Spoiler vum Titel vum Bericht: "Notzung vu staarker Authentifikatioun erhéicht wéinst Bedrohung vun neie Risiken a reglementaresche Viraussetzungen."
D'Fuerschungsfirma "Javelin Strategy & Research" publizéiert de Bericht "The State of Strong Authentication 2019" (). Dëse Rapport seet: wéi engem Prozentsaz vun amerikaneschen an europäesche Firmen Passwierder benotzen (a firwat wéineg Leit Passwierder elo benotzen); firwat d'Benotzung vun zwee-Faktor Authentifikatioun baséiert op cryptographic Tokens sou séier wuessen; Firwat eemoleg Coden per SMS geschéckt sinn net sécher.
Jiddereen interesséiert un der heiteger, der Vergaangenheet an der Zukunft vun der Authentifikatioun an Entreprisen a Konsumentenapplikatiounen ass wëllkomm.
Vum Iwwersetzer
Och, d'Sprooch an där dëse Bericht geschriwwen ass ass zimlech "dréchen" a formell. An déi fënnefmol Benotzung vum Wuert "Authentifikatioun" an engem kuerze Saz ass net déi kromme Hänn (oder Gehir) vum Iwwersetzer, mee de Laun vun den Auteuren. Wann Dir vun zwou Méiglechkeeten iwwersetzt - fir de Lieser en Text méi no beim Original ze ginn, oder e méi interessanten, hunn ech heiansdo déi éischt gewielt, an heiansdo déi zweet. Sidd awer Gedold, léif Lieser, den Inhalt vum Bericht ass et wäert.
E puer onwichteg an onnéideg Stécker fir d'Geschicht goufen ewechgeholl, soss hätt d'Majoritéit net kënnen duerch de ganzen Text kommen. Déi, déi de Bericht "ongeschnidden" wëllen liesen, kënnen dat an der Originalsprooch maachen andeems Dir de Link befollegt.
Leider sinn Auteuren net ëmmer virsiichteg mat Terminologie. Also, eemoleg Passwierder (One Time Passwuert - OTP) ginn heiansdo "Passwierder" genannt, an heiansdo "Coden". Et ass nach méi schlëmm mat Authentifikatiounsmethoden. Et ass net ëmmer einfach fir den ontrainéierte Lieser ze roden datt "Authentifikatioun mat kryptografesche Schlësselen" an "staark Authentifikatioun" déiselwecht Saach sinn. Ech hu probéiert d'Konditioune sou vill wéi méiglech ze vereenegen, an am Bericht selwer gëtt et e Fragment mat hirer Beschreiwung.
Trotzdem ass de Bericht héich recommandéiert ze liesen well et eenzegaarteg Fuerschungsresultater a korrekt Conclusiounen enthält.
All Zuelen a Fakten ginn ouni déi geringsten Ännerungen presentéiert, a wann Dir net mat hinnen averstanen ass, ass et besser net mam Iwwersetzer ze streiden, mä mat den Auteuren vum Bericht. An hei sinn meng Kommentarer (als Zitater ausgeluecht, an am Text markéiert Italienesch) sinn mäi Wäertuerteel an ech wäert gär iwwer jiddereng vun hinnen streiden (wéi och iwwer d'Qualitéit vun der Iwwersetzung).
Iwwersiicht
Hautdesdaags sinn digital Kommunikatiounskanäle mat Clienten méi wichteg wéi jee fir Geschäfter. A bannent der Firma ass d'Kommunikatioun tëscht Mataarbechter méi digital orientéiert wéi jee virdrun. A wéi sécher dës Interaktioune wäerte sinn hänkt vun der gewielter Method vun der Benotzerauthentifikatioun of. Ugräifer benotzen schwaach Authentifikatioun fir massiv Benotzerkonten ze hacken. Als Äntwert verschäerfen d'Reglementer d'Standarden fir Geschäfter ze zwéngen fir Benotzerkonten an Daten besser ze schützen.
Authentifikatioun-verbonne Gefore verlängeren iwwer Konsumentenapplikatiounen; Ugräifer kënnen och Zougang zu Uwendungen kréien, déi an der Entreprise lafen. Dës Operatioun erlaabt hinnen Firme Benotzer ze imitéieren. Ugräifer déi Zougangspunkte mat schwaacher Authentifikatioun benotzen, kënnen Daten klauen an aner betrügeresch Aktivitéiten ausféieren. Glécklecherweis ginn et Moossname fir dëst ze bekämpfen. Staark Authentifikatioun wäert hëllefen de Risiko vun Attacke vun engem Ugräifer wesentlech ze reduzéieren, souwuel op Konsumentenapplikatiounen wéi och op Enterprise Business Systemer.
Dës Etude iwwerpréift: wéi Entreprisen Authentifikatioun implementéieren fir Endverbraucherapplikatiounen an Enterprise Business Systemer ze schützen; Faktoren déi se berücksichtegen wann se eng Authentifikatiounsléisung auswielen; d'Roll déi staark Authentifikatioun an hiren Organisatiounen spillt; d'Virdeeler déi dës Organisatiounen kréien.
Summary
Haaptfonnt
Zënter 2017 ass d'Benotzung vu staarker Authentifikatioun staark eropgaang. Mat der wuessender Zuel vu Schwachstelle, déi traditionell Authentifikatiounsléisungen beaflossen, stäerken Organisatiounen hir Authentifikatiounsfäegkeeten mat staarker Authentifikatioun. D'Zuel vun den Organisatiounen, déi kryptografesch Multi-Factor Authentifikatioun (MFA) benotzen, ass zënter 2017 fir Konsumentenapplikatiounen verdräifacht an ass ëm bal 50% fir Enterprise Uwendungen eropgaang. De schnellsten Wuesstum gëtt an der mobiler Authentifikatioun gesi wéinst der ëmmer méi Verfügbarkeet vu biometrescher Authentifikatioun.
Hei gesi mir eng Illustratioun vum Spréchwuert "bis den Donner opfällt, wäert e Mann sech selwer net kräizen." Wann Experten iwwer d'Onsécherheet vu Passwierder gewarnt hunn, war keen presséiert zwee-Faktor Authentifikatioun ëmzesetzen. Soubal Hacker ugefaang Passwierder ze klauen, hunn d'Leit ugefaang zwee-Faktor Authentifikatioun ëmzesetzen.
Richteg, Individuen implementéieren vill méi aktiv 2FA. Als éischt ass et méi einfach fir hir Ängscht ze berouegen andeems se op déi biometresch Authentifikatioun vertrauen, déi a Smartphones agebaut ass, wat tatsächlech ganz onzouverlässeg ass. Organisatiounen mussen Sue verbréngen fir Tokens ze kafen an Aarbecht auszeféieren (tatsächlech ganz einfach) fir se ëmzesetzen. An zweetens, nëmmen faul Leit hunn net iwwer Passwuert Leckage vu Servicer wéi Facebook an Dropbox geschriwwen, awer ënner kengen Ëmstänn wäerten d'CIOs vun dësen Organisatiounen Geschichten deelen iwwer wéi Passwierder geklaut goufen (a wat duerno geschitt ass) an Organisatiounen.
Déi, déi keng staark Authentifikatioun benotzen, ënnerschätzen hire Risiko fir hir Geschäfter a Clienten. E puer Organisatiounen, déi am Moment keng staark Authentifikatioun benotzen, tendéieren Login a Passwierder als eng vun den effektivsten an einfach ze benotzen Methode fir d'Benotzer Authentifikatioun ze gesinn. Anerer gesinn net de Wäert vun den digitale Verméigen déi se besëtzen. No allem ass et derwäert ze bedenken datt Cyberkrimineller un all Konsument- a Geschäftsinformatioun interesséiert sinn. Zwee Drëttel vun de Firmen déi nëmme Passwierder benotze fir hir Mataarbechter ze authentifizéieren, maachen dat well se gleewen datt d'Passwierder gutt genuch sinn fir d'Art vun Informatioun déi se schützen.
Allerdéngs sinn Passwierder um Wee an d'Graf. D'Passwuertofhängegkeet ass däitlech erofgaang am leschte Joer fir Konsumenten an Entreprisen Uwendungen (vu 44% op 31%, respektiv vu 56% op 47%) wéi Organisatiounen hir Notzung vun traditioneller MFA a staarker Authentifikatioun erhéijen.
Awer wa mir d'Situatioun als Ganzt kucken, sinn vulnérabel Authentifikatiounsmethoden ëmmer nach vir. Fir d'Benotzer Authentifikatioun benotzt ongeféier e Véierel vun den Organisatiounen SMS OTP (eemol Passwuert) zesumme mat Sécherheetsfroen. Als Resultat mussen zousätzlech Sécherheetsmoossnamen ëmgesat ginn fir géint d'Schwachheet ze schützen, wat d'Käschte erhéicht. D'Benotzung vu vill méi séchere Authentifikatiounsmethoden, wéi Hardware-kryptographesch Schlësselen, gëtt vill manner dacks benotzt, an ongeféier 5% vun den Organisatiounen.
Dat evoluéierend reglementarescht Ëmfeld versprécht d'Adoptioun vu staarker Authentifikatioun fir Konsumentenapplikatiounen ze beschleunegen. Mat der Aféierung vum PSD2, souwéi nei Dateschutzregelen an der EU a verschiddenen US Staaten wéi Kalifornien, fille Firmen d'Hëtzt. Bal 70% vun de Firmen si averstanen datt se staarke Reguléierungsdrock konfrontéieren fir hir Clienten eng staark Authentifikatioun ze bidden. Méi wéi d'Halschent vun den Entreprisen gleewen datt bannent e puer Joer hir Authentifikatiounsmethoden net genuch sinn fir reglementaresche Standarden z'erreechen.
D'Differenz vun den Approchen vun russesch an amerikanesch-europäesch Gesetzgeber fir de Schutz vu perséinlechen Donnéeën vun Benotzer vu Programmer a Servicer ass kloer siichtbar. D'Russen soen: Léif Servicebesëtzer, maacht wat Dir wëllt a wéi Dir wëllt, awer wann Ären Admin d'Datebank fusionéiert, bestrofe mir Iech. Si soen am Ausland: Dir musst eng Rei vu Moossnamen ëmsetzen, déi wäert net erlaben drain d'Basis. Dofir ginn Ufuerderunge fir strikt Zwee-Faktor Authentifikatioun do ëmgesat.
Richteg, et ass wäit vun enger Tatsaach, datt eis legislative Maschinn enges Daags net op seng Sënner kommen an d'westlech Erfahrung berücksichtegen. Da stellt sech eraus datt jidderee muss 2FA ëmsetzen, wat de russesche kryptographesche Standards entsprécht, an dréngend.
E staarken Authentifikatiounskader opzebauen erlaabt d'Firmen hire Fokus ze veränneren vu reglementaresche Viraussetzungen ze treffen fir Clientebedürfnisser ze treffen. Fir déi Organisatiounen, déi nach ëmmer einfach Passwierder benotzen oder Coden iwwer SMS kréien, ass de wichtegste Faktor bei der Auswiel vun der Authentifikatiounsmethod d'Konformitéit mat de reglementaresche Viraussetzungen. Awer déi Firmen déi scho staark Authentifikatioun benotzen, kënne sech op d'Auswiel vun deenen Authentifikatiounsmethoden konzentréieren, déi d'Clientloyalitéit erhéijen.
Wann Dir eng Firmenauthentifikatiounsmethod an enger Entreprise auswielt, sinn reglementaresch Ufuerderunge net méi e wesentleche Faktor. An dësem Fall sinn einfach Integratioun (32%) a Käschten (26%) vill méi wichteg.
An der Ära vum Phishing kënnen Ugräifer Firmen-E-Mail benotze fir Scam fir betrügeresch Zougang zu Daten, Konten (mat passenden Zougangsrechter) ze kréien, a souguer d'Mataarbechter ze iwwerzeegen, e Suen op säi Kont ze maachen. Dofir musse Firme-E-Mail- a Portalkonten besonnesch gutt geschützt sinn.
Google huet seng Sécherheet verstäerkt andeems se staark Authentifikatioun implementéiert. Viru méi wéi zwee Joer huet Google e Bericht iwwer d'Ëmsetzung vun der Zwee-Faktor Authentifikatioun publizéiert op Basis vu kryptographesche Sécherheetsschlësselen mat dem FIDO U2F Standard, wat beandrockend Resultater bericht. Laut der Firma gouf keen eenzege Phishingattack géint méi wéi 85 Mataarbechter duerchgefouert.
Recommandatiounen
Implementéiert staark Authentifikatioun fir mobil an online Uwendungen. Multi-Faktor Authentifikatioun baséiert op kryptographesche Schlësselen bitt vill bessere Schutz géint Hacking wéi traditionell MFA Methoden. Zousätzlech ass d'Benotzung vu kryptographesche Schlësselen vill méi praktesch well et net néideg ass fir zousätzlech Informatioun ze benotzen an ze transferéieren - Passwierder, eemoleg Passwierder oder biometresch Donnéeën vum Apparat vum Benotzer op den Authentifikatiounsserver. Zousätzlech, Standardiséierung vun Authentifikatiounsprotokoller mécht et vill méi einfach nei Authentifikatiounsmethoden ëmzesetzen wéi se verfügbar ginn, d'Reduktiounskäschte reduzéieren a géint méi sophistikéiert Bedruchschemaen schützen.
Bereet Iech op den Ënnergang vun eemolege Passwierder (OTP). D'Schwieregkeeten, déi an OTPs inherent sinn, ginn ëmmer méi offensichtlech wéi Cyberkrimineller sozialen Ingenieuren, Smartphone Klonen a Malware benotzen fir dës Authentifikatiounsmëttel ze kompromittéieren. A wann OTPs an e puer Fäll bestëmmte Virdeeler hunn, dann nëmmen aus der Siicht vun der universeller Disponibilitéit fir all Benotzer, awer net aus der Siicht vu Sécherheet.
Et ass onméiglech net ze bemierken datt Coden iwwer SMS oder Push Notifikatiounen kréien, souwéi Coden generéieren mat Programmer fir Smartphones, ass d'Benotzung vun deene selwechte One-Time Passwierder (OTP), fir déi mir gefrot gi fir de Réckgang virzebereeden. Aus technescher Siicht ass d'Léisung ganz korrekt, well et e rare Bedruch ass, deen net probéiert d'One-Zäit Passwuert vun engem gullible Benotzer erauszefannen. Awer ech mengen datt d'Fabrikanten vun esou Systemer un d'Stuerwetechnologie bis zum leschte hänken.
Benotzt staark Authentifikatioun als Marketinginstrument fir d'Vertrauen vum Client ze erhéijen. Staark Authentifikatioun kann méi maachen wéi nëmmen déi aktuell Sécherheet vun Ärem Geschäft verbesseren. D'Clienten z'informéieren datt Äert Geschäft staark Authentifikatioun benotzt kann d'ëffentlech Perceptioun vun der Sécherheet vun deem Geschäft stäerken - e wichtege Faktor wann et bedeitend Client Nofro fir staark Authentifikatiounsmethoden ass.
Féiert eng grëndlech Inventar a Kritizitéit Bewäertung vu Firmendaten a schützt se no Wichtegkeet. Och niddereg-Risiko Donnéeën wéi Client Kontakt Informatiounen (nee, wierklech, de Bericht seet "niddereg Risiko", et ass ganz komesch datt se d'Wichtegkeet vun dëser Informatioun ënnerschätzen), kann bedeitend Wäert fir Bedruch bréngen a Problemer fir d'Firma verursaachen.
Benotzt staark Enterprise Authentifikatioun. Eng Zuel vu Systemer sinn déi attraktiv Ziler fir Krimineller. Dozou gehéieren intern an Internet-verbonne Systemer wéi e Comptabilitéitsprogramm oder e Firmendatenlager. Staark Authentifikatioun verhënnert datt Ugräifer onerlaabten Zougang kréien, a mécht et och méiglech, genee ze bestëmmen, wéi ee Mataarbechter déi béiswëlleg Aktivitéit engagéiert huet.
Wat ass Strong Authentifikatioun?
Wann Dir staark Authentifikatioun benotzt, gi verschidde Methoden oder Faktore benotzt fir d'Authentizitéit vum Benotzer z'iwwerpréiwen:
- Wëssen Faktor: gedeelt Geheimnis tëscht dem Benotzer an dem Benotzer säin authentifizéierten Thema (wéi Passwierder, Äntwerten op Sécherheetsfroen, asw.)
- Besëtzer Faktor: en Apparat deen nëmmen de Benotzer huet (zum Beispill e mobilen Apparat, e kryptographesche Schlëssel, asw.)
- Integritéit Faktor: kierperlech (dacks biometresch) Charakteristike vum Benotzer (zum Beispill Fangerofdrock, Irismuster, Stëmm, Verhalen, asw.)
De Besoin fir verschidde Faktoren ze hacken erhéicht d'Wahrscheinlechkeet vum Versoen fir Ugräifer staark, well d'Contournement oder d'Täuschung vu verschiddene Faktoren erfuerdert verschidde Aarte vu Hacking Taktiken ze benotzen, fir all Faktor separat.
Zum Beispill, mat 2FA "Passwuert + Smartphone", kann en Ugräifer Authentifikatioun ausféieren andeems Dir de Passwuert vum Benotzer kuckt an eng exakt Softwarekopie vu sengem Smartphone mécht. An dëst ass vill méi schwéier wéi einfach e Passwuert ze klauen.
Awer wann e Passwuert an e kryptographesche Token fir 2FA benotzt ginn, da funktionnéiert d'Kopieoptioun net hei - et ass onméiglech den Token ze duplizéieren. De Betrüger muss den Token vum Benotzer stealthily klauen. Wann de Benotzer de Verloscht an der Zäit bemierkt an den Administrateur informéiert, gëtt den Token gespaart an d'Efforte vum Bedruch sinn ëmsoss. Dofir erfuerdert de Besëtzer Faktor d'Benotzung vu spezialiséierte sécheren Apparater (Tokens) anstatt allgemeng Zwecker (Smartphones).
All dräi Faktoren ze benotzen wäert dës Authentifikatiounsmethod zimlech deier maachen fir ëmzesetzen an zimlech onbequem ze benotzen. Dofir ginn zwee vun dräi Faktoren normalerweis benotzt.
D'Prinzipien vun der Zwee-Faktor Authentifikatioun gi méi detailléiert beschriwwen , am Block "Wéi zwee-Faktor Authentifikatioun funktionnéiert".
Et ass wichteg ze bemierken datt op d'mannst ee vun den Authentifikatiounsfaktoren, déi a staarker Authentifikatioun benotzt ginn, ëffentlech Schlësselkryptographie benotzen muss.
Staark Authentifikatioun bitt vill méi staark Schutz wéi Single-Faktor Authentifikatioun baséiert op klassesch Passwierder an traditionell MFA. Passwierder kënne gespionéiert oder ofgefaangen ginn mat Keylogger, Phishing-Siten oder Social Engineering Attacken (wou d'Affer trickst fir hiert Passwuert z'entdecken). Ausserdeem wäert de Besëtzer vum Passwuert näischt iwwer den Déif wëssen. Traditionell MFA (inklusiv OTP Coden, Bindung un e Smartphone oder SIM Kaart) kann och ganz einfach gehackt ginn, well et net op ëffentlech Schlëssel Kryptografie baséiert (Iwwregens, et gi vill Beispiller wann, mat der selweschter sozialer Ingenieurstechnik, Scammers d'Benotzer iwwerzeegt hunn hinnen en eemolegt Passwuert ze ginn).
Glécklecherweis ass d'Benotzung vu staarker Authentifikatioun an traditioneller MFA zanter dem leschte Joer Traktioun a béid Konsumenten an Entreprisen Uwendungen gewinnt. D'Benotzung vu staarker Authentifikatioun a Konsumentenapplikatiounen ass besonnesch séier gewuess. Wann 2017 nëmmen 5% vun de Firmen et benotzt hunn, da war et 2018 schonn dräimol méi - 16%. Dëst kann erkläert ginn duerch d'erhéite Disponibilitéit vun Tokens déi Public Key Cryptography (PKC) Algorithmen ënnerstëtzen. Zousätzlech huet den verstäerkten Drock vun europäesche Reguléierer no der Adoptioun vun neien Dateschutzreegele wéi PSD2 an GDPR e staarken Effekt och ausserhalb vun Europa gehat (dorënner a Russland).
Loosst eis dës Zuele méi no kucken. Wéi mir kënne gesinn, ass de Prozentsaz vu Privatleit, déi Multi-Faktor Authentifikatioun benotzen, iwwer d'Joer ëm beandrockend 11% gewuess. An dëst ass kloer op Käschte vu Passwuertliebhaber geschitt, well d'Zuel vun deenen, déi un d'Sécherheet vu Push Notifikatiounen, SMS a Biometrie gleewen, net geännert hunn.
Awer mat Zwee-Faktor Authentifikatioun fir Firmengebrauch sinn d'Saachen net sou gutt. Als éischt, laut dem Bericht, goufen nëmme 5% vun de Mataarbechter vun der Passwuertauthentifikatioun op Tokens transferéiert. An zweetens ass d'Zuel vun deenen, déi alternativ MFA Optiounen an engem Firmenëmfeld benotzen, ëm 4% eropgaang.
Ech probéieren Analyst ze spillen a meng Interpretatioun ginn. Am Zentrum vun der digitaler Welt vun eenzelne Benotzer ass de Smartphone. Dofir ass et kee Wonner datt d'Majoritéit d'Fähigkeiten benotzt déi den Apparat hinnen ubitt - biometresch Authentifikatioun, SMS a Push Notifikatiounen, souwéi eemoleg Passwierder generéiert vun Uwendungen um Smartphone selwer. D'Leit denken normalerweis net iwwer Sécherheet an Zouverlässegkeet wann se d'Tools benotzen, déi se gewinnt sinn.
Dofir bleift de Prozentsaz vun de Benotzer vu primitive "traditionelle" Authentifikatiounsfaktoren onverännert. Awer déi, déi virdru Passwierder benotzt hunn, verstinn wéi vill se riskéieren, a wann se en neien Authentifikatiounsfaktor auswielen, entscheede se fir déi neisten a sécherste Optioun - e kryptographesche Token.
Wat de Firmemaart ugeet, ass et wichteg ze verstoen an wéi eng Systemauthentifikatioun duerchgefouert gëtt. Wann de Login op eng Windows Domain implementéiert ass, da gi kryptografesch Tokens benotzt. D'Méiglechkeete fir se fir 2FA ze benotzen si scho a Windows a Linux agebaut, awer alternativ Optiounen si laang a schwéier ze implementéieren. Sou vill fir d'Migratioun vu 5% vu Passwierder op Tokens.
An d'Ëmsetzung vun 2FA an engem Firmeninformatiounssystem hänkt ganz vun de Qualifikatiounen vun den Entwéckler of. An et ass vill méi einfach fir Entwéckler fäerdeg Moduler ze huelen fir eemoleg Passwierder ze generéieren wéi d'Operatioun vu kryptographesche Algorithmen ze verstoen. An als Resultat, och onheemlech Sécherheetskritesch Uwendungen wéi Single Sign-On oder Privileged Access Management Systemer benotzen OTP als zweete Faktor.
Vill Schwachstelle bei traditionelle Authentifikatiounsmethoden
Wärend vill Organisatiounen op legacy Single-Faktor Systemer ofhängeg bleiwen, ginn Schwachstelle bei der traditioneller Multi-Faktor Authentifikatioun ëmmer méi offensichtlech. Eemol Passwierder, typesch sechs bis aacht Zeeche laang, iwwer SMS geliwwert, bleiwen déi allgemeng Form vun Authentifikatioun (nieft dem Passwuert Faktor, natierlech). A wann d'Wierder "Zwee-Faktor Authentifikatioun" oder "Zwee-Schrëtt Verifizéierung" an der populärer Press ernimmt ginn, bezéie se bal ëmmer op SMS One-Time Passwuert Authentifikatioun.
Hei huet den Auteur e bëssen falsch. Eemol Passwuert iwwer SMS liwweren war ni zwee-Faktor Authentifikatioun. Dëst ass a senger purster Form déi zweet Stuf vun der Zwee-Schrëtt Authentifikatioun, wou déi éischt Stuf Äre Login a Passwuert aginn.
Am 2016 huet den National Institute of Standards and Technology (NIST) seng Authentifikatiounsregele aktualiséiert fir d'Benotzung vun eemolege Passwierder ze eliminéieren, déi per SMS geschéckt ginn. Wéi och ëmmer, dës Reegele goufen däitlech entspaant no Industrieprotesten.
Also, loosst eis de Komplott verfollegen. Den amerikanesche Reguléierer erkennt mat Recht datt d'datt Technologie net fäeg ass d'Benotzersécherheet ze garantéieren an nei Standarden aféieren. Standarden entwéckelt fir Benotzer vun Online- a mobilen Uwendungen ze schützen (inklusiv Banken). D'Industrie berechent wéi vill Suen et muss ausginn fir wierklech zouverlässeg kryptografesch Tokens ze kafen, Uwendungen nei ze designen, eng ëffentlech Schlësselinfrastruktur z'installéieren, a "steet op seng hënnescht Been." Engersäits waren d'Benotzer iwwerzeegt vun der Zouverlässegkeet vun eemolege Passwierder, an op der anerer Säit goufen et Attacken op NIST. Als Resultat gouf de Standard erweicht, an d'Zuel vun Hacks an Déifstall vu Passwierder (a Suen aus Bankapplikatiounen) staark eropgaang. Awer d'Industrie huet net missen Suen ausginn.
Zënterhier sinn déi inherent Schwächen vum SMS OTP méi offensichtlech ginn. Fraudsters benotze verschidde Methoden fir SMS Messagen ze kompromittéieren:
- SIM Kaart Duplikatioun. Ugräifer schafen eng Kopie vun der SIM (mat der Hëllef vu mobilen Bedreiwer Mataarbechter, oder onofhängeg, mat spezielle Software an Hardware). Als Resultat kritt den Ugräifer eng SMS mat engem eemolege Passwuert. An engem besonnesch berühmte Fall konnten d'Hacker souguer den AT&T Kont vum Krypto-Währungsinvestor Michael Turpin kompromittéieren, a bal 24 Milliounen Dollar u Krypto-Währungen klauen. Als Resultat huet Turpin gesot datt AT&T Schold war wéinst schwaache Verifizéierungsmoossnamen, déi zu SIM Kaart Duplikatioun gefouert hunn.
Erstaunlech Logik. Also ass et wierklech nëmmen dem AT&T seng Schold? Nee, et ass ouni Zweifel d'Schold vum mobilen Bedreiwer datt d'Verkeefer am Kommunikatiounsgeschäft eng Duplikat SIM Kaart erausginn. Wat iwwer de cryptocurrency Austausch Authentifikatioun System? Firwat hu se net staark kryptographesch Tokens benotzt? War et schued fir Sue fir d'Ëmsetzung auszeginn? Ass de Michael net selwer Schold? Firwat huet hien net insistéiert den Authentifikatiounsmechanismus z'änneren oder nëmmen déi Austausch ze benotzen déi Zwee-Faktor Authentifikatioun op Basis vu kryptografeschen Tokens implementéieren?
D'Aféierung vu wierklech zouverlässeg Authentifikatiounsmethoden gëtt verspéit präzis well d'Benotzer erstaunlech Suergfalt virum Hacking weisen, an duerno schëlleg se hir Probleemer op jidderengem an alles anescht wéi antik an "leckeg" Authentifikatiounstechnologien
- Malware. Eng vun de fréiste Funktiounen vu mobilen Malware war fir SMSen un Ugräifer z'ënnerscheeden an weiderzeginn. Och Man-in-the-Browser a Man-in-the-Mëtt Attacke kënnen eemoleg Passwierder offangen wann se op infizéiert Laptops oder Desktop-Geräter aginn.
Wann d'Sberbank Applikatioun op Ärem Smartphone eng gréng Ikon an der Statusbar blénkt, sicht se och no "Malware" op Ärem Telefon. D'Zil vun dësem Event ass d'onvertrauenswürdeg Ausféierungsëmfeld vun engem typesche Smartphone an, op d'mannst op eng Manéier, e vertraut ze maachen.
Iwwregens, e Smartphone, als komplett net zouverlässeg Apparat, op deem alles ka gemaach ginn, ass en anere Grond et fir Authentifikatioun ze benotzen Hardware Tokens nëmmen, déi geschützt a gratis vu Viren an Trojaner sinn. - Sozial Ingenieur. Wann Scammers wëssen datt en Affer OTPs per SMS aktivéiert huet, kënnen se d'Affer direkt kontaktéieren, poséiert als eng vertrauenswürdeg Organisatioun wéi hir Bank oder Kreditunioun, fir d'Affer ze tricken fir de Code ze liwweren deen se just kritt hunn.
Ech hunn perséinlech dës Zort vu Bedruch vill Mol begéint, zum Beispill, wann ech probéiert eppes op engem populäre Online Floumaart ze verkafen. Ech selwer hunn de Geck gemaach mam Schwindel, dee probéiert huet mech no mengem Häerz ze narren. Awer leider, ech liesen regelméisseg an der Noriicht wéi nach en Affer vu Scammers "net geduecht huet", de Confirmatiounscode ginn an eng grouss Zomm verluer hunn. An all dat ass well d'Bank einfach net mat der Ëmsetzung vu kryptografeschen Tokens an hiren Uwendungen ëmzegoen. No allem, wann eppes geschitt, hunn d'Clienten "sech selwer Schold."
Wärend alternativ OTP-Liwwermethoden e puer vun de Schwächen an dëser Authentifikatiounsmethod reduzéieren, bleiwen aner Schwachstelle. Standalone Code Generatioun Uwendungen sinn de beschte Schutz géint Oflauschterskandal, well souguer Malware ka kaum direkt mam Code Generator interagéieren (eescht? Huet den Auteur vum Bericht iwwer Fernsteierung vergiess?), awer OTPs kënnen nach ëmmer ofgefaangen ginn wann se an de Browser aginn (zum Beispill mat engem Keylogger), duerch eng gehackt mobil Applikatioun; a kann och direkt vum Benotzer mat sozialen Ingenieur kritt ginn.
Mat multiple Risikobewäertungsinstrumenter wéi Apparaterkennung (Detektioun vu Versuche fir Transaktioune vun Apparater auszeféieren déi net zu engem legale Benotzer gehéieren), geolocation (e Benotzer, dee just zu Moskau war, probéiert eng Operatioun aus Novosibirsk ze maachen) a Verhalensanalyse si wichteg fir Schwachstelle unzegoen, awer keng Léisung ass eng Panacea. Fir all Situatioun an Typ vun Donnéeën ass et néideg d'Risiken suergfälteg ze bewäerten a wiele wéi eng Authentifikatiounstechnologie soll benotzt ginn.
Keng Authentifikatiounsléisung ass eng Panacea
Figur 2. Authentifikatioun Optiounen Dësch
| Authentifikatioun | Faktor | Beschreiwung | Schlëssel Schwachstelle |
| Passwuert oder PIN | D'Wëssen | Fixe Wäert, dee Buschtawen, Zuelen an eng Rei aner Zeechen enthalen kann | Kann ofgefaangen, spionéiert, geklaut, opgehuewe oder gehackt ginn |
| Wëssen-baséiert Authentifikatioun | D'Wëssen | Froen d'Äntwerten op déi nëmmen e legale Benotzer kann wëssen | Kann ofgefaangen, opgeholl ginn, mat Hëllef vu sozialen Ingenieursmethoden kritt ginn |
| Hardware OTP () | Besëtz | E speziellen Apparat deen eemolege Passwierder generéiert | De Code kann ofgefaangen a widderholl ginn, oder den Apparat ka geklaut ginn |
| Software OTPs | Besëtz | Eng Applikatioun (mobil, accessibel iwwer e Browser, oder schéckt Coden per E-Mail) déi eemoleg Passwierder generéiert | De Code kann ofgefaangen a widderholl ginn, oder den Apparat ka geklaut ginn |
| SMS OTP | Besëtz | Eemol Passwuert geliwwert via SMS SMS | De Code kann ofgefaangen a widderholl ginn, oder de Smartphone oder SIM Kaart ka geklaut ginn, oder d'SIM Kaart kann duplizéiert ginn |
| Smart Kaarten () | Besëtz | Eng Kaart déi e kryptographesche Chip an e séchere Schlësselspeicher enthält, deen eng ëffentlech Schlësselinfrastruktur fir d'Authentifikatioun benotzt | Kann kierperlech geklaut ginn (awer en Ugräifer kann den Apparat net benotzen ouni de PIN Code ze kennen; am Fall vun e puer falsch Input Versich, gëtt den Apparat gespaart) |
| Sécherheetsschlësselen - Tokens (, ) | Besëtz | En USB-Apparat deen e kryptographesche Chip a séchere Schlësselspeicher enthält, deen eng ëffentlech Schlësselinfrastruktur fir d'Authentifikatioun benotzt | Kann kierperlech geklaut ginn (awer en Ugräifer kann den Apparat net benotzen ouni de PIN Code ze kennen; am Fall vu e puer falschen Entréesversich gëtt den Apparat gespaart) |
| Verknëppung op en Apparat | Besëtz | De Prozess deen e Profil erstellt, dacks benotzt JavaScript, oder benotzt Markéierer wéi Cookien a Flash Shared Objects fir sécherzestellen datt e spezifescht Apparat benotzt gëtt | Tokens kënne geklaut ginn (kopéiert), an d'Charakteristike vun engem legalen Apparat kënne vun engem Ugräifer op sengem Apparat imitéiert ginn |
| Verhalen | Inherenz | Analyséiert wéi de Benotzer mat engem Apparat oder engem Programm interagéiert | Verhalen kann imitéiert ginn |
| Fangerofdréck | Inherenz | Gespäichert Fangerofdréck gi verglach mat deenen optesch oder elektronesch ageholl | D'Bild ka geklaut ginn a fir d'Authentifikatioun benotzt ginn |
| Auge Scan | Inherenz | Vergläicht Ae Charakteristiken, wéi Iris Muster, mat neien opteschen Scans | D'Bild ka geklaut ginn a fir d'Authentifikatioun benotzt ginn |
| Gesiichtserkennung | Inherenz | Gesiichtsmerkmale gi mat neien opteschen Scans verglach | D'Bild ka geklaut ginn a fir d'Authentifikatioun benotzt ginn |
| Stëmm Unerkennung | Inherenz | D'Charakteristike vun der opgeholl Stëmmprobe gi mat neie Proben verglach | De Rekord ka geklaut a fir Authentifikatioun benotzt ginn, oder emuléiert ginn |
Am zweeten Deel vun der Verëffentlechung waarden eis déi leckerste Saachen - Zuelen a Fakten, op deenen d'Conclusiounen an d'Empfehlungen am éischten Deel baséieren. Authentifikatioun a Benotzerapplikatiounen an a Firmesystemer gëtt separat diskutéiert.
Bis geschwënn!
Source: will.com