirê Amerîkî rast dipejirîne ku teknolojiya kevnar nekare ewlehiya bikarhêner dabîn bike û standardên nû destnîşan dike. Standardên ku ji bo parastina bikarhênerên serîlêdanên serhêl û mobîl (tevî yên bankingê) hatine çêkirin. Pîşesazî hesab dike ka ew ê çiqas drav xerc bike ji bo kirîna nîşaneyên krîptografî yên bi rastî pêbawer, ji nû ve sêwirana serîlêdanan, bicihkirina binesaziyek mifteya giştî, û "li ser lingên xwe yên paşîn radibe." Ji aliyekî ve, bikarhêner bi pêbaweriya şîfreyên yek-carî piştrast bûn, û ji hêla din ve jî êrişên NIST-ê hebûn. Wekî encamek, standard nerm bû, û hejmara hack û diziya şîfreyan (û pereyên ji serîlêdanên bankingê) pir zêde bû. Lê pîşesazî neçar ma ku drav derxîne.
Ji hingê ve, qelsiyên xwerû yên SMS OTP bêtir eşkere bûne. Sextekar rêbazên cûrbecûr bikar tînin da ku peyamên SMS lihev bikin:
- Dubarekirina SIM karta. Êrîşker kopiyek SIM-ê diafirînin (bi alîkariya xebatkarên operatorê mobîl, an serbixwe, bi karanîna nermalava taybetî û hardware). Di encamê de, êrîşkar SMSek bi şîfreyek yek carî distîne. Di bûyerek bi taybetî navdar de, hackeran tewra karîbûn hesabê AT&T yê veberhênerê diravê krîpto Michael Turpin tawîz bidin û nêzî 24 mîlyon dolar pereyên krîptoyê bidizin. Wekî encamek, Turpin diyar kir ku AT&T ji ber tedbîrên verastkirina qels ên ku bûne sedema dubarekirina karta SIM-ê xelet bû.
Mantiqa ecêb. Ji ber vê yekê ew bi rastî tenê sûcê AT&T ye? Na, bê guman xeletiya operatorê mobîl e ku firoşkarên di firotgeha ragihandinê de qertek SIM-ya dubare derxistine. Li ser pergala pejirandina pevguherîna krîptoyê çi ye? Çima wan nîşaneyên krîptografîk ên bihêz bikar neanîn? Xerckirina pereyan ji bo pêkanînê xemgîn bû? Ma Michael bi xwe ne sûcdar e? Çima wî israr nekir ku mekanîzmaya pejirandinê biguhezîne an tenê wan danûstendinan bikar bîne ku piştrastkirina du-faktorî li ser bingeha nîşaneyên krîptografî bicîh tîne?
Danasîna rêbazên erêkirinê yên bi rastî pêbawer bi tam tê dereng kirin ji ber ku bikarhêner berî hakkirinê xemsariyek ecêb nîşan didin, û dûv re jî ew pirsgirêkên xwe sûcdar dikin ji bilî teknolojiyên erêkirinê yên kevnar û "lez"
- Malware. Yek ji fonksiyonên pêşîn ên malwareya mobîl ew bû ku peyamên nivîsê ji êrîşkaran re bişopîne û bişîne. Di heman demê de, êrişên mirov-di-gerok û meriv-di-navîn dikarin şîfreyên yek-carî gava ku ew li ser laptopan an cîhazên sermaseyê yên enfeksiyonê têne têkevin navber bikin.
Dema ku serîlêdana Sberbank ya li ser smartphone we îkonek kesk di barika statûyê de vedike, ew li ser têlefona we jî li "malware" digere. Armanca vê bûyerê ew e ku hawîrdora darvekirina nebawer a smartphone-ya tîpîk, bi kêmî ve bi rengek pêbawer, veguherîne.
Bi awayê, smartphone, wekî amûrek bi tevahî nebawer ku li ser her tişt dikare were kirin, sedemek din e ku meriv wê ji bo pejirandinê bikar bîne. nîşaneyên hardware tenê, ku ji vîrus û Trojanan têne parastin û bêpar in. - Endezyariya Civakî. Gava ku xapînok dizanin ku mexdûrek OTP bi rêya SMS-ê vekiriye, ew dikarin rasterast bi mexdûr re têkilî daynin, wekî rêxistinek pêbawer mîna bank an sendîkaya krediya xwe nîşan bidin, da ku mexdûr bixapînin da ku koda ku nû wergirtiye peyda bikin.
Min bixwe gelek caran rastî vê celebê sextekariyê hat, mînakî, dema ku ez hewl didim ku tiştek li ser sûka serhêl a populer a serhêl bifroşim. Min bi xwe tinazên xwe bi fêlbazê ku dixwest min bi dilê min bixapîne kir. Lê mixabin, min bi rêkûpêk di nûçeyan de xwend ku çawa mexdûrek din a xapînok "nefikirî," koda pejirandinê da û jimarek mezin winda kir. Û ev hemî ji ber ku bank bi tenê naxwaze bi pêkanîna nîşaneyên krîptografî di serîlêdanên xwe de mijûl bibe. Beriya her tiştî, heke tiştek diqewime, xerîdar "xwe sûcdar in."
Digel ku rêbazên radestkirina OTP-ê yên alternatîf dikarin di vê rêbaza pejirandinê de hin qelsiyan sivik bikin, qelsiyên din jî dimînin. Serîlêdanên hilberîna kodê ya serbixwe li dijî guhdarîkirinê parastina çêtirîn e, ji ber ku malware jî bi zor nikare rasterast bi hilberînerê kodê re têkilî daynin (bi giranî? Ma nivîskarê raporê kontrola ji dûr ve ji bîr kir?), lê dema ku OTP têkevin gerokê hîn jî dikarin werin girtin (ji bo nimûne bikaranîna keylogger), bi serîlêdana mobîl a hacked; û di heman demê de dikare rasterast ji bikarhêner ku endezyariya civakî bikar tîne were wergirtin.
Bikaranîna gelek amûrên nirxandina xetereyê yên wekî naskirina amûrê (tespîtkirina hewildanên ji bo pêkanîna danûstendinan ji cîhazên ku ne girêdayî bikarhênerek qanûnî ne), erdnîgarî (bikarhênerek ku nû li Moskowê ye hewl dide ku ji Novosibirsk operasyonek pêk bîne) û analîzên behrê ji bo rakirina qelsiyan girîng in, lê her du çareserî jî ne dermanek e. Ji bo her rewş û celebê daneyê, pêdivî ye ku meriv bi baldarî xetereyan binirxîne û hilbijêrin ku kîjan teknolojiya pejirandinê divê were bikar anîn.
Tu çareserî erêkirinê dermanek e
Wêne 2. Tabloya vebijarkên erêkirinê
| Daxuyanî | Faktor | description | Qelsiyên sereke |
| Şîfre an PIN | Zanîn | Nirxa sabît, ku dikare tîp, jimar û hejmarek tîpên din pêk bîne | Dikare were desteserkirin, sîxurkirin, dizîn, hildan an jî hackkirin |
| Nasnameya-based zanînê | Zanîn | Bersivên ku tenê bikarhênerek qanûnî dikare bizanibe pirs dike | Bi karanîna rêbazên endezyariya civakî dikare were girtin, hildan, wergirtin |
| Hardware OTP () | Hebûnî | Amûrek taybetî ya ku şîfreyên yek carî çêdike | Dibe ku kod were girtin û dubare kirin, an jî amûr dikare were dizîn |
| Software OTPs | Hebûnî | Serlêdanek (mobîl, bi gerokek ve tê gihîştin, an kodên bi e-nameyê dişîne) ku şîfreyên yek carî çêdike. | Dibe ku kod were girtin û dubare kirin, an jî amûr dikare were dizîn |
| SMS OTP | Hebûnî | Şîfreya yek-carî bi rêya peyama nivîsê ya SMS-ê ve hatî şandin | Dibe ku kod were girtin û dubare kirin, an jî smartphone an SIM karta dikare were dizîn, an jî dibe ku SIM karta dubare bibe |
| Kartên zîrek () | Hebûnî | Kartek ku çîpek krîptografîk û bîranînek mifteya ewledar heye ku binesaziyek mifteya giştî ji bo rastkirinê bikar tîne | Dibe ku bi fîzîkî were dizîn (lê êrîşkar dê nikaribe amûrê bikar bîne bêyî ku koda PIN-ê nas bike; di doza çend hewildanên têketinê yên nerast de, dê cîhaz were asteng kirin) |
| Bişkojkên Ewlekariyê - Nîşan (, ) | Hebûnî | Amûrek USB ya ku çîpek krîptografîk û bîranîna mifteya ewledar heye ku ji bo rastkirinê binesaziyek mifteya giştî bikar tîne | Dikare bi fizîkî were dizîn (lê êrîşkar dê nikaribe amûrê bikar bîne bêyî ku koda PIN-ê nas bike; heke çend hewildanên têketinê yên çewt, dê cîhaz were asteng kirin) |
| Girêdana bi amûrekê | Hebûnî | Pêvajoya ku profîlek diafirîne, bi gelemperî JavaScript-ê bikar tîne, an jî nîşankerên wekî cookies û Tiştên Parvekirî Flash bikar tîne da ku pê ewle bibe ku amûrek taybetî tê bikar anîn. | Nîşan dikarin bêne dizîn (kopî kirin), û taybetmendiyên amûrek qanûnî dikare ji hêla êrîşkerek li ser cîhaza wî ve were teqlîd kirin. |
| Behind | Inherence | Analîz dike ka bikarhêner çawa bi amûrek an bernameyekê re têkilî dike | Tevger dikare were teqlîd kirin |
| Şopa tiliyan | Inherence | Şopa tiliyên hilanîn bi yên ku bi optîkî an elektronîkî hatine girtin têne berhev kirin | Wêne dikare were dizîn û ji bo pejirandinê were bikar anîn |
| Eye scan | Inherence | Taybetmendiyên çavan, wek mînaka irisê, bi dîmenên optîkî yên nû re berhev dike | Wêne dikare were dizîn û ji bo pejirandinê were bikar anîn |
| Naskirina rûyê | Inherence | Taybetmendiyên rû bi dîmenên optîkî yên nû re têne berhev kirin | Wêne dikare were dizîn û ji bo pejirandinê were bikar anîn |
| Naskirina deng | Inherence | Taybetmendiyên nimûneya dengê tomarkirî bi nimûneyên nû re têne berhev kirin | Tomar dikare were dizîn û ji bo pejirandinê were bikar anîn, an jî emûl kirin |
Di beşa duyemîn a weşanê de, tiştên herî xweş li benda me ne - hejmar û rastî, ku li ser wan encam û pêşniyarên ku di beşa yekem de hatine dayîn têne çêkirin. Nasname di serîlêdanên bikarhêner û di pergalên pargîdanî de dê ji hev cuda were nîqaş kirin.
Hûn di demek nêzîk de bibînin!
Source: www.habr.com