Отчеттун аталышынан спойлер: "Күчтүү аутентификацияны колдонуу жаңы тобокелдиктердин жана ченемдик талаптардын коркунучунан улам көбөйөт."
"Javelin Strategy & Research" изилдөө компаниясы "The State of Strong Authentication 2019" баяндамасын жарыялады (). Бул отчетто мындай деп айтылат: америкалык жана европалык компаниялардын канча пайызы сырсөздөрдү колдонушат (жана эмне үчүн азыр сырсөздөрдү аз адамдар колдонот); эмне үчүн криптографиялык токендерге негизделген эки фактордук аутентификацияны колдонуу мынчалык тездик менен өсүп жатат; Эмне үчүн SMS аркылуу жөнөтүлгөн бир жолку коддор коопсуз эмес.
Ишканаларда жана керектөөчү тиркемелерде аутентификациянын азыркы учуруна, өткөнүнө жана келечегине кызыккандардын баары кабыл алынат.
Котормочудан
Тилекке каршы, бул баяндама жазылган тил кыйла "кургак" жана формалдуу. Ал эми бир кыска сүйлөмдө “аныктыгын текшерүү” деген сөздүн беш жолу колдонулушу котормочунун кыйшык колдору (же мээси) эмес, авторлордун каалоосу. Эки варианттан которууда – окурмандарга түпнускага жакыныраак, же кызыктуураак текст берүү үчүн, мен кээде биринчисин, кээде экинчисин тандап алчумун. Бирок сабыр кылыңыз, урматтуу окурмандар, баяндаманын мазмуну татыктуу.
Окуя үчүн кээ бир маанилүү эмес жана керексиз бөлүктөрү алынып салынды, антпесе көпчүлүк текстти толугу менен окуй алмак эмес. "Кечилбеген" баяндаманы окууну каалагандар шилтеме аркылуу оригинал тилинде окуса болот.
Тилекке каршы, авторлор терминологияга дайыма этият мамиле кыла беришпейт. Ошентип, бир жолку сырсөздөр (One Time Password - OTP) кээде "паролдор", кээде "коддор" деп аталат. Аутентификация ыкмалары менен андан да жаман. Окубаган окурман үчүн "криптографиялык ачкычтарды колдонуу менен аутентификация" жана "күчтүү аутентификация" бир эле нерсе экенин божомолдоо дайыма эле оңой боло бербейт. Мен мүмкүн болушунча терминдерди унификациялоого аракет кылдым, баяндаманын өзүндө алардын сүрөттөлүшү менен фрагмент бар.
Ошого карабастан, докладды окуу сунушталат, анткени анда уникалдуу изилдөөлөрдүн натыйжалары жана туура корутундулар камтылган.
Бардык цифралар жана фактылар анча-мынча өзгөрүүсүз келтирилет, эгер алар менен макул болбосоңуз, анда котормочу менен эмес, баяндаманын авторлору менен талашканыңыз оң. Жана бул жерде менин комментарийлерим (цитата катары келтирилген жана текстте белгиленген Итальянча) менин баалуулуктарым жана мен алардын ар бири боюнча (ошондой эле котормонун сапаты боюнча) талашууга кубанычта болом.
жалпы көрүнүш
Бүгүнкү күндө кардарлар менен байланыштын санариптик каналдары бизнес үчүн болуп көрбөгөндөй маанилүү. Ал эми компаниянын ичинде кызматкерлердин ортосундагы байланыш мурдагыдан да санарипке багытталган. Жана бул өз ара аракеттенүүлөрдүн канчалык коопсуз болоору колдонуучунун аутентификациясынын тандалган ыкмасына жараша болот. Чабуулчулар колдонуучу аккаунттарын массалык түрдө бузуп алуу үчүн начар аутентификацияны колдонушат. Буга жооп кылып, жөнгө салуучу органдар бизнести колдонуучулардын аккаунттарын жана маалыматтарын жакшыраак коргоого мажбурлоо үчүн стандарттарды катаалдатып жатышат.
Аутентификацияга байланыштуу коркунучтар керектөөчү тиркемелерден тышкары жайылат; чабуулчулар ишкананын ичинде иштеп жаткан колдонмолорго да кире алышат. Бул операция аларга корпоративдик колдонуучулардын кейпин кийүүгө мүмкүндүк берет. Аутентификациясы начар кирүү чекиттерин колдонгон чабуулчулар маалыматтарды уурдап, башка алдамчылык аракеттерди жасай алышат. Бактыга жараша, муну менен күрөшүү үчүн чаралар бар. Күчтүү аутентификация керектөөчү тиркемелерде да, ишкананын бизнес системаларында да кол салуу коркунучун азайтууга жардам берет.
Бул изилдөө төмөнкүлөрдү карайт: ишканалар акыркы колдонуучу тиркемелерин жана ишкананын бизнес системаларын коргоо үчүн аутентификацияны кантип ишке ашырат; аутентификация чечимин тандоодо алар эске ала турган факторлор; алардын уюмдарында күчтүү аутентификациянын ролу; бул уюмдар алган пайдаларды.
на
негизги
2017-жылдан бери күчтүү аутентификацияны колдонуу кескин өстү. Салттуу аутентификация чечимдерине таасирин тийгизген кемчиликтердин көбөйүшү менен, уюмдар күчтүү аутентификация менен аутентификация мүмкүнчүлүктөрүн күчөтүүдө. Криптографиялык көп факторлуу аутентификацияны (MFA) колдонгон уюмдардын саны 2017-жылдан бери керектөөчү тиркемелер үчүн үч эсе көбөйдү жана ишкана колдонмолору үчүн дээрлик 50% га өстү. Биометрикалык аутентификациянын жеткиликтүүлүгүнүн өсүшүнө байланыштуу мобилдик аутентификацияда эң тез өсүш байкалат.
Бул жерден биз «күн күркүрөйүнчө, адам өзүнөн ашпайт» деген мисалды көрөбүз. Эксперттер сырсөздөрдүн кооптуулугу тууралуу эскерткенде, эч ким эки факторлуу аутентификацияны ишке ашырууга шашкан эмес. Хакерлер сырсөздөрдү уурдай баштаганда, адамдар эки факторлуу аутентификацияны ишке ашыра башташты.
Ырас, адамдар 2FAны алда канча жигердүү ишке ашырып жатышат. Биринчиден, алар үчүн смартфондорго орнотулган биометрикалык аутентификацияга таянуу менен коркууларын басаңдатуу оңой, бул чындыгында өтө ишенимсиз. Уюмдар Токендерди сатып алууга акча коротуп, аларды ишке ашыруу үчүн иштерди (чынында, абдан жөнөкөй) жүргүзүү керек. Экинчиден, жалкоо адамдар гана Facebook жана Dropbox сыяктуу кызматтардан сырсөздөрдүн агып чыгышы жөнүндө жазган эмес, бирок бул уюмдардын CIOлору уюмдарда сырсөздөр кантип уурдалганы (жана андан кийин эмне болгон) тууралуу окуяларды эч кандай шартта бөлүшпөйт.
Күчтүү аутентификацияны колдонбогондор бизнеси жана кардарлары үчүн тобокелдигин баалабай жатышат. Учурда күчтүү аутентификацияны колдонбогон кээ бир уюмдар логиндерди жана сырсөздөрдү колдонуучунун аутентификациясынын эң эффективдүү жана колдонууга оңой ыкмаларынын бири катары көрүшөт. Башкалар өздөрүнө таандык санариптик активдердин баасын көрүшпөйт. Анткени, киберкылмышкерлер керектөөчүлөрдүн жана бизнестин ар кандай маалыматына кызыкдар экенин эске алуу керек. Кызматкерлеринин аныктыгын текшерүү үчүн сырсөздөрдү гана колдонгон компаниялардын үчтөн экиси сырсөздөр алар коргогон маалыматтын түрү үчүн жетиштүү деп эсептегендиктен ушундай кылышат.
Бирок, сырсөздөр мүрзөгө баратышат. Сырсөзгө көз карандылык өткөн жылы керектөөчү жана ишкана тиркемелери үчүн (тиешелүүлүгүнө жараша 44% дан 31% га жана 56% дан 47% га чейин) олуттуу төмөндөдү, анткени уюмдар салттуу ТИМди жана күчтүү аутентификацияны колдонууну көбөйтөт.
Бирок кырдаалды жалпысынан карап көрсөк, аутентификациянын аялуу ыкмалары дагы эле үстөмдүк кылат. Колдонуучунун аутентификациясы үчүн уюмдардын төрттөн бир бөлүгү коопсуздук суроолору менен бирге SMS OTP (бир жолку сырсөз) колдонушат. Натыйжада, чыгымдарды көбөйткөн аялуучулуктан коргоо үчүн кошумча коопсуздук чаралары ишке ашырылууга тийиш. Аппараттык криптографиялык ачкычтар сыяктуу алда канча коопсуз аутентификациянын ыкмаларын колдонуу, уюмдардын болжол менен 5%ында алда канча сейрек колдонулат.
Өнүгүп жаткан ченемдик укуктук чөйрө керектөөчү тиркемелер үчүн күчтүү аутентификацияны кабыл алууну тездетүүнү убада кылат. PSD2, ошондой эле ЕБде жана АКШнын Калифорния сыяктуу бир нече штаттарында маалыматтарды коргоонун жаңы эрежелери киргизилиши менен компаниялар ысыкты сезип жатышат. Компаниялардын дээрлик 70% кардарларына күчтүү аутентификацияны камсыз кылуу үчүн катуу ченемдик кысымга дуушар болушат. Ишканалардын жарымынан көбү бир нече жыл ичинде алардын аутентификация ыкмалары ченемдик стандарттарга жооп берүү үчүн жетишсиз деп эсептешет.
Орус жана америкалык-европалык мыйзам чыгаруучулардын программаларды жана кызматтарды колдонуучулардын жеке маалыматтарын коргоого болгон мамилесиндеги айырма ачык көрүнүп турат. Орустар айтат: урматтуу сервис ээлери, эмнени кааласаңар, ошондой кылгыла, бирок админиңер базаны бириктирсе, жазалайбыз. Чет олкодо мындай дешет: чараларды ишке ашыруу керек деп жол бербейт негизин төгүү. Ошондуктан ал жерде катуу эки факторлуу аутентификация боюнча талаптар аткарылып жатат.
Ырас, мыйзам чыгаруучу машинабыз бир күнү эсине келип, батыш тажрыйбасы менен эсептешпей калат деген чындыктан алыс. Андан кийин ар бир адам орус криптографиялык стандарттарына жооп берген 2FAны тез арада ишке ашыруусу керек экен.
Күчтүү аутентификация алкагын түзүү компанияларга алардын көңүлүн ченемдик талаптарга жооп берүүдөн кардарлардын муктаждыктарын канааттандырууга которууга мүмкүндүк берет. Жөнөкөй сырсөздөрдү колдонуп жаткан же SMS аркылуу коддорду алып жаткан уюмдар үчүн аутентификация ыкмасын тандоодо эң маанилүү фактор болуп ченемдик талаптарга ылайык келет. Бирок күчтүү аутентификацияны колдонгон компаниялар кардарлардын лоялдуулугун арттырган аутентификация ыкмаларын тандоого басым жасай алышат.
Ишкананын ичинде корпоративдик аутентификация ыкмасын тандоодо ченемдик талаптар мындан ары маанилүү фактор болуп саналбайт. Бул учурда интеграциянын жеңилдиги (32%) жана баасы (26%) алда канча маанилүү.
Фишинг доорунда чабуулчулар корпоративдик электрондук почтаны алдамчылык үчүн колдонушу мүмкүн маалыматтарга, эсептерге (тиешелүү кирүү укуктары менен) алдоо жолу менен жетүү, ал тургай кызматкерлерди анын эсебине акча которууга көндүрүү. Ошондуктан, корпоративдик электрондук почта жана портал аккаунттары өзгөчө жакшы корголушу керек.
Google күчтүү аутентификацияны ишке ашыруу менен өзүнүн коопсуздугун бекемдеди. Эки жылдан ашык убакыт мурун, Google FIDO U2F стандартын колдонуу менен криптографиялык коопсуздук ачкычтарынын негизинде эки факторлуу аутентификацияны ишке ашыруу боюнча отчетун жарыялап, таасирдүү натыйжаларды билдирген. Компаниянын маалыматы боюнча, 85 миңден ашык кызматкерге бир дагы фишингдик чабуул жасалган эмес.
сунуштар
Мобилдик жана онлайн тиркемелери үчүн күчтүү аутентификацияны ишке ашырыңыз. Криптографиялык ачкычтарга негизделген көп факторлуу аутентификация ТИМнин салттуу ыкмаларына караганда хакерликтен алда канча жакшыраак коргоону камсыз кылат. Мындан тышкары, криптографиялык ачкычтарды колдонуу алда канча ыңгайлуу, анткени колдонуучунун аппаратынан аутентификация серверине кошумча маалыматты - сырсөздөрдү, бир жолку сырсөздөрдү же биометрикалык маалыматтарды колдонуунун жана өткөрүп берүүнүн кереги жок. Кошумчалай кетсек, аутентификация протоколдорун стандартташтыруу жаңы аутентификация ыкмаларын ишке ашырууну жеңилдетет, алар жеткиликтүү болгондон кийин, ишке ашыруу чыгымдарын азайтат жана алдамчылыктын татаал схемаларынан коргойт.
Бир жолку сырсөздөрдүн (OTP) жок болушуна даярданыңыз. Киберкылмышкерлер бул аутентификация каражаттарын бузуу үчүн социалдык инженерияны, смартфондорду клондоштурууну жана кесепеттүү программаларды колдонушкандыктан, OTPлерге мүнөздүү алсыздыктар барган сайын айкын болуп баратат. Ал эми кээ бир учурларда OTPs белгилүү бир артыкчылыктарга ээ болсо, анда бардык колдонуучулар үчүн универсалдуу жеткиликтүүлүк жагынан гана, бирок коопсуздук жагынан эмес.
SMS же Push эскертмелери аркылуу коддорду алуу, ошондой эле смартфондор үчүн программаларды колдонуу менен коддорду түзүү, бизден төмөндөөгө даярданууну суранган ошол эле бир жолку сырсөздөрдү (OTP) колдонуу экенин байкабай коюу мүмкүн эмес. Техникалык көз караштан алганда, чечим абдан туура, анткени бул ишенимдүү колдонуучудан бир жолку сырсөздү табууга аракет кылбаган сейрек кездешүүчү алдамчы. Бирок, мен ойлойм, мындай системаларды өндүрүүчүлөр өлүп жаткан технологияга акырына чейин жабышат.
Кардарлардын ишенимин жогорулатуу үчүн маркетинг куралы катары күчтүү аутентификацияны колдонуңуз. Күчтүү аутентификация сиздин бизнесиңиздин чыныгы коопсуздугун гана жакшыртпастан да көптү жасай алат. Кардарларга сиздин бизнесиңиз күчтүү аутентификацияны колдонот деп маалымдоо ошол бизнестин коопсуздугу жөнүндө коомчулуктун кабылдоосун күчөтөт — бул күчтүү аутентификация ыкмаларына кардарлардын олуттуу суроо-талабы болгондо маанилүү фактор.
Корпоративдик маалыматтарды кылдат инвентаризациялоо жана критикалык баалоо жүргүзүү жана аларды маанилүүлүгүнө жараша коргоо. Кардарлардын байланыш маалыматы сыяктуу коркунучу төмөн маалыматтар да (Жок, чынында эле, отчетто "тобокелдик" деп айтылат, алар бул маалыматтын маанилүүлүгүн баалабаганы таң калыштуу), алдамчыларга олуттуу маани берип, компания үчүн көйгөйлөрдү жаратышы мүмкүн.
Күчтүү ишкана аутентификациясын колдонуңуз. Бир катар системалар кылмышкерлер үчүн эң жагымдуу бута болуп саналат. Буларга бухгалтердик программа же корпоративдик маалымат кампасы сыяктуу ички жана Интернетке туташкан системалар кирет. Күчтүү аутентификация чабуулчулардын уруксатсыз кирүүсүнө жол бербейт, ошондой эле зыяндуу аракетти кайсы кызматкер жасаганын так аныктоого мүмкүндүк берет.
Күчтүү аутентификация деген эмне?
Күчтүү аутентификацияны колдонууда колдонуучунун аныктыгын текшерүү үчүн бир нече ыкмалар же факторлор колдонулат:
- Билим фактору: колдонуучу менен колдонуучунун аутентификацияланган субъектинин ортосундагы бөлүшүлгөн сыр (мисалы, сырсөздөр, коопсуздук суроолоруна жооптор ж.б.)
- Менчик фактору: колдонуучуда гана болгон түзүлүш (мисалы, мобилдик аппарат, криптографиялык ачкыч ж.б.)
- Бүтүндүк фактору: колдонуучунун физикалык (көбүнчө биометрикалык) мүнөздөмөлөрү (мисалы, манжа изи, ирис үлгүсү, үнү, жүрүм-туруму ж.
Бир нече факторлорду бузуп алуу зарылчылыгы чабуулчулардын ийгиликсиз болуу ыктымалдыгын бир топ жогорулатат, анткени ар кандай факторлорду айланып өтүү же алдоо ар бир фактор үчүн өзүнчө хакердик тактиканын бир нече түрүн колдонууну талап кылат.
Мисалы, 2FA "сырсөз + смартфон" менен чабуулчу колдонуучунун сырсөзүн карап, анын смартфонунун так программалык көчүрмөсүн жасоо менен аутентификацияны аткара алат. Жана бул жөн гана паролду уурдоодон алда канча кыйын.
Бирок 2FA үчүн сырсөз жана криптографиялык токен колдонулса, анда көчүрүү параметри бул жерде иштебейт - токенди кайталоо мүмкүн эмес. Алдамчы колдонуучудан токенди уурдап кетиши керек болот. Колдонуучу жоготууну өз убагында байкап, администраторго билдирсе, токен бөгөттөлүп, алдамчынын аракети текке кетет. Мына ушул себептен менчик фактору жалпы максаттагы түзүлүштөрдү (смартфондор) эмес, атайын коопсуз түзүлүштөрдү (токендерди) колдонууну талап кылат.
Үч факторду тең колдонуу бул аутентификация ыкмасын ишке ашыруу үчүн бир топ кымбат жана колдонууда ыңгайсыз кылат. Ошондуктан, адатта, үч фактордун экөө колдонулат.
Эки факторлуу аутентификациянын принциптери кененирээк баяндалат , "Эки фактордук аутентификация кантип иштейт" блогунда.
Күчтүү аутентификацияда колдонулган аутентификация факторлорунун жок дегенде бири ачык ачкыч криптографиясын колдонушу керек экенин белгилей кетүү маанилүү.
Күчтүү аутентификация классикалык сырсөздөрдүн жана салттуу ТИМдин негизинде бир факторлуу аутентификацияга караганда алда канча күчтүү коргоону камсыз кылат. Сырсөздөрдү шпиондук кылып же клавиатураларды, фишинг сайттарын же социалдык инженердик чабуулдарды (мында жабырлануучу алардын сырсөзүн ачыкка чыгаруу үчүн алданып калат) колдонуп, кармап калышы мүмкүн. Анын үстүнө, паролдун ээси уурулук тууралуу эч нерсе билбей калат. Салттуу ТИМди (анын ичинде OTP коддору, смартфонго же SIM картага туташтырып) оңой эле бузуп алса болот, анткени ал ачык ачкыч криптографиясына негизделбейт (Баса, ошол эле социалдык инженерия ыкмаларын колдонуп, шылуундар колдонуучуларды аларга бир жолку сырсөз берүүгө көндүргөн көптөгөн мисалдар бар.).
Бактыга жараша, күчтүү аутентификацияны жана салттуу ТИМди колдонуу өткөн жылдан бери керектөөчүлөрдүн да, ишканалардын да тиркемелеринде популярдуулукка ээ болууда. Керектөөчү тиркемелерде күчтүү аутентификацияны колдонуу өзгөчө тездик менен өстү. Эгерде 2017-жылы компаниялардын 5% гана колдонсо, 2018-жылы ал үч эсеге көп болгон - 16%. Муну Коомдук ачкыч криптографиясы (PKC) алгоритмдерин колдогон токендердин көбөйүшү менен түшүндүрүүгө болот. Кошумчалай кетсек, PSD2 жана GDPR сыяктуу маалыматтарды коргоонун жаңы эрежелерин кабыл алгандан кийин европалык жөнгө салуучулардын басымынын жогорулашы Европадан тышкары да күчтүү таасир эткен (анын ичинде Россияда).
Келгиле, бул сандарды жакшыраак карап көрөлү. Көрүнүп тургандай, көп факторлуу аутентификацияны колдонгон жеке адамдардын пайызы жыл ичинде таасирдүү 11% га өстү. Бул ачык эле сырсөздү сүйгөндөрдүн эсебинен болду, анткени Push билдирүүлөрүнүн, SMSтин жана биометриянын коопсуздугуна ишенгендердин саны өзгөргөн жок.
Бирок корпоративдик колдонуу үчүн эки фактордук аутентификация менен баары жакшы эмес. Биринчиден, отчетко ылайык, кызматкерлердин 5% гана пароль аутентификациясынан токендерге которулган. Экинчиден, корпоративдик чөйрөдө ТИМдин альтернативдүү варианттарын колдонгондордун саны 4% га өстү.
Мен аналитиктин ролун ойноп, чечмелегенге аракет кылам. Жеке колдонуучулардын санариптик дүйнөсүнүн борборунда смартфон турат. Ошондуктан, көпчүлүк түзмөк аларга берген мүмкүнчүлүктөрдү - биометрикалык аутентификацияны, SMS жана Push эскертмелерин, ошондой эле смартфондун өзүндөгү тиркемелер тарабынан түзүлгөн бир жолку сырсөздөрдү колдонушу бекеринен эмес. Адамдар, адатта, көнүп калган куралдарды колдонууда коопсуздук жана ишенимдүүлүк жөнүндө ойлонушпайт.
Мына ошондуктан примитивдүү "салттуу" аутентификация факторлорун колдонуучулардын пайызы өзгөрүүсүз бойдон калууда. Бирок буга чейин сырсөздөрдү колдонгондор канчалык тобокелге салып жатканын түшүнүшөт жана аутентификациянын жаңы факторун тандоодо эң жаңы жана эң коопсуз вариантты – криптографиялык белгини тандашат.
Корпоративдик рынокко келсек, аутентификация кайсы системада жүргүзүлөрүн түшүнүү маанилүү. Эгерде Windows доменине кирүү ишке ашырылса, анда криптографиялык токендер колдонулат. Аларды 2FA үчүн колдонуу мүмкүнчүлүктөрү буга чейин Windows да, Linux да орнотулган, бирок альтернативалуу варианттарды ишке ашыруу узак жана кыйын. Парольдерден токендерге 5% миграциясы ушунчалык көп.
Ал эми 2FAны корпоративдик маалымат тутумунда ишке ашыруу иштеп чыгуучулардын квалификациясынан көз каранды. Ал эми иштеп чыгуучуларга криптографиялык алгоритмдердин иштешин түшүнгөндөн көрө, бир жолку сырсөздөрдү түзүү үчүн даяр модулдарды алуу алда канча оңой. Натыйжада, бир жолу кирүү же артыкчылыктуу мүмкүндүктү башкаруу системалары сыяктуу коопсуздук үчүн укмуштуудай критикалык тиркемелер экинчи фактор катары OTP колдонушат.
Салттуу аутентификация ыкмаларында көптөгөн кемчиликтер бар
Көптөгөн уюмдар эски бир факторлуу системаларга көз каранды бойдон калууда, салттуу көп факторлуу аутентификациядагы алсыздыктар барган сайын айкын болуп баратат. Бир жолку сырсөздөр, адатта, алтыдан сегизге чейин созулган, SMS аркылуу жеткирилет, аутентификациянын эң кеңири таралган түрү бойдон калууда (албетте, сырсөз факторунан тышкары). Ал эми популярдуу басма сөздө "эки фактордук аутентификация" же "эки кадамдуу текшерүү" деген сөздөр айтылганда, алар дээрлик дайыма SMS бир жолку паролдун аутентификациясына кайрылышат.
Бул жерде автор бир аз жаңылыптыр. SMS аркылуу бир жолку сырсөздөрдү жеткирүү эч качан эки факторлуу аутентификация болгон эмес. Бул эң таза түрдө эки кадамдуу аутентификациянын экинчи этабы, мында биринчи этап сиздин логиниңизди жана паролуңузду киргизүү болуп саналат.
2016-жылы Улуттук стандарттар жана технологиялар институту (NIST) SMS аркылуу жөнөтүлгөн бир жолку сырсөздөрдү колдонууну жокко чыгаруу үчүн аутентификация эрежелерин жаңылады. Бирок, бул эрежелер тармактык нааразычылыктардан кийин бир топ жеңилдетилген.
Ошентип, сюжетке ээрчийли. Америкалык жөнгө салуучу орган эскирген технология колдонуучунун коопсуздугун камсыз кылууга жөндөмсүз экенин туура түшүнөт жана жаңы стандарттарды киргизип жатат. Онлайн жана мобилдик тиркемелерди (анын ичинде банктык тиркемелерди) колдонуучуларды коргоо үчүн иштелип чыккан стандарттар. Өнөр жай чындап ишенимдүү криптографиялык токендерди сатып алууга, тиркемелерди кайра иштеп чыгууга, ачык ачкыч инфраструктурасын жайылтууга канча акча сарпташы керектигин эсептеп жатат жана "арткы бутуна көтөрүлүүдө". Бир жагынан колдонуучулар бир жолку сырсөздөрдүн ишенимдүүлүгүнө ынанышты, экинчи жагынан NISTге чабуулдар болду. Натыйжада стандарт жумшартылып, бузукулук жана сырсөздөрдү (банктык тиркемелерден түшкөн акчаны) уурдоо кескин көбөйдү. Бирок өнөр жайга акча коротуп кереги жок болчу.
Ошондон бери, SMS OTP мүнөздүү алсыз жактары айкын болуп калды. Алдамчылар SMS билдирүүлөрдү бузуу үчүн ар кандай ыкмаларды колдонушат:
- SIM картаны кайталоо. Чабуулчулар SIM картанын көчүрмөсүн түзүшөт (уюлдук оператордун кызматкерлеринин жардамы менен же өз алдынча, атайын программалык жана аппараттык каражаттарды колдонуу менен). Натыйжада, чабуулчу бир жолку сырсөз менен SMS алат. Өзгөчө белгилүү бир учурда хакерлер криптовалютанын инвестору Майкл Турпиндин AT&T эсебин бузуп, 24 миллион долларга жакын криптовалюталарды уурдап кетишкен. Натыйжада, Турпин AT&T SIM картанын кайталанышына алып келген текшерүү чараларынын начардыгынан күнөөлүү деп билдирди.
Укмуш логика. Демек, бул чындап эле AT&T күнөөлүүбү? Жок, байланыш дүкөнүнүн сатуучулары сим-картанын дубликатын чыгарганы шексиз уюлдук оператордун күнөөсү. cryptocurrency алмашуу аутентификация системасы жөнүндө эмне айтууга болот? Эмне үчүн алар күчтүү криптографиялык токендерди колдонушкан эмес? Ишке ашырууга акча короткону өкүнүчтүү болдубу? Майкл өзү күнөөлүү эмеспи? Эмне үчүн ал аутентификация механизмин өзгөртүүнү талап кылган эмес же криптографиялык токендердин негизинде эки факторлуу аутентификацияны ишке ашырган алмашууларды гана колдонгон эмес?
Чыныгы ишенимдүү аутентификация ыкмаларын киргизүү кечеңдеп жатат, анткени колдонуучулар хакерлик кылуудан мурун укмуштуудай этиятсыздык көрсөтүшөт жана андан кийин алар өз көйгөйлөрүн кимдир-бирөөнү жана байыркы жана “аккан” аутентификация технологияларынан башка эч нерсеге жүктөшөт.
- Кесепеттүү программа. Мобилдик кесепеттүү программанын эң алгачкы функцияларынын бири тексттик билдирүүлөрдү басып алуу жана чабуулчуларга жөнөтүү болгон. Ошондой эле, браузердеги адам жана ортодогу адам чабуулдары вирус жуккан ноутбуктарга же рабочий түзмөктөргө киргенде бир жолку сырсөздөрдү кармап алат.
Смартфонуңуздагы Сбербанк тиркемеси абал тилкесинде жашыл иконканы күйгүзгөндө, ал телефонуңуздан "зыяндуу программаны" да издейт. Бул иш-чаранын максаты - типтүү смартфондун ишенимсиз аткаруу чөйрөсүн, жок дегенде кандайдыр бир жол менен ишенимдүү чөйрөгө айландыруу.
Айтмакчы, смартфон, аныктыгын текшерүү үчүн колдонуунун дагы бир себеби, ага эч нерсе жасоого мүмкүн эмес. аппараттык токендер гана, алар корголгон жана вирустардан жана трояндардан таза. - Коомдук инженерия. Алдамчылар жабырлануучуда SMS аркылуу OTP иштетилгенин билишкенде, алар жабырлануучуну жаңы эле алган кодду берүү үчүн алдап, банк же кредиттик союз сыяктуу ишенимдүү уюм катары көрсөтүп, түз байланыша алышат.
Мен жеке өзүм алдамчылыктын бул түрүн көп жолу кезиктирдим, мисалы, популярдуу онлайн жайма базарында бир нерсени сатууга аракет кылып жатканда. Мен өзүм шылдыңдадым, мени алдап алгысы келген шылуун. Бирок, тилекке каршы, мен жаңылыктардан шылуундардын дагы бир курмандыгы "ойлонбоптур", тастыктоочу кодду берип, чоң сумманы жоготуп алганын окуп жүрөм. Мунун баары банк жөн гана өзүнүн тиркемелеринде криптографиялык токендерди ишке ашыруу менен алек болгусу келбейт. Анткени, эгер бир нерсе болуп кетсе, кардарлар “өзү күнөөлүү”.
Альтернативалык OTP жеткирүү ыкмалары бул аутентификация ыкмасындагы кээ бир кемчиликтерди жумшартышы мүмкүн, бирок башка алсыздыктар сакталып калууда. Өз алдынча кодду түзүү тиркемелери тыңшоодон эң жакшы коргоо болуп саналат, анткени зыяндуу программа да код генератору менен түздөн-түз иштеше албайт (олуттуубу? Докладдын автору пультту унутуп калганбы?), бирок бир эле жолу браузерге киргенде дагы эле кармалышы мүмкүн (мисалы, keylogger колдонуу), бузулган мобилдик тиркеме аркылуу; ошондой эле социалдык инженерияны колдонуу менен түздөн-түз колдонуучудан алса болот.
Аспапты таануу сыяктуу бир нече тобокелдиктерди баалоо куралдарын колдонуу (мыйзамдуу колдонуучуга таандык эмес түзүлүштөрдөн транзакцияларды жасоо аракеттерин аныктоо), геолокация (Москвада жаңы эле болгон колдонуучу Новосибирсктен операция жасоого аракет кылат) жана жүрүм-турумдун аналитикасы аялуу жерлерди чечүү үчүн маанилүү, бирок эки чечим тең панацея эмес. Ар бир кырдаал жана маалыматтардын түрү үчүн тобокелдиктерди кылдаттык менен баалоо жана аутентификациянын кайсы технологиясын колдонуу керектигин тандоо зарыл.
Эч кандай аутентификация чечими панацея эмес
Сүрөт 2. Аутентификация параметрлери таблицасы
| тастыктоо | Фактор | баяндоо | Негизги алсыздыктар |
| Сырсөз же PIN | билим | Каттарды, сандарды жана башка бир катар белгилерди камтышы мүмкүн болгон туруктуу маани | Кармалууга, чалгындоого, уурдоого, алып кетүүгө же бузуп алууга болот |
| Билимге негизделген аутентификация | билим | Юридикалык колдонуучу гана биле ала турган жоопторду сурайт | Коомдук инженерия ыкмаларын колдонуу менен кармап, алып, алууга болот |
| Аппараттык OTP () | Ээлик кылуу | Бир жолку сырсөздөрдү түзүүчү атайын түзүлүш | Код кармалып, кайталанышы мүмкүн же аппарат уурдалышы мүмкүн |
| Программалык камсыздоонун OTPs | Ээлик кылуу | Бир жолку сырсөздөрдү жаратуучу тиркеме (мобилдик, браузер аркылуу жеткиликтүү же коддорду электрондук почта аркылуу жөнөтүү) | Код кармалып, кайталанышы мүмкүн же аппарат уурдалышы мүмкүн |
| SMS OTP | Ээлик кылуу | Бир жолку сырсөз SMS текст билдирүү аркылуу жеткирилет | Код кармалып, кайталанышы мүмкүн, же смартфон же SIM карта уурдалышы мүмкүн, же SIM карта кайталанышы мүмкүн |
| Смарт карталар () | Ээлик кылуу | Аутентификация үчүн ачык ачкыч инфраструктурасын колдонгон криптографиялык чипти жана коопсуз ачкыч эс тутумун камтыган карта | Физикалык жактан уурдалган болушу мүмкүн (бирок чабуулчу PIN-кодду билбестен аппаратты колдоно албайт; бир нече туура эмес киргизүү аракети болгон учурда, аппарат бөгөттөлөт) |
| Коопсуздук ачкычтары - токендер (, ) | Ээлик кылуу | Аутентификация үчүн ачык ачкыч инфраструктурасын колдонгон криптографиялык чипти жана коопсуз ачкыч эс тутумун камтыган USB түзмөгү | Физикалык түрдө уурдалышы мүмкүн (бирок чабуулчу PIN-кодду билбестен аппаратты колдоно албайт; бир нече туура эмес киргизүү аракети болгон учурда, түзмөк бөгөттөлөт) |
| Түзмөккө байланыштыруу | Ээлик кылуу | Профилди түзүү процесси, көбүнчө JavaScript аркылуу же белгилүү бир түзмөк колдонулуп жатканын текшерүү үчүн cookie файлдары жана Flash Shared Objects сыяктуу маркерлерди колдонуу | Токендерди уурдоого (көчүрүүгө) болот, ал эми юридикалык түзүлүштүн мүнөздөмөлөрү анын түзмөгүндөгү чабуулчу тарабынан тууралышы мүмкүн |
| жүрүш-туруш | Inherence | Колдонуучунун аппарат же программа менен кандайча иштешкенин талдайт | Жүрүм-турумун туураса болот |
| манжа | Inherence | Сакталган манжа издери оптикалык же электрондук түрдө тартылгандар менен салыштырылат | Сүрөт уурдалып, аныктыгын текшерүү үчүн колдонулушу мүмкүн |
| Көз сканерлөө | Inherence | Көздүн өзгөчөлүктөрүн, мисалы, ирис үлгүсүн жаңы оптикалык сканерлөө менен салыштырат | Сүрөт уурдалып, аныктыгын текшерүү үчүн колдонулушу мүмкүн |
| жүз аныктоо | Inherence | Беттин мүнөздөмөлөрү жаңы оптикалык сканерлер менен салыштырылат | Сүрөт уурдалып, аныктыгын текшерүү үчүн колдонулушу мүмкүн |
| Үн таануу | Inherence | Жазылган үн үлгүсүнүн мүнөздөмөлөрү жаңы үлгүлөр менен салыштырылат | Жазууну уурдап, аныктыгын текшерүү үчүн колдонсо болот, же эмуляциялоо үчүн |
Басылманын экинчи бөлүгүндө бизди эң даамдуу нерселер күтүп турат - биринчи бөлүмдө келтирилген тыянактар жана сунуштар негизделген сандар жана фактылар. Колдонуучу колдонмолорунда жана корпоративдик системаларда аутентификация өзүнчө талкууланат.
Көрүшкөнчө!
Source: www.habr.com