Praedo ex inscriptione relationis: "Usus validi authenticitatis auget ob minas novorum periculorum ac requisitorum moderantium".
Investigationis societas "Iavelin Strategy & Research" evulgavit relationem "The State Fortis Authentication 2019" (). Haec relatio dicit: quid recipis societates Americanae et Europaeae Tesserae utuntur (et quare pauci nunc Tesserae utuntur); quare usus duo-factorum authenticarum innixus signis cryptographicis tam cito crescit; Quare unum tempus codes per SMS missis secure non sunt.
Cuilibet curae praesenti, praeterito et futuro authenticitatis in inceptis et applicationibus edax acceptus est.
Ab translator
Heu, lingua in qua haec relatio scripta est admodum "arida" et formalis. Quinquies autem in una brevi sententia usus vocis "authentica" non est manus tortae (vel cerebri) interpretis, sed arbitrio auctorum. Cum e duobus optionibus translato - ut lectores textum ad originale propius vel plus iucundum praebeas, ego aliquando elegi primam, interdum secundam. Sed perfer, lectores, fama contenta tanti.
Partes quaedam leves et supervacaneae fabulae sublatae sunt, alias plures per totum textum obtinere non potuissent. Qui relationem "incisam" legere volentes, in lingua originali id facere possunt sequendo nexum.
Infeliciter, auctores non semper diligentes sunt cum terminologia. Tesserae ergo unius temporis (unum tempus Password - OTP) interdum vocantur "passwords", interdum "codes". Etiam peius est modis authenticas. Non semper facile est imperito lectori coniecturam habere "authenticationem per claves cryptographicas" et "fortis authenticas" idem esse. Conatus sum vocabula quam maxime coalescere, et in ipsa relatione fragmentum est cum descriptione eorum.
Nihilominus relatio lectionis valde commendatur quia singulares eventus investigationis continet ac rectas conclusiones.
Omnes figurae et factae sine levissimis mutationibus exhibentur, et si cum illis non consentiunt, melius est non cum interprete, sed cum famae auctoribus disputare. Et hic sunt commentationes meae (pro citationibus positae et notatae in textu Italian) mei sunt aestimandi iudicium et de singulis (velut de translatione qualitate) disputare gaudebo.
Overview
Hodie, venae communicationis cum clientibus digitales graviores sunt quam umquam in negotiis. Communicationes inter operarios in medio societatis plus quam umquam ante ordinantur digitally. Et quam secure hae interactiones pendeant ab electa methodo utentis authenticas. Impugnatores infirmi authenticas utuntur ad rationes usoris massively trucidabunt. Respondentes, regulatores signa constringendi sunt ut negotia cogant ad rationes et notitias user melius tuendas.
Minas authenticas relatas ultra applicationes consumptorias extendunt, oppugnatores etiam accedere possunt ad applicationes intra inceptum currentes. Haec operatio permittit ut users corporatum personare. Impugnatores accessus puncta utentes cum authenticis infirmis data furari possunt et alias dolosas actiones exercere. Fortunate huic pugnae consilia sunt. Fortis authenticas adiuvabit signanter periculum oppugnationis ab oppugnatore reducere, tam in applicationibus edax, quam in inceptis negotiis systematis.
Hoc studium examinat: quomodo inceptis authenticas ad effectum deducendi ad applicationes finis usoris et incepta negotia systemata tuenda; factores considerant solutionem authenticam eligendo; munus quod valida authenticas agit in suis Institutis; beneficia haec instituta recipiunt.
summary
key Inventiones
Ab anno MMXVII, usus validarum authenticarum acriter crevit. Cum crescente numero vulnerabilium quae solutiones authenticas traditionales afficiunt, consociationes suas authenticas facultates validis authenticis muniunt. Numerus institutionum utens authenticas cryptographicas multi-factorum (MFA) triplicavit ab 2017 ad applicationes edax et ad applicationes inceptis prope 50 augetur. Celerrimus incrementum in mobili authenticitate conspicitur ob auctam facultatem biometricae authenticae.
Hic ponitur exemplum dicti "donec percutiat tonitru, non transibit se". Cum periti monuerunt de insecutione passwords, nemo festinabat ad efficiendum duos factores authenticas. Cum primum hackers inceperunt Tesserae surripere, homines duos factores authenticas efficiendi coeperunt.
Verum individua 2FA multo acrius exsequuntur. Uno modo, facilius est ut eorum metum mitigaret, fretus autometrica authentica quae in smartphones aedificata est, quod re vera admodum est inconveniens. Institutiones necessariae sunt pecuniam impendere in signis acquirendis et exsequendis operibus (re vera valde simplicibus) ad ea efficienda. Secundo, solum pigri homines de tesserarum liberorum a servitiis sicut Facebook et Dropbox non scripsere, sed nullo casu CIOs harum institutionum fabulas communicabunt quomodo passwords surrepta (et quod deinde factum est) in consociationibus.
Qui valido authenticitate non utuntur, periculum suum negotium et clientes parvi aestimant. Quaedam Instituta quae valida authenticitate non utuntur, tendunt ad logins et Tesseras ut unum ex efficacissimis et facilioribus methodis utentis authenticas utendi. Alii valorem bonorum digitalium non habent. Post omnes, valet considerare cybercriminales in quibusvis edax rerumque informationibus interesse. Duae tertiae partes societatum quae tantum Tesserae utuntur ad fidem suam conductos facere, quia Tesserae credunt satis esse ad genus informationum quas tuentur.
Tesserae tamen in itinere ad sepulcrum sunt. Signum dependentiae in anno praeterito signanter cecidit pro applicationibus sive usibus et inceptis (ab 44% ad 31%, et ab 56% ad 47%, respective) ut organizationes augent usum traditum MFA et validam authenticationem.
Sed si condicionem totam spectemus, methodi authenticae vulnerabiles adhuc praevalent. Ad authenticas usoris, quartam fere consociationum SMS OTP (unum tempus tesserae) una cum quaestionibus securitatis adhibent. Quam ob rem, securitatis additae mensurae praestandae sunt contra vulnerabilitatem tuendam, quae sumptibus auget. Usus methodorum authenticarum multo tutior, sicut clavium cryptographicae ferramentorum, multo minus frequentius, circa 5% institutionum adhibetur.
In ambitu moderante evolvens promittit se accelerare adoptionem validarum authenticarum pro applicationibus consumere. Cum PSD2 introducto, tum novae regulae tutelae datae in UE et pluribus civitatibus US sicut Californiae, societates aestus sentiunt. Fere 70% societatum consentiunt se validam moderatricem pressuram praebere ut validam authenticitatem suis clientibus praebeat. Plus quam dimidium inceptis credunt intra paucos annos methodos authenticas suas non sufficere ad signa regulatorias occurrere.
Differentia in accessibus legislatorum Russiae et Americano-europeae ad tutelam personalium notitiarum utentium programmatum et servitiorum clare apparet. Russi dicunt: dominis cara servitia, fac quod vis et quomodo vis, sed si admin mergit datorum, nos puniemus. Dicunt foris: te oportet efficere mensurarum mensurarum non patitur fundat fundat. Quam ob rem requisita ad arctam duo-factorem authenticationem ibi perficiuntur.
Verum, procul ab eo quod legislativa machina nostra aliquando resipiscere non potest et experientiae occidentalis rationem habere. Tunc evenit ut omnes ad 2FA efficiendum opus sit, quod cum signis cryptographicis Russicis consentit et instanter.
Firmam compagem authenticas instituere permittit societates suas umbilicum transferre ab exigentiis regularibus occurrentibus ad necessitates mos occurrentes. Pro his Institutis quae adhuc simplicibus passwords utentes vel per SMS codicibus recipiendis, maximi momenti sunt, cum methodus authenticas eligens obsequium erit cum requisitis moderantibus. At illae societates, quae iam validis authenticis utuntur, intendere possunt ad illas authenticas methodos eligendas quae fidelitatem mos augent.
Cum methodum authenticas corporatum eligens intra inceptum, requisita moderantia factorem significantem non sunt. In hoc casu, facilitas integrationis (32%) et sumptus (26%) multo maiora sunt.
In tempore hamatae, oppugnatores corporatum email ad scam . uti possunt ad fraudem accessum ad notitias, rationes (cum congruis iuribus accessu) ac etiam ad persuadendum conductos ad pecuniam suam rationem transferendam. Ideo electronicae electronicae et portae corporatae maxime bene custodiendae sunt.
Google securitatem suam augendo fortis authenticas confirmavit. Plus quam duos annos Google relationem de exsequenda duorum factoris authenticatione evulgavit nititur clavibus securitatis cryptographicae utens vexillum FIDO U2F, nuntians eventus infigendos. Secundum societatem, non una vis hamatae contra plus quam 85 operariorum facta est.
suasiones
Firma authenticas deducendi ad res mobiles et online applicationes. Multi factor authenticas substructio in clavibus cryptographicis multo melius tutelam contra caesim quam methodos traditas MFA praebet. Praeterea usus clavium cryptographicae multo commodior est quod informationis informationis uti et transferre non oportet, passwords, unum tempus-tesserae vel biometric notitia e usoris artificio ad authenticas server. Accedit, normas authenticas protocolla reddit multo facilius ad novas authenticas methodos deducendi, dum in promptu sunt, reducendo impensas exsequendas et contra callidiores dolum machinas tutandas.
Praeparate dimissionem unius temporis passwords (OTP). Vulnerationes in OTPs inhaerentes magis magisque apparent sicut cybercriminales uti machinationes sociales, quisquiliae exquisitae et malware ut hae medias authenticas componendi. Et si OTPs in quibusdam commoda quaedam habent, tunc solum ex parte universalis promptitudinis ad omnes utentes, non autem ex parte securitatis.
Impossibile est non animadvertere codicem recipere per SMS vel notificationes ventilabis, necnon codices generare programmatibus ad smartphones usus, earumdem temporis passwords (OTP) usum esse pro quibus rogamur ad declinationem praeparandam. Ex parte technica solutionis valde emendata est, quia rarus est fraudster qui non unum tempus tesseram ex credulo usuario explorare conatur. Sed puto artifices huiusmodi systematum ad ultimum technologiam moriendi haerere.
Fortis authenticas utere sicut instrumentum venalicium ut fiducia emptoris augeatur. Fortis authenticas plus facere potest quam sicut ipsam securitatem negotii tui emendare. Clientes notificantes quod negotia tua valida authenticitate utantur, publicam perceptionem securitatis illius negotii confirmare posse, factor magni momenti, cum magnae authenticitatis modos significantes emptori exposcunt.
Diligenter inventarium et criticum aestimationem notitiarum corporatorum ducere et secundum momentum tueri. Etiam humilis periculo notitia ut elit contactus notitia (immo valde mirum est quod fama "periculo" inquit "minui aestimant huius informationis momentum), notabile valorem fraudibus afferre et quaestiones societatis causare.
Valido incepto authenticas. Aliquot systemata scuta scelestorum amabilissima sunt. Haec includunt systemata interna et interrete connexa, ut programmata ratiocinationis vel notitiarum corporis CELLA. Fortis authenticas impedit oppugnatores ne accessum alienum obtineat, et etiam sinit accurate determinare uter operarius malitiosam actionem commiserit.
What is Strong Authentication?
Cum valido authenticas utendo, plures modi vel factores ad comprobandum authenticitatem usoris adhibentur:
- Scientia factoris; secretum commune inter utentis et utentis authenticitatis subiectum (ut Tesserae, responsiones ad quaestiones securitatis, etc.)
- Factor dominii: fabrica quod solum usor habet (exempli gratia mobilem fabricam, clavem cryptographicam, etc.)
- Integritatis factor: physica (saepe biometrica) characteres utentis (exempli gratia, fingerprints, iris exemplar, vox, mores, etc.)
Necessitas multiplices causas caedendi valde auget verisimilitudinem defectionis pro oppugnantibus, cum praeteriens vel decipiens varias causas multiplices rationes caesim rationum adhibeat, pro singulis factoribus distincte.
Exempli gratia, cum 2FA "password + smartphone" oppugnans authenticas conficere potest perspiciendo tesseram usoris et exemplum programmandi exactum faciendi eius Mauris quis felis. Idque multo difficilius quam simpliciter tesseram surripere.
Sed si tessera et tessera cryptographica pro 2FA adhibentur, optio describendi hic non operatur - impossibile est signum duplicare. Fraudator necesse erit signum ab utentis furtim surripere. Si usor in tempore damnum animadvertit et admin notificat, tessera obstruetur et conatus fraudum frustra erit. Hac de causa, factor possessionis usus propriarum machinarum secures (signa) potius quam cogitationes propositi generalis requirit.
Utens omnibus tribus factoribus hanc authenticas methodum satis pretiosam faciet ad efficiendum et satis incommodum ad usum. Solent ergo duo ex tribus.
Principia duo-factorum authenticarum fusius describuntur , in "Quam duorum factorem authenticas operatur" scandalum.
Illud notandum est quod unus saltem factores authenticationis in validis authenticis adhibitis cryptographiae clavis publicae uti debent.
Fortis authenticas multo firmiorem tutelam praebet quam unius factoris authenticas secundum passwords classicas et traditionales MFA. Tesserae explorari possunt vel intercipi utentes keylogi, hamatae sites, vel machinationes sociales oppugnationes (ubi victima deluditur in eorum tesseram manifestandam). Praeterea dominus tesserae aliquid de furto nesciet. Traditional MFA (inclusis codicibus OTP, quae ad smartphone vel SIM card) etiam detruncari potest, cum in cryptographia clavis publica non fundatur (Obiter multa exempla sunt cum, eisdem technicis socialibus adhibitis, scammers persuasit utentes ut unum tempus tesseram darent.).
Fortunate usus validae authenticationis et traditionalis MFA in applicationibus sumptis et inceptis ab anno praeterito contractionem consecutus est. Usus validae authenticationis in applicationibus consumptis praecipue celeriter increvit. Si anno 2017 tantum 5% societatum usus est, anno 2018 iam ter plus erat - 16%. Hoc explicari potest per auctam promptitudinem signorum quae sustinent algorithmos Publici Clavis Cryptographiae (PKC). Praeterea auctus pressionis Europaeae regulatores sequentes adoptionem regulae tutelae novarum notitiarum sicut PSD2 et GDPR validum effectum etiam extra Europam habuit (comprehendo in Russia).
Hos numeros propius inspiciamus. Ut perspicimus, recipis singulorum privatorum utentium multi- factor authenticas infigo 11% supra annum crevit. Quod evidenter factum est sumptu amantium tesserarum, cum numeri credentium in securitatem Ventilabis notificationes, SMS et biometrics non mutaverunt.
Sed cum duobus-factoribus authenticis ad usum corporatum res non ita bonae sunt. Uno modo, secundum relationem, tantum V% conductorum ex tessera authenticas ad signa translata sunt. Secundo, numerus eorum qui modo MFA bene utuntur in ambitu corporato, per 5% augetur.
Experiar analyticum ludere et meam interpretationem dare. In medio mundi digitalis singulorum utentium est felis. Ideo mirum non est quod plures facultates utantur quas fabrica authenticas - biometricas, SMS et notificationes ventilabis, sicut unum tempus Tesserae ex applicationibus in ipsum quis felis generatae sunt. Solent homines de salute et fide non cogitare cum instrumenta adhibentur.
Hac de causa, usorum primitivae "traditionales" receptae factores authenticas immutata manet. At illi qui antea Tesserae usi sunt intellegunt quantum periclitantur, et cum novum elementum authenticationis eligens, optionem novissimam et tutissimam optant - signum cryptographicum.
Quod ad forum corporatum attinet, interest scire in quibus ratio authenticas exercetur. Si login ad domain Fenestram impletur, signa cryptographica adhibentur. Facultates utendi illis pro 2FA iam in Fenestra et Linux aedificatae sunt, sed optiones alternativae ad efficiendum difficiles sunt. Hactenus de migratione 5% e passwords ad signa.
Et 2FA exsecutio in systematis informationis corporatis multum pendet a qualitatibus tincidunt. Et multo facilius est tincidunt ad modulos praeparatos ad unum tempus generandos ad passwords faciendum quam ad intellegendam operationem algorithmorum cryptographicarum. Itaque, etiam incredibiliter applicationes securitatis criticae sicut Singulus Sign-On vel Privilegiatae Accessus Systematum Management OTP utuntur tamquam factor secundus.
Multi vulnerabilities in traditional authenticas modos
Dum multae consociationes in systematibus legatis uni-factoribus fident, vulnerabilitates in traditionalibus multi-factoribus authenticis magis magisque apparent. Tesserae unius temporis, typice sex ad octo notas longitudinis, per SMS traditae, manent forma communissima authenticationis (praeter factor clavorum, scilicet). Cum verba "duo-factorum authenticarum" vel "verificationis duorum-graduum" in torculari populari commemorantur, fere semper ad SMS unum tempus tesseram authenticationem referunt.
Hic auctor parum fallitur. Tesserae unum tempus tradens per SMS numquam duas factor authenticas fuit. Haec est in purissima forma secundi gradus authenticitatis bipertiti, ubi primus scaena intrat rationem tuam et tesseram.
Anno 2016, Institutum Nationale Signorum et Technologiae (NIST) eius authenticas regulas renovavit ad tollendas usus unius temporis passwords per SMS missos. Sed hae normae signanter remissae sequentes industriae reclamationes fuerunt.
Itaque argumentum sequamur. Moderator Americanus recte agnoscit technologiam iam pridem non posse ad salutem usoris procurandam et nova signa inferre. Signa disposita sunt ad protegendos utentes online et applicationes mobiles (including ones banking). Industria computat quantum pecuniae debebit impendere in signis cryptographicis vere certis acquirendis, applicationibus redesignandis, clavem publicam infrastructuram explicans et "in pedibus posterioribus ascendit." Ex altera parte, utentes fidem unius temporis Tesserae convicti sunt, et ex altera parte oppugnationes in NIST. Quam ob rem vexillum mollitum est et numerus hackorum et furtum passwords (et pecunia ex applicationibus argentariis) acriter augetur. Sed industria non ad probandum pecuniam.
Cum igitur infirmitates insitas SMS OTP magis apparent. Fraudes variis modis utuntur nuntiis SMS componendis:
- Sim card duplicatio. Impugnatores exemplar creare Sim (ope mobilis operariorum conductorum vel independenter, speciali programmate et ferramento utens). Quam ob rem oppugnator SMS cum uno tempore tesseram accipit. In casu praesertim claro, etiam piratae AT&T rationem cryptocurrentiae Michaelis Turpin componi poterant, et fere $24 decies centena millia in cryptocurrencie furantur. Quam ob rem Turpin AT&T in culpa esse affirmavit ob infirma verificationis mensuras quae ad duplicationem Sim card.
Miris logicis. Itane est culpa AT&T? Imo sine dubio culpa est operantis mobilis quod venditatores in copia communicationis duplicatam Sim card ediderunt. Quid de cryptocurrency commutandi authenticas ratio? Cur non validis cryptographicis signis utuntur? Num miseratus est pecuniam impendere in exsequenda? Nonne ipse Michael in culpa est? Cur non urget mechanismum authenticas immutare vel solum illis permutationibus uti, quae duo factores authenticas efficiunt in signis cryptographicis?
Introductio methodorum authenticarum vere certae differtur praecise quod utentes miram neglegentiam ostendunt antequam caesim, et postea in quibusvis et quibuslibet aliis quam antiquis technologias et "rimosas" authenticas technologias suas reprehendunt.
- Malware. Una e primis muneribus malware mobilis erat ut nuntiis oppugnatoribus interciperet ac transmitteret. Etiam homo in pasco et homo in mediis oppugnationibus unum tempus Tesserae excipere possunt cum in laptops aut escritorio machinis infectis ingrediuntur.
Cum applicatio Sberbank in tua Mauris quis felis coniveat iconem viridis in statuti vectis, etiam "malware" in telephono tuo quaerit. Finis huius eventus est ambiguam exsecutionis ambitum vertere mauris quis typici in, saltem aliquo modo, creditum.
Viam quis felis, ut machinae omnino suspectae in qua aliquid fieri potest, alia ratio est ut ea utatur ad authenticas. solum signa hardwarequae tutantur ac liberi virus et Troiani. - Socialis machinalis. Cum scammers sciunt victimam OTPs per SMS datam esse, victimam directe contingere possunt, positos sicut credita ordinationem suam ripam vel unionem fidei suae, ut victimam decipiat in codicem quem proxime acceptum praebeat.
Personaliter hoc genus fraudis pluries offendit, exempli gratia, cum aliquid populari in pulice foro online vendere conatur. Ipse deridebat me rapacatorem qui me stulre conatus est cordis mei. Sed heu, regulariter legi in nuntio quomodo adhuc alia victima scammerorum "non putabat" codicem confirmationis dedit et magnam summam perdidit. Et hoc totum est, quia ripa simpliciter non vult agere de signis cryptographicis in applicationibus exsequendis. Ceterum, si quid acciderit, clientes se accusare.
Dum modo OTP partus modos aliquos vulnerabilitates in hac authentica methodo mitigare possunt, aliae vulnerabilitates manent. Standalone codici generationis applicationes optimae sunt contra auscultationem tutelae, cum etiam malware vix recta cum codice generantis se correspondeant.serio? Nonne auctor famae de longinquo imperio obliviscitur?) , sed OTPs adhuc intercipi potest cum in navigatrum intravit (exempli gratia usus keylogger) per applicationem mobilis detruncati; et etiam directe obtineri potest ex machinatione sociali utentis.
Per plures instrumenta periculum taxationem ut recognition fabrica (Deprehensio conatus ad transactions ex machinas quae non pertinent ad legalis user), geolocation (a user qui mox in Moscovia operationem a Novosibirsco praestare conatur) analytica et modus se gerendi magni momenti sunt ad vulnerabilitates appellandas, sed neutra solutio panacea est. Pro singulis condicionibus et speciebus notitiarum, necesse est ut pericula sedulo perpendant et eligant quibus technologia authentica adhibeatur.
Nulla authenticas solutio panacea est
Figura 2. authenticas optiones mensa
| authenticas | Factor | Description | Clavis vulnerabilities |
| Password vel ACUS | Scientia | Valor fixum, qui includere potest litteras, numeros et plures alias personas | Intercipi possunt, spectentur, surripiuntur, lecta vel detruncantur |
| Scientia, secundum authenticas | Scientia | Interroga responsiones, quibus tantum usor legalis scire potest | Intercipi potest, sustulit, utens rationibus socialibus machinalis |
| Hardware OTP () | Possessio | Peculiaris fabrica quod generat unus-vicis passwords | In codice intercipi potest et repetitur, vel subripi potest fabrica |
| Software OTPs | Possessio | Applicatio (mobilis, pervia per navigatrum, vel mittens codes ab inscriptione electronica) quae unum tempus Tesserae generat | In codice intercipi potest et repetitur, vel subripi potest fabrica |
| SMS OTP | Possessio | Unus-vicis password delivered per SMS illud nuntium | Codex intercipi potest et repetitur, vel felis vel SIM card subripi potest, vel Sim card duplicari potest. |
| Dolor pecto () | Possessio | A card, quod chip cryptographicam continet et memoriam clavis securam quae publica clavem infrastructuram ad authenticas adhibet | Ut corpore furati sunt (sed invasoris fabrica nesciente PIN codice uti non poterit; si plures conatus initus falsa, cogitatus obstruetur) |
| Securitatis claves - signa (, ) | Possessio | A USB machinam quae chip cryptographicam continet et memoriam clavem firmam continet quae publica clavem infrastructuram authenticas adhibet | Potest corpore furari (sed invasor machinam uti non potest quin cognoscat codicem ACUS; si plures conatus falsa ingressum, machinam obstruetur) |
| Vinculum ad fabrica | Possessio | Processus qui figuram creat, saepe JavaScript utens, aut venalicium utens ut crustula et objecta Flash Communes, ut certa machina adhibeatur | Signa surripi possunt (exscripta), et notae legalis notae possunt imitari ab invasore in fabrica. |
| mores | inherence | Analyses quomodo usor interacts cum fabrica vel programma | Mores imitandi |
| Fingerprints | inherence | Reposita fingerprints comparantur cum illis quae capta sunt optically vel electronice | Imago furari potest et adhiberi authenticas |
| Oculus scan | inherence | Notas oculi comparat, ut iris exemplar, cum novis scans opticis | Imago furari potest et adhiberi authenticas |
| Facie agnitio | inherence | Facialis notae comparantur cum novis scans opticis | Imago furari potest et adhiberi authenticas |
| Vox agnitionis | inherence | Notae notatae vocis specimen cum novis exemplis comparantur | Recordum subripi potest et adhiberi authenticas, vel aemulari |
In secunda publicationis parte, suavissimae res exspectant nos numeros et res, quibus conclusiones et commendationes in prima parte nituntur. Authenticatio in applicationibus usoris et in systematibus corporatis separatim disputabitur.
Te videre!
Source: www.habr.com