Spoileris iš ataskaitos pavadinimo: „Dėl naujų pavojų ir reguliavimo reikalavimų didėja stipraus autentifikavimo naudojimas“.
Tyrimų bendrovė „Javelin Strategy & Research“ paskelbė ataskaitą „The State of Strong Authentication 2019“ (). Šioje ataskaitoje rašoma: kiek procentų Amerikos ir Europos įmonių naudoja slaptažodžius (ir kodėl dabar mažai žmonių naudoja slaptažodžius); kodėl taip greitai auga dviejų veiksnių autentifikavimo, pagrįsto kriptografiniais žetonais, naudojimas; Kodėl vienkartiniai kodai, siunčiami SMS žinute, nėra saugūs.
Laukiami visi, kurie domisi autentifikavimo įmonėse ir vartotojų programose dabartimi, praeitimi ir ateitimi.
Iš vertėjo
Deja, kalba, kuria parašyta ši ataskaita, yra gana „sausa“ ir formali. O penkis kartus pavartotas žodis „autentifikacija“ viename trumpame sakinyje yra ne kreivos vertėjo rankos (ar smegenys), o autorių užgaida. Versdamas iš dviejų variantų – duoti skaitytojams tekstą, artimesnį originalui, arba įdomesnį, kartais rinkdavausi pirmąjį, o kartais – antrą. Tačiau būkite kantrūs, mieli skaitytojai, ataskaitos turinys to vertas.
Kai kurios istorijos nesvarbios ir nereikalingos dalys buvo pašalintos, kitaip dauguma nebūtų galėję perskaityti viso teksto. Norintys perskaityti ataskaitą „nekarpyta“, gali tai padaryti originalo kalba, paspausdami nuorodą.
Deja, autoriai ne visada atsargiai naudoja terminiją. Taigi vienkartiniai slaptažodžiai (One Time Password – OTP) kartais vadinami „slaptažodžiais“, o kartais – „kodais“. Tai dar blogiau naudojant autentifikavimo metodus. Neįgudusiam skaitytojui ne visada lengva atspėti, kad „autentifikavimas naudojant kriptografinius raktus“ ir „stiprus autentifikavimas“ yra tas pats dalykas. Stengiausi kuo labiau suvienodinti terminus, o pačiame pranešime yra fragmentas su jų aprašymu.
Nepaisant to, ataskaitą labai rekomenduojama perskaityti, nes joje pateikiami unikalūs tyrimo rezultatai ir teisingos išvados.
Visi skaičiai ir faktai pateikiami be menkiausių pakeitimų, o jei su jais nesutinkate, tuomet geriau ginčytis ne su vertėju, o su ataskaitos autoriais. O štai mano komentarai (išdėlioti kaip citatos ir pažymėti tekste italų) yra mano vertinimas ir mielai pasiginčysiu dėl kiekvieno iš jų (taip pat ir dėl vertimo kokybės).
Peržiūrėti
Šiais laikais skaitmeniniai komunikacijos su klientais kanalai verslui yra svarbesni nei bet kada anksčiau. O įmonėje darbuotojų bendravimas labiau nei bet kada anksčiau yra orientuotas į skaitmeninį formatą. O kiek šios sąveikos bus saugios, priklauso nuo pasirinkto vartotojo autentifikavimo metodo. Užpuolikai naudoja silpną autentifikavimą, kad masiškai įsilaužtų į vartotojų paskyras. Reaguodamos į tai, reguliavimo institucijos griežtina standartus, siekdamos priversti įmones geriau apsaugoti vartotojų paskyras ir duomenis.
Su autentifikavimu susijusios grėsmės neapsiriboja vartotojų programomis, užpuolikai taip pat gali pasiekti įmonėje veikiančias programas. Ši operacija leidžia jiems apsimesti įmonės vartotojais. Užpuolikai, naudojantys prieigos taškus su silpnu autentifikavimu, gali pavogti duomenis ir atlikti kitą nesąžiningą veiklą. Laimei, yra priemonių su tuo kovoti. Stiprus autentifikavimas padės žymiai sumažinti užpuoliko užpuolimo riziką tiek vartotojų programose, tiek įmonės verslo sistemose.
Šiame tyrime nagrinėjama: kaip įmonės įgyvendina autentifikavimą, kad apsaugotų galutinio vartotojo programas ir įmonės verslo sistemas; veiksniai, į kuriuos atsižvelgia rinkdamiesi autentifikavimo sprendimą; stipraus autentifikavimo vaidmenį jų organizacijose; nauda, kurią gauna šios organizacijos.
Santrauka
Pagrindinės išvados
Nuo 2017 m. stipriojo autentifikavimo naudojimas smarkiai išaugo. Didėjant pažeidžiamumui, turinčiam įtakos tradiciniams autentifikavimo sprendimams, organizacijos stiprina savo autentifikavimo galimybes naudodamos tvirtą autentifikavimą. Organizacijų, naudojančių kriptografinį daugiafaktorinį autentifikavimą (MFA), skaičius nuo 2017 m. patrigubėjo vartotojų programoms ir padidėjo beveik 50 % įmonių programoms. Sparčiausiai auga mobiliojo ryšio autentifikavimas dėl didėjančio biometrinio autentifikavimo prieinamumo.
Čia matome iliustraciją posakiui „kol netrenks perkūnas, žmogus neperžengs savęs“. Ekspertams įspėjus apie slaptažodžių nesaugumą, niekas neskubėjo diegti dviejų veiksnių autentifikavimo. Kai tik įsilaužėliai pradėjo vogti slaptažodžius, žmonės pradėjo diegti dviejų veiksnių autentifikavimą.
Tiesa, asmenys kur kas aktyviau diegia 2FA. Pirma, jiems lengviau nuraminti savo baimes pasikliaujant išmaniuosiuose telefonuose įtaisytu biometriniu autentifikavimu, kuris iš tikrųjų yra labai nepatikimas. Organizacijoms reikia išleisti pinigus žetonų pirkimui ir atlikti darbus (tiesą sakant, labai paprastus), kad juos įgyvendintų. Antra, tik tinginiai nėra rašę apie slaptažodžių nutekėjimą iš tokių paslaugų kaip Facebook ir Dropbox, tačiau šių organizacijų CIO jokiu būdu nesidalins istorijomis apie tai, kaip slaptažodžiai buvo pavogti (ir kas nutiko toliau) organizacijose.
Tie, kurie nenaudoja tvirto autentifikavimo, nepakankamai įvertina riziką savo verslui ir klientams. Kai kurios organizacijos, kurios šiuo metu nenaudoja tvirto autentifikavimo, linkusios manyti, kad prisijungimai ir slaptažodžiai yra vienas iš efektyviausių ir paprasčiausių naudotojo autentifikavimo būdų. Kiti nemato jiems priklausančio skaitmeninio turto vertės. Juk verta manyti, kad kibernetinius nusikaltėlius domina bet kokia vartotojų ir verslo informacija. Du trečdaliai įmonių, kurios naudoja tik slaptažodžius savo darbuotojų tapatybei patvirtinti, tai daro, nes mano, kad slaptažodžiai yra pakankamai tinkami saugomai informacijai.
Tačiau slaptažodžiai yra pakeliui į kapą. Per pastaruosius metus vartotojų ir įmonių taikomųjų programų priklausomybė nuo slaptažodžių labai sumažėjo (atitinkamai nuo 44% iki 31% ir nuo 56% iki 47%), nes organizacijos vis dažniau naudoja tradicinę MFA ir stiprų autentifikavimą.
Tačiau jei pažvelgsime į situaciją kaip visumą, vis tiek vyrauja pažeidžiami autentifikavimo metodai. Maždaug ketvirtadalis organizacijų vartotojų autentifikavimui naudoja SMS OTP (vienkartinį slaptažodį) kartu su saugos klausimais. Dėl to turi būti įdiegtos papildomos saugumo priemonės, apsaugančios nuo pažeidžiamumo, o tai padidina išlaidas. Daug saugesnių autentifikavimo metodų, tokių kaip aparatinės įrangos kriptografiniai raktai, naudojimas yra naudojamas daug rečiau, maždaug 5% organizacijų.
Besivystanti reguliavimo aplinka žada paspartinti tvirto autentifikavimo pritaikymą vartotojų programoms. Įvedus PSD2, taip pat naujas duomenų apsaugos taisykles ES ir keliose JAV valstijose, pavyzdžiui, Kalifornijoje, įmonės jaučia karštį. Beveik 70 % įmonių sutinka, kad jos susiduria su dideliu reguliavimo spaudimu teikti tvirtą autentifikavimą savo klientams. Daugiau nei pusė įmonių mano, kad per kelerius metus jų autentifikavimo metodų nepakaks, kad atitiktų reguliavimo standartus.
Ryškiai matomas skirtumas tarp Rusijos ir Amerikos-Europos įstatymų leidėjų požiūrių į programų ir paslaugų vartotojų asmens duomenų apsaugą. Rusai sako: gerbiami serviso savininkai, darykite ką norite ir kaip norite, bet jei jūsų administratorius sujungs duomenų bazę, mes jus nubausim. Užsienyje sakoma: privalai įgyvendinti aibę priemonių, kurios neleis nusausinkite pagrindą. Būtent todėl ten diegiami griežto dviejų veiksnių autentifikavimo reikalavimai.
Tiesa, toli gražu ne faktas, kad mūsų įstatymų leidybos mašina vieną dieną nesusipras ir neatsižvelgs į Vakarų patirtį. Tada išeina, kad visiems reikia įdiegti rusiškus kriptografijos standartus atitinkantį 2FA ir skubiai.
Stiprios autentifikavimo sistemos sukūrimas leidžia įmonėms sutelkti dėmesį nuo reguliavimo reikalavimų tenkinimo prie klientų poreikių tenkinimo. Toms organizacijoms, kurios vis dar naudoja paprastus slaptažodžius ar gauna kodus SMS žinutėmis, svarbiausias veiksnys renkantis autentifikavimo būdą bus teisės aktų reikalavimų laikymasis. Tačiau tos įmonės, kurios jau naudoja tvirtą autentifikavimą, gali sutelkti dėmesį į tuos autentifikavimo metodus, kurie padidina klientų lojalumą.
Renkantis įmonės autentifikavimo metodą įmonėje, reguliavimo reikalavimai nebėra reikšmingas veiksnys. Šiuo atveju daug svarbesnis yra integravimo paprastumas (32%) ir kaina (26%).
Sukčiavimo eroje užpuolikai gali naudoti įmonės el. paštą sukčiai apgaule gauti prieigą prie duomenų, sąskaitų (su atitinkamomis prieigos teisėmis) ir netgi įtikinti darbuotojus atlikti pinigų pervedimą į jo sąskaitą. Todėl įmonės elektroninio pašto ir portalų paskyros turi būti ypač gerai apsaugotos.
„Google“ sustiprino savo saugumą įdiegdama tvirtą autentifikavimą. Daugiau nei prieš dvejus metus „Google“ paskelbė ataskaitą apie dviejų veiksnių autentifikavimą, pagrįstą kriptografiniais saugos raktais, naudojant FIDO U2F standartą, pranešdama apie įspūdingus rezultatus. Bendrovės duomenimis, prieš daugiau nei 85 000 darbuotojų nebuvo įvykdyta nė viena sukčiavimo ataka.
Rekomendacijos
Įdiekite tvirtą autentifikavimą mobiliosioms ir internetinėms programoms. Daugiafaktoris autentifikavimas, pagrįstas kriptografiniais raktais, suteikia daug geresnę apsaugą nuo įsilaužimo nei tradiciniai MFA metodai. Be to, kriptografinių raktų naudojimas yra daug patogesnis, nes nereikia naudoti ir perkelti papildomos informacijos – slaptažodžių, vienkartinių slaptažodžių ar biometrinių duomenų iš vartotojo įrenginio į autentifikavimo serverį. Be to, standartizavus autentifikavimo protokolus, tampa daug lengviau įdiegti naujus autentifikavimo metodus, kai jie tampa prieinami, taip sumažinant diegimo išlaidas ir apsaugant nuo sudėtingesnių sukčiavimo schemų.
Pasiruoškite vienkartinių slaptažodžių (OTP) panaikinimui. OTP pažeidžiamumas tampa vis akivaizdesnis, nes kibernetiniai nusikaltėliai naudoja socialinę inžineriją, išmaniųjų telefonų klonavimą ir kenkėjiškas programas, siekdami pažeisti šias autentifikavimo priemones. Ir jei OTP kai kuriais atvejais turi tam tikrų pranašumų, tai tik visuotinio prieinamumo visiems vartotojams požiūriu, bet ne saugumo požiūriu.
Neįmanoma nepastebėti, kad kodų gavimas SMS arba Push pranešimais, taip pat kodų generavimas naudojant išmaniesiems telefonams skirtas programas yra tų pačių vienkartinių slaptažodžių (OTP) naudojimas, kurių atmetimui prašome pasiruošti. Techniniu požiūriu sprendimas labai teisingas, nes tai retas sukčius, kuris nebando sužinoti vienkartinio slaptažodžio iš patiklaus vartotojo. Bet manau, kad tokių sistemų gamintojai iki galo laikysis mirštančių technologijų.
Naudokite tvirtą autentifikavimą kaip rinkodaros įrankį, kad padidintumėte klientų pasitikėjimą. Stiprus autentifikavimas gali ne tik pagerinti tikrąjį jūsų verslo saugumą. Klientų informavimas, kad jūsų įmonė naudoja tvirtą autentifikavimą, gali sustiprinti visuomenės supratimą apie tos įmonės saugumą – tai yra svarbus veiksnys, kai klientai turi didelį tvirtų autentifikavimo metodų poreikį.
Atlikite išsamų įmonės duomenų inventorizaciją ir kritiškumo vertinimą ir saugokite juos pagal svarbą. Net mažos rizikos duomenys, pvz., klientų kontaktinė informacija (ne, tikrai, ataskaitoje sakoma „mažos rizikos“, labai keista, kad jie neįvertina šios informacijos svarbos), gali atnešti didelę vertę sukčiams ir sukelti problemų įmonei.
Naudokite tvirtą įmonės autentifikavimą. Daugybė sistemų yra patraukliausi nusikaltėlių taikiniai. Tai apima vidines ir prie interneto prijungtas sistemas, tokias kaip apskaitos programa ar įmonės duomenų saugykla. Stiprus autentifikavimas apsaugo užpuolikams nuo neteisėtos prieigos, taip pat leidžia tiksliai nustatyti, kuris darbuotojas įvykdė kenkėjišką veiklą.
Kas yra stiprus autentifikavimas?
Naudojant tvirtą autentifikavimą, naudotojo autentiškumui patikrinti naudojami keli metodai arba veiksniai:
- Žinių faktorius: bendra paslaptis tarp vartotojo ir jo autentifikavimo subjekto (pvz., slaptažodžiai, atsakymai į saugos klausimus ir kt.)
- Nuosavybės faktorius: įrenginys, kurį turi tik vartotojas (pavyzdžiui, mobilusis įrenginys, kriptografinis raktas ir kt.)
- Vientisumo faktorius: fizinės (dažnai biometrinės) vartotojo charakteristikos (pvz., pirštų atspaudai, rainelės raštas, balsas, elgesys ir kt.)
Poreikis įsilaužti į kelis veiksnius labai padidina užpuolikų nesėkmės tikimybę, nes norint apeiti arba apgauti įvairius veiksnius, reikia naudoti kelių tipų įsilaužimo taktiką, kiekvienam veiksniui atskirai.
Pavyzdžiui, naudodamas 2FA „slaptažodis + išmanusis telefonas“, užpuolikas gali atlikti autentifikavimą žiūrėdamas į vartotojo slaptažodį ir padarydamas tikslią jo išmaniojo telefono programinės įrangos kopiją. Ir tai yra daug sunkiau nei tiesiog pavogti slaptažodį.
Bet jei 2FA naudojamas slaptažodis ir kriptografinis prieigos raktas, tada kopijavimo parinktis čia neveikia - kopijuoti žetoną neįmanoma. Sukčiai turės slapta pavogti žetoną iš vartotojo. Jei vartotojas laiku pastebės praradimą ir apie tai praneš administratoriui, žetonas bus užblokuotas ir sukčiaus pastangos bus bergždžios. Štai kodėl nuosavybės veiksnys reikalauja naudoti specializuotus saugius įrenginius (žetonus), o ne bendrosios paskirties įrenginius (išmaniuosius telefonus).
Naudojant visus tris veiksnius, šį autentifikavimo metodą bus gana brangu įdiegti ir jį naudoti bus gana nepatogu. Todėl dažniausiai naudojami du iš trijų faktorių.
Išsamiau aprašyti dviejų veiksnių autentifikavimo principai , bloke „Kaip veikia dviejų veiksnių autentifikavimas“.
Svarbu pažymėti, kad bent vienas iš autentifikavimo faktorių, naudojamų stipriam autentifikavimui, turi naudoti viešojo rakto kriptografiją.
Stiprus autentifikavimas suteikia daug stipresnę apsaugą nei vieno veiksnio autentifikavimas, pagrįstas klasikiniais slaptažodžiais ir tradicine MFA. Slaptažodžiai gali būti šnipinėti arba perimti naudojant klavišų registratorius, sukčiavimo svetaines arba socialinės inžinerijos atakas (kai auka apgaule apgaunama atskleisti savo slaptažodį). Be to, slaptažodžio savininkas nieko nežinos apie vagystę. Į tradicinę MFA (įskaitant OTP kodus, susiejimą su išmaniuoju telefonu ar SIM kortele) taip pat galima gana lengvai įsilaužti, nes ji nėra pagrįsta viešojo rakto kriptografija (Beje, yra daug pavyzdžių, kai taikydami tuos pačius socialinės inžinerijos metodus sukčiai įtikino vartotojus duoti jiems vienkartinį slaptažodį).
Laimei, nuo praėjusių metų stipraus autentifikavimo ir tradicinės MFA naudojimas vis labiau populiarėja tiek vartotojų, tiek įmonių programose. Ypač sparčiai išaugo stipraus autentifikavimo naudojimas vartotojų programose. Jei 2017 metais juo naudojosi tik 5% įmonių, tai 2018 metais jau tris kartus daugiau – 16%. Tai galima paaiškinti padidėjusiu viešųjų raktų kriptografijos (PKC) algoritmus palaikančių žetonų prieinamumu. Be to, padidėjęs Europos reguliavimo institucijų spaudimas, priėmus naujas duomenų apsaugos taisykles, pvz., PSD2 ir GDPR, turėjo stiprų poveikį net už Europos ribų (tame tarpe ir Rusijoje).
Pažvelkime į šiuos skaičius atidžiau. Kaip matome, privačių asmenų, naudojančių kelių veiksnių autentifikavimą, procentas per metus išaugo įspūdingais 11 proc. Ir tai akivaizdžiai atsitiko slaptažodžių mėgėjų sąskaita, nes tų, kurie tiki „Push“ pranešimų, SMS ir biometrinių duomenų saugumu, skaičius nepasikeitė.
Tačiau naudojant dviejų veiksnių autentifikavimą įmonės reikmėms viskas nėra taip gerai. Pirma, remiantis ataskaita, tik 5% darbuotojų buvo perkelti iš slaptažodžio autentifikavimo į žetonus. Antra, 4 proc. padaugėjo tų, kurie naudojasi alternatyviomis MFA galimybėmis verslo aplinkoje.
Pabandysiu vaidinti analitiką ir pateikti savo interpretaciją. Atskirų vartotojų skaitmeninio pasaulio centre yra išmanusis telefonas. Todėl nieko keisto, kad dauguma naudojasi tomis galimybėmis, kurias jiems suteikia įrenginys – biometrinį autentifikavimą, SMS ir Push pranešimus, taip pat vienkartinius slaptažodžius, kuriuos sugeneruoja aplikacijos pačiame išmaniajame telefone. Žmonės dažniausiai negalvoja apie saugumą ir patikimumą naudodami įprastus įrankius.
Štai kodėl primityvių „tradicinių“ autentifikavimo faktorių vartotojų procentas išlieka nepakitęs. Tačiau tie, kurie anksčiau naudojo slaptažodžius, supranta, kiek rizikuoja, ir rinkdamiesi naują autentifikavimo faktorių renkasi naujausią ir saugiausią variantą – kriptografinį žetoną.
Kalbant apie įmonių rinką, svarbu suprasti, kurioje sistemoje atliekamas autentifikavimas. Jei įdiegtas prisijungimas prie „Windows“ domeno, naudojami kriptografiniai prieigos raktai. Galimybės juos naudoti 2FA jau yra įdiegtos tiek „Windows“, tiek „Linux“, tačiau alternatyvios galimybės yra ilgos ir sunkiai įgyvendinamos. Tiek apie 5% perėjimą nuo slaptažodžių prie žetonų.
O 2FA įdiegimas įmonės informacinėje sistemoje labai priklauso nuo kūrėjų kvalifikacijos. Ir kūrėjams daug lengviau pasiimti paruoštus modulius vienkartiniams slaptažodžiams generuoti, nei suprasti kriptografinių algoritmų veikimą. Dėl to net neįtikėtinai saugumui svarbios programos, tokios kaip vienkartinis prisijungimas arba privilegijuotosios prieigos valdymo sistemos, naudoja OTP kaip antrą veiksnį.
Daug tradicinių autentifikavimo metodų spragų
Nors daugelis organizacijų tebėra priklausomos nuo senų vieno veiksnio sistemų, tradicinio kelių veiksnių autentifikavimo pažeidžiamumai tampa vis akivaizdesni. Vienkartiniai slaptažodžiai, paprastai šešių–aštuonių simbolių ilgio, siunčiami SMS žinute, išlieka labiausiai paplitusi autentifikavimo forma (žinoma, be slaptažodžio faktoriaus). O kai populiarioje spaudoje minimi žodžiai „dviejų veiksnių autentifikavimas“ arba „patvirtinimas dviem veiksmais“, jie beveik visada reiškia SMS vienkartinį slaptažodžio autentifikavimą.
Čia autorius šiek tiek klysta. Vienkartinių slaptažodžių pristatymas SMS žinutėmis niekada nebuvo dviejų veiksnių autentifikavimas. Tai gryniausia forma yra antrasis dviejų žingsnių autentifikavimo etapas, kai pirmasis etapas yra prisijungimo vardo ir slaptažodžio įvedimas.
2016 m. Nacionalinis standartų ir technologijų institutas (NIST) atnaujino autentifikavimo taisykles, kad būtų panaikintas vienkartinių slaptažodžių, siunčiamų SMS žinutėmis, naudojimas. Tačiau šios taisyklės buvo gerokai sušvelnintos po pramonės protestų.
Taigi, sekime siužetą. Amerikos reguliuotojas teisingai pripažįsta, kad pasenusios technologijos nepajėgios užtikrinti vartotojų saugumo, ir įveda naujus standartus. Standartai, skirti apsaugoti internetinių ir mobiliųjų programų (įskaitant bankines) naudotojus. Pramonė skaičiuoja, kiek pinigų jai teks išleisti tikrai patikimiems kriptografiniams žetonams įsigyti, programoms perkurti, viešojo rakto infrastruktūrai diegti, ir „kyla ant užpakalinių kojų“. Viena vertus, vartotojai buvo įsitikinę vienkartinių slaptažodžių patikimumu, kita vertus, buvo atakų prieš NIST. Dėl to standartas buvo sušvelnintas, smarkiai išaugo įsilaužimų ir slaptažodžių vagysčių (ir pinigų iš bankinių programų) skaičius. Tačiau pramonei nereikėjo pakloti pinigų.
Nuo tada išryškėjo būdingi SMS OTP trūkumai. Sukčiai naudoja įvairius metodus, siekdami pakenkti SMS žinutėms:
- SIM kortelės kopijavimas. Užpuolikai sukuria SIM kortelės kopiją (su mobiliojo ryšio operatoriaus darbuotojų pagalba arba savarankiškai, naudojant specialią programinę ir techninę įrangą). Dėl to užpuolikas gauna SMS žinutę su vienkartiniu slaptažodžiu. Vienu ypač žinomu atveju įsilaužėliai netgi sugebėjo pažeisti kriptovaliutų investuotojo Michaelio Turpino AT&T paskyrą ir pavogti beveik 24 mln. USD kriptovaliutų. Dėl to Turpinas pareiškė, kad AT&T buvo kaltas dėl silpnų tikrinimo priemonių, dėl kurių SIM kortelė dubliavosi.
Nuostabi logika. Taigi tai tikrai tik AT&T kaltė? Ne, neabejotinai kaltas mobiliojo ryšio operatorius, kad ryšių parduotuvės pardavėjai išdavė SIM kortelės dublikatą. O kaip su kriptovaliutų mainų autentifikavimo sistema? Kodėl jie nenaudojo stiprių kriptografinių žetonų? Ar buvo gaila išleisti pinigų įgyvendinimui? Ar ne pats Maiklas kaltas? Kodėl jis neprimygtinai reikalavo pakeisti autentifikavimo mechanizmą arba naudoti tik tas biržas, kurios įgyvendina dviejų faktorių autentifikavimą pagal kriptografinius žetonus?
Tikrai patikimų autentifikavimo metodų įdiegimas vėluoja būtent dėl to, kad vartotojai prieš įsilaužimą demonstruoja nuostabų nerūpestingumą, o vėliau dėl savo bėdų kaltina bet ką ir bet ką, išskyrus senovines ir „nesandarias“ autentifikavimo technologijas.
- Kenkėjiška programa. Viena iš pirmųjų mobiliųjų kenkėjiškų programų funkcijų buvo perimti ir persiųsti tekstinius pranešimus užpuolikams. Be to, „man-in-the-browser“ ir „Man-in-the-middle“ atakos gali perimti vienkartinius slaptažodžius, kai jie įvedami užkrėstuose nešiojamuosiuose kompiuteriuose ar staliniuose įrenginiuose.
Kai „Sberbank“ programa jūsų išmaniajame telefone būsenos juostoje mirksi žalia piktograma, ji taip pat ieško „kenkėjiškos programos“ jūsų telefone. Šio renginio tikslas – įprasto išmaniojo telefono nepatikimą vykdymo aplinką bent tam tikru būdu paversti patikima.
Beje, išmanusis telefonas, kaip visiškai nepatikimas įrenginys, kuriame galima padaryti bet ką, yra dar viena priežastis jį naudoti autentifikavimui tik aparatūros žetonai, kurie yra apsaugoti ir be virusų ir Trojos arklių. - Socialinė inžinerija. Sukčiai sužinoję, kad aukai SMS žinutėmis įgalino vienkartinius slaptažodžius, jie gali susisiekti su auka tiesiogiai, apsimesdami patikima organizacija, pvz., banku ar kredito unija, kad apgautų auką pateikti ką tik gautą kodą.
Aš asmeniškai ne kartą susidūriau su tokio pobūdžio sukčiavimu, pavyzdžiui, bandydamas ką nors parduoti populiariame internetiniame sendaikčių turguje. Aš pats pasijuokiau iš aferisto, kuris bandė mane apgauti iki širdies gelmių. Bet, deja, nuolat perskaitau žinias, kaip dar viena sukčių auka „nepagalvojo“, davė patvirtinimo kodą ir prarado didelę sumą. Ir visa tai todėl, kad bankas tiesiog nenori užsiimti kriptografinių žetonų diegimu savo programose. Galų gale, jei kas nors atsitiks, klientai „turi patys kalti“.
Nors alternatyvūs OTP pristatymo metodai gali sumažinti kai kuriuos šio autentifikavimo metodo pažeidžiamumus, kiti pažeidžiamumai išlieka. Atskiros kodų generavimo programos yra geriausia apsauga nuo pasiklausymo, nes net kenkėjiška programa vargu ar gali tiesiogiai sąveikauti su kodo generatoriumi (rimtai? Ar pranešimo autorius pamiršo apie nuotolinio valdymo pultą?), tačiau vienkartinius slaptažodžius vis tiek galima perimti, kai jie įvedami į naršyklę (pavyzdžiui, naudojant klavišų kaupiklį), per nulaužtą mobiliąją programą; taip pat galima gauti tiesiogiai iš vartotojo naudojant socialinę inžineriją.
Naudojant kelias rizikos vertinimo priemones, pvz., įrenginio atpažinimą (bandymų atlikti operacijas iš įrenginių, kurie nepriklauso teisėtam vartotojui, aptikimas), geografinė vieta (ką tik Maskvoje buvęs vartotojas bando atlikti operaciją iš Novosibirsko) ir elgesio analizė yra svarbi pažeidžiamumui pašalinti, tačiau nė vienas sprendimas nėra panacėja. Kiekvienai situacijai ir duomenų tipui būtina atidžiai įvertinti riziką ir pasirinkti, kokia autentifikavimo technologija turėtų būti naudojama.
Joks autentifikavimo sprendimas nėra panacėja
2 pav. Autentifikavimo parinkčių lentelė
| Autentifikavimas | faktorius | aprašymas | Pagrindiniai pažeidžiamumai |
| Slaptažodis arba PIN kodas | Žinios | Fiksuota reikšmė, kurią gali sudaryti raidės, skaičiai ir daugybė kitų simbolių | Galima perimti, šnipinėti, pavogti, paimti ar nulaužti |
| Žiniomis pagrįstas autentifikavimas | Žinios | Klausia atsakymų, į kuriuos gali žinoti tik teisėtas vartotojas | Galima perimti, paimti, gauti naudojant socialinės inžinerijos metodus |
| Aparatinė OTP () | Turėjimas | Specialus įrenginys, generuojantis vienkartinius slaptažodžius | Kodas gali būti perimtas ir kartojamas arba įrenginys gali būti pavogtas |
| Programinės įrangos OTP | Turėjimas | Programa (mobilioji, pasiekiama per naršyklę arba siunčianti kodus el. paštu), kuri generuoja vienkartinius slaptažodžius | Kodas gali būti perimtas ir kartojamas arba įrenginys gali būti pavogtas |
| SMS OTP | Turėjimas | Vienkartinis slaptažodis pristatomas SMS žinute | Kodas gali būti perimtas ir kartojamas, išmanusis telefonas ar SIM kortelė gali būti pavogta arba SIM kortelė gali būti kopijuojama |
| Išmaniosios kortelės () | Turėjimas | Kortelė, kurioje yra kriptografinis lustas ir saugaus rakto atmintis, kuri autentifikavimui naudoja viešojo rakto infrastruktūrą | Gali būti fiziškai pavogtas (bet užpuolikas negalės naudotis įrenginiu, nežinodamas PIN kodo; jei kelis kartus bandysite įvesti neteisingai, įrenginys bus užblokuotas) |
| Saugos raktai – žetonai (, ) | Turėjimas | USB įrenginys, kuriame yra kriptografinė mikroschema ir saugaus rakto atmintis, kuri autentifikavimui naudoja viešojo rakto infrastruktūrą | Gali būti fiziškai pavogtas (tačiau užpuolikas negalės naudotis įrenginiu nežinodamas PIN kodo; kelis kartus neteisingai pabandžius įvesti įrenginį bus užblokuotas) |
| Susiejimas su įrenginiu | Turėjimas | Profilio kūrimo procesas, dažnai naudojant „JavaScript“ arba naudojant žymeklius, pvz., slapukus ir „Flash“ bendrinamus objektus, siekiant užtikrinti, kad naudojamas konkretus įrenginys | Žetonus gali pavogti (nukopijuoti), o legalaus įrenginio savybes gali imituoti užpuolikas savo įrenginyje |
| Elgesys | Įgimimas | Analizuoja, kaip vartotojas sąveikauja su įrenginiu ar programa | Elgesys gali būti imituojamas |
| Pirštų atspaudai | Įgimimas | Išsaugoti pirštų atspaudai lyginami su užfiksuotais optiškai arba elektroniniu būdu | Vaizdas gali būti pavogtas ir naudojamas autentifikavimui |
| Akių skenavimas | Įgimimas | Lygina akies charakteristikas, pvz., rainelės raštą, su naujais optiniais nuskaitymais | Vaizdas gali būti pavogtas ir naudojamas autentifikavimui |
| Veido atpažinimas | Įgimimas | Veido charakteristikos lyginamos su naujais optiniais nuskaitymais | Vaizdas gali būti pavogtas ir naudojamas autentifikavimui |
| Balso atpažinimas | Įgimimas | Įrašyto balso pavyzdžio charakteristikos palyginamos su naujais pavyzdžiais | Įrašas gali būti pavogtas ir naudojamas autentifikavimui arba imituojamas |
Antroje leidinio dalyje mūsų laukia skaniausi dalykai - skaičiai ir faktai, kuriais remiasi pirmoje dalyje pateiktos išvados ir rekomendacijos. Autentifikavimas vartotojo programose ir įmonių sistemose bus aptartas atskirai.
Netrukus pamatysite!
Šaltinis: www.habr.com