ProHoster > Blogs > interneta ziÅas > Kas notiks ar autentifikÄciju un parolÄm? Javelin ziÅojuma āState of Strong Authenticationā tulkojums ar komentÄriem
Kas notiks ar autentifikÄciju un parolÄm? Javelin ziÅojuma āState of Strong Authenticationā tulkojums ar komentÄriem
Spoileris no ziÅojuma virsraksta: "SpÄcÄ«gas autentifikÄcijas izmantoÅ”ana palielinÄs jaunu risku un normatÄ«vo prasÄ«bu dÄļ."
PÄtÄ«jumu kompÄnija "Javelin Strategy & Research" publicÄja ziÅojumu "The State of Strong Authentication 2019" ( OriÄ£inÄlu pdf formÄtÄ var lejupielÄdÄt Å”eit). Å ajÄ ziÅojumÄ teikts: cik procenti Amerikas un Eiropas uzÅÄmumu izmanto paroles (un kÄpÄc tagad maz cilvÄku izmanto paroles); kÄpÄc tik strauji pieaug divu faktoru autentifikÄcijas izmantoÅ”ana, kuras pamatÄ ir kriptogrÄfiskie marÄ·ieri; KÄpÄc vienreizÄjie kodi, kas nosÅ«tÄ«ti ar SMS, nav droÅ”i.
AicinÄts ikviens, kurÅ” interesÄjas par uzÅÄmumu un patÄrÄtÄju lietojumprogrammu autentifikÄcijas tagadni, pagÄtni un nÄkotni. No tulka
DiemžÄl valoda, kurÄ Å”is ziÅojums ir uzrakstÄ«ts, ir diezgan āsausaā un formÄla. Un vÄrda āautentifikÄcijaā piecreizÄja lietoÅ”ana vienÄ Ä«sÄ teikumÄ ir nevis tulkotÄja lÄ«kÄs rokas (vai smadzenes), bet gan autoru iegriba. Tulkojot no diviem variantiem ā dot lasÄ«tÄjiem oriÄ£inÄlam tuvÄku vai interesantÄku tekstu, reizÄm izvÄlÄjos pirmo, reizÄm otro. Bet esiet pacietÄ«gi, dÄrgie lasÄ«tÄji, ziÅojuma saturs ir tÄ vÄrts.
Daži stÄstam nesvarÄ«gi un nevajadzÄ«gi gabali tika izÅemti, pretÄjÄ gadÄ«jumÄ vairÄkums nebÅ«tu varÄjis tikt cauri visam tekstam. Tie, kas vÄlas lasÄ«t ziÅojumu ānesagrieztiā, var to izdarÄ«t oriÄ£inÄlvalodÄ, sekojot saitei.
DiemžÄl autori ne vienmÄr ir uzmanÄ«gi ar terminoloÄ£iju. TÄdÄjÄdi vienreizÄjÄs paroles (One Time Password ā OTP) dažreiz sauc par āparolÄmā un dažreiz par ākodiemā. VÄl sliktÄk ir ar autentifikÄcijas metodÄm. NeapmÄcÄ«tam lasÄ«tÄjam ne vienmÄr ir viegli uzminÄt, ka āautentifikÄcija, izmantojot kriptogrÄfiskÄs atslÄgasā un āspÄcÄ«ga autentifikÄcijaā ir viens un tas pats. MÄÄ£inÄju pÄc iespÄjas unificÄt terminus, un paÅ”Ä pÄrskatÄ ir fragments ar to aprakstu.
TomÄr ziÅojumu ļoti ieteicams izlasÄ«t, jo tas satur unikÄlus pÄtÄ«jumu rezultÄtus un pareizus secinÄjumus.
Visi skaitļi un fakti ir uzrÄdÄ«ti bez mazÄkajÄm izmaiÅÄm, un, ja jÅ«s tiem nepiekrÄ«tat, tad labÄk strÄ«dÄties nevis ar tulkotÄju, bet gan ar ziÅojuma autoriem. Un Å”eit ir mani komentÄri (izkÄrtoti kÄ citÄti un atzÄ«mÄti tekstÄ itÄļu valoda) ir mans vÄrtÄ«bu spriedums, un es labprÄt strÄ«dÄÅ”os par katru no tiem (kÄ arÄ« par tulkojuma kvalitÄti).
PÄrskatiet
MÅ«sdienÄs digitÄlie saziÅas kanÄli ar klientiem ir svarÄ«gÄki nekÄ jebkad agrÄk uzÅÄmumiem. Un uzÅÄmumÄ komunikÄcija starp darbiniekiem ir vairÄk digitÄli orientÄta nekÄ jebkad agrÄk. Un tas, cik droÅ”a bÅ«s Ŕī mijiedarbÄ«ba, ir atkarÄ«gs no izvÄlÄtÄs lietotÄja autentifikÄcijas metodes. UzbrucÄji izmanto vÄju autentifikÄciju, lai masveidÄ uzlauztu lietotÄju kontus. ReaÄ£Äjot uz to, regulatori pastiprina standartus, lai piespiestu uzÅÄmumus labÄk aizsargÄt lietotÄju kontus un datus.
Ar autentifikÄciju saistÄ«tie draudi ir plaÅ”Äki par patÄrÄtÄju lietojumprogrammÄm; uzbrucÄji var piekļūt arÄ« lietojumprogrammÄm, kas darbojas uzÅÄmumÄ. Å Ä« darbÄ«ba ļauj viÅiem uzdoties par korporatÄ«vajiem lietotÄjiem. UzbrucÄji, kuri izmanto piekļuves punktus ar vÄju autentifikÄciju, var nozagt datus un veikt citas krÄpnieciskas darbÄ«bas. Par laimi, ir pasÄkumi, lai to apkarotu. SpÄcÄ«ga autentifikÄcija palÄ«dzÄs ievÄrojami samazinÄt uzbrucÄja uzbrukuma risku gan patÄrÄtÄju lietojumprogrammÄs, gan uzÅÄmuma biznesa sistÄmÄs.
Å ajÄ pÄtÄ«jumÄ tiek apskatÄ«ts: kÄ uzÅÄmumi ievieÅ” autentifikÄciju, lai aizsargÄtu galalietotÄju lietojumprogrammas un uzÅÄmuma biznesa sistÄmas; faktori, ko viÅi Åem vÄrÄ, izvÄloties autentifikÄcijas risinÄjumu; spÄcÄ«gas autentifikÄcijas lomu viÅu organizÄcijÄs; priekÅ”rocÄ«bas, ko Ŕīs organizÄcijas saÅem.
Kopsavilkums
Galvenie secinÄjumi
KopÅ” 2017. gada spÄcÄ«gas autentifikÄcijas izmantoÅ”ana ir strauji pieaugusi. Pieaugot ievainojamÄ«bu skaitam, kas ietekmÄ tradicionÄlos autentifikÄcijas risinÄjumus, organizÄcijas stiprina savas autentifikÄcijas iespÄjas, izmantojot spÄcÄ«gu autentifikÄciju. KopÅ” 2017. gada to organizÄciju skaits, kuras izmanto kriptogrÄfisko daudzfaktoru autentifikÄciju (MFA), ir trÄ«skÄrÅ”ojies patÄrÄtÄju lietojumprogrammÄm un palielinÄjies par gandrÄ«z 50% uzÅÄmumu lietojumprogrammÄm. StraujÄkais pieaugums vÄrojams mobilajÄ autentifikÄcijÄ, jo pieaug biometriskÄs autentifikÄcijas pieejamÄ«ba.
Å eit mÄs redzam teiciena ilustrÄciju: "KamÄr pÄrkons nespÄs, cilvÄks nepÄries." Kad eksperti brÄ«dinÄja par paroļu nedroŔību, neviens nesteidzÄs ieviest divu faktoru autentifikÄciju. TiklÄ«dz hakeri sÄka zagt paroles, cilvÄki sÄka ieviest divu faktoru autentifikÄciju.
Tiesa, indivÄ«di daudz aktÄ«vÄk ievieÅ” 2FA. PirmkÄrt, viÅiem ir vieglÄk nomierinÄt savas bailes, paļaujoties uz viedtÄlruÅos iebÅ«vÄto biometrisko autentifikÄciju, kas patiesÄ«bÄ ir ļoti neuzticama. OrganizÄcijÄm ir jÄtÄrÄ nauda žetonu iegÄdei un jÄveic darbs (patiesÄ«bÄ Ä¼oti vienkÄrÅ”s), lai tos ieviestu. Un, otrkÄrt, tikai slinki cilvÄki nav rakstÄ«juÅ”i par paroļu noplÅ«di no tÄdiem pakalpojumiem kÄ Facebook un Dropbox, taÄu Å”o organizÄciju CIO nekÄdÄ gadÄ«jumÄ nedalÄ«sies stÄstos par to, kÄ organizÄcijÄs tika nozagtas paroles (un kas notika tÄlÄk).
Tie, kas neizmanto spÄcÄ«gu autentifikÄciju, par zemu novÄrtÄ savu risku savam biznesam un klientiem. Dažas organizÄcijas, kas paÅ”laik neizmanto spÄcÄ«gu autentifikÄciju, mÄdz uzskatÄ«t pieteikumvÄrdus un paroles kÄ vienu no efektÄ«vÄkajÄm un vienkÄrÅ”ÄkajÄm lietotÄju autentifikÄcijas metodÄm. Citi neredz viÅiem piederoÅ”o digitÄlo lÄ«dzekļu vÄrtÄ«bu. Galu galÄ ir vÄrts uzskatÄ«t, ka kibernoziedzniekus interesÄ jebkura patÄrÄtÄju un biznesa informÄcija. Divas treÅ”daļas uzÅÄmumu, kas izmanto tikai paroles, lai autentificÄtu savus darbiniekus, to dara tÄpÄc, ka uzskata, ka paroles ir pietiekami labas aizsargÄtÄs informÄcijas veidam.
TomÄr paroles ir ceÄ¼Ä uz kapu. Paroles atkarÄ«ba pÄdÄjÄ gada laikÄ ir ievÄrojami samazinÄjusies gan patÄrÄtÄju, gan uzÅÄmumu lietojumprogrammÄm (attiecÄ«gi no 44% lÄ«dz 31% un no 56% lÄ«dz 47%), jo organizÄcijas palielina tradicionÄlÄs MFA un spÄcÄ«gÄs autentifikÄcijas izmantoÅ”anu.
Bet, ja skatÄmies uz situÄciju kopumÄ, neaizsargÄtÄs autentifikÄcijas metodes joprojÄm dominÄ. LietotÄju autentifikÄcijai aptuveni ceturtÄ daļa organizÄciju izmanto SMS OTP (vienreizÄju paroli) kopÄ ar droŔības jautÄjumiem. RezultÄtÄ ir jÄievieÅ” papildu droŔības pasÄkumi, lai aizsargÄtos pret ievainojamÄ«bu, kas palielina izmaksas. Daudz droÅ”Äku autentifikÄcijas metožu, piemÄram, aparatÅ«ras kriptogrÄfisko atslÄgu, izmantoÅ”ana tiek izmantota daudz retÄk, aptuveni 5% organizÄciju.
AttÄ«stoÅ”Ä normatÄ«vÄ vide sola paÄtrinÄt spÄcÄ«gas autentifikÄcijas pieÅemÅ”anu patÄrÄtÄju lietojumprogrammÄm. LÄ«dz ar PSD2 ievieÅ”anu, kÄ arÄ« jauniem datu aizsardzÄ«bas noteikumiem ES un vairÄkos ASV Å”tatos, piemÄram, KalifornijÄ, uzÅÄmumi izjÅ«t karstumu. GandrÄ«z 70% uzÅÄmumu piekrÄ«t, ka tie saskaras ar spÄcÄ«gu regulatÄ«vo spiedienu, lai nodroÅ”inÄtu saviem klientiem spÄcÄ«gu autentifikÄciju. VairÄk nekÄ puse uzÅÄmumu uzskata, ka dažu gadu laikÄ viÅu autentifikÄcijas metodes nebÅ«s pietiekamas, lai atbilstu normatÄ«vajiem standartiem.
Ir skaidri redzama atŔķirÄ«ba starp Krievijas un Amerikas un Eiropas likumdevÄju pieejÄm programmu un pakalpojumu lietotÄju personas datu aizsardzÄ«bai. Krievi saka: cienÄ«jamie servisa Ä«paÅ”nieki, dariet ko gribat un kÄ gribat, bet ja jÅ«su admins sapludinÄs datubÄzi, mÄs jÅ«s sodÄ«sim. ViÅi saka ÄrzemÄs: jums ir jÄÄ«steno pasÄkumu kopums, kas neļaus noteciniet pamatni. TÄpÄc tur tiek ieviestas prasÄ«bas stingrai divu faktoru autentifikÄcijai.
Tiesa, tas ir tÄlu no fakta, ka mÅ«su likumdoÅ”anas maŔīna reiz nenÄks pie prÄta un neÅems vÄrÄ Rietumu pieredzi. Tad sanÄk, ka visiem ir jÄievieÅ” Krievijas kriptogrÄfijas standartiem atbilstoÅ”s 2FA un steidzami.
SpÄcÄ«gas autentifikÄcijas sistÄmas izveide ļauj uzÅÄmumiem pÄrorientÄties no normatÄ«vo prasÄ«bu izpildes uz klientu vajadzÄ«bu apmierinÄÅ”anu. TÄm organizÄcijÄm, kuras joprojÄm izmanto vienkÄrÅ”as paroles vai saÅem kodus ar SMS, svarÄ«gÄkais faktors, izvÄloties autentifikÄcijas metodi, bÅ«s atbilstÄ«ba normatÄ«vo aktu prasÄ«bÄm. TaÄu tie uzÅÄmumi, kas jau izmanto spÄcÄ«gu autentifikÄciju, var koncentrÄties uz to autentifikÄcijas metožu izvÄli, kas palielina klientu lojalitÄti.
IzvÄloties korporatÄ«vÄs autentifikÄcijas metodi uzÅÄmumÄ, normatÄ«vÄs prasÄ«bas vairs nav bÅ«tisks faktors. Å ajÄ gadÄ«jumÄ daudz svarÄ«gÄka ir integrÄcijas vieglums (32%) un izmaksas (26%).
PikŔķerÄÅ”anas laikmetÄ uzbrucÄji var izmantot korporatÄ«vo e-pastu, lai krÄptu krÄpnieciski piekļūt datiem, kontiem (ar atbilstoÅ”Äm piekļuves tiesÄ«bÄm) un pat pÄrliecinÄt darbiniekus veikt naudas pÄrskaitÄ«jumu uz viÅa kontu. TÄpÄc korporatÄ«vo e-pastu un portÄlu kontiem ir jÄbÅ«t Ä«paÅ”i labi aizsargÄtiem.
Google ir pastiprinÄjis savu droŔību, ievieÅ”ot spÄcÄ«gu autentifikÄciju. Pirms vairÄk nekÄ diviem gadiem Google publicÄja ziÅojumu par divu faktoru autentifikÄcijas ievieÅ”anu, kuras pamatÄ ir kriptogrÄfiskÄs droŔības atslÄgas, izmantojot FIDO U2F standartu, ziÅojot par iespaidÄ«giem rezultÄtiem. PÄc uzÅÄmuma datiem, neviens pikŔķerÄÅ”anas uzbrukums nav veikts vairÄk nekÄ 85 000 darbinieku.
Ieteikumi
Ieviesiet spÄcÄ«gu autentifikÄciju mobilajÄm un tieÅ”saistes lietojumprogrammÄm. Daudzfaktoru autentifikÄcija, kuras pamatÄ ir kriptogrÄfiskÄs atslÄgas, nodroÅ”ina daudz labÄku aizsardzÄ«bu pret uzlauÅ”anu nekÄ tradicionÄlÄs MFA metodes. TurklÄt kriptogrÄfisko atslÄgu izmantoÅ”ana ir daudz ÄrtÄka, jo nav nepiecieÅ”ams izmantot un pÄrsÅ«tÄ«t papildu informÄciju - paroles, vienreizÄjÄs paroles vai biometriskos datus no lietotÄja ierÄ«ces uz autentifikÄcijas serveri. TurklÄt autentifikÄcijas protokolu standartizÄÅ”ana padara daudz vienkÄrÅ”Äku jaunu autentifikÄcijas metožu ievieÅ”anu, tiklÄ«dz tÄs kļūst pieejamas, samazinot ievieÅ”anas izmaksas un aizsargÄjot pret sarežģītÄkÄm krÄpÅ”anas shÄmÄm.
Sagatavojieties vienreizÄjo paroļu (OTP) izbeigÅ”anai. OTP raksturÄ«gÄs ievainojamÄ«bas kļūst arvien skaidrÄkas, jo kibernoziedznieki izmanto sociÄlo inženieriju, viedtÄlruÅu klonÄÅ”anu un ļaunprÄtÄ«gu programmatÅ«ru, lai apdraudÄtu Å”os autentifikÄcijas lÄ«dzekļus. Un, ja OTP dažos gadÄ«jumos ir zinÄmas priekÅ”rocÄ«bas, tad tikai no universÄlas pieejamÄ«bas viedokļa visiem lietotÄjiem, bet ne no droŔības viedokļa.
Nav iespÄjams nepamanÄ«t, ka kodu saÅemÅ”ana, izmantojot SMS vai Push paziÅojumus, kÄ arÄ« kodu Ä£enerÄÅ”ana, izmantojot viedtÄlruÅiem paredzÄtÄs programmas, ir to paÅ”u vienreizÄjo paroļu (OTP) izmantoÅ”ana, kuru noraidÄ«Å”anai tiek lÅ«gts sagatavoties. No tehniskÄ viedokļa risinÄjums ir ļoti pareizs, jo tas ir rets krÄpnieks, kurÅ” nemÄÄ£ina noskaidrot vienreizÄjo paroli no lÄtticÄ«ga lietotÄja. Bet es domÄju, ka Å”Ädu sistÄmu ražotÄji pieÄ·ersies mirstoÅ”ajai tehnoloÄ£ijai lÄ«dz pÄdÄjam.
Izmantojiet spÄcÄ«gu autentifikÄciju kÄ mÄrketinga rÄ«ku, lai palielinÄtu klientu uzticÄ«bu. SpÄcÄ«ga autentifikÄcija var darÄ«t vairÄk, nekÄ tikai uzlabot jÅ«su uzÅÄmuma faktisko droŔību. Klientu informÄÅ”ana par to, ka jÅ«su uzÅÄmums izmanto stingru autentifikÄciju, var stiprinÄt sabiedrÄ«bas izpratni par Ŕī uzÅÄmuma droŔību ā tas ir svarÄ«gs faktors, ja klientu pieprasÄ«jums pÄc spÄcÄ«gas autentifikÄcijas metodÄm ir ievÄrojams.
Veiciet rÅ«pÄ«gu korporatÄ«vo datu inventarizÄciju un kritiskuma novÄrtÄÅ”anu un aizsargÄjiet tos atbilstoÅ”i svarÄ«gumam. Pat zema riska dati, piemÄram, klienta kontaktinformÄcija (nÄ, tieÅ”Äm, ziÅojumÄ teikts "zems risks", ir ļoti dÄ«vaini, ka viÅi par zemu novÄrtÄ Å”Ä«s informÄcijas nozÄ«mi), var radÄ«t ievÄrojamu vÄrtÄ«bu krÄpniekiem un radÄ«t problÄmas uzÅÄmumam.
Izmantojiet spÄcÄ«gu uzÅÄmuma autentifikÄciju. VairÄkas sistÄmas ir vispievilcÄ«gÄkie mÄrÄ·i noziedzniekiem. Tie ietver iekÅ”ÄjÄs un ar internetu savienotas sistÄmas, piemÄram, grÄmatvedÄ«bas programmu vai uzÅÄmuma datu noliktavu. SpÄcÄ«ga autentifikÄcija neļauj uzbrucÄjiem iegÅ«t nesankcionÄtu piekļuvi, kÄ arÄ« ļauj precÄ«zi noteikt, kurÅ” darbinieks izdarÄ«jis ļaunprÄtÄ«gu darbÄ«bu.
Kas ir spÄcÄ«ga autentifikÄcija?
Izmantojot spÄcÄ«gu autentifikÄciju, lietotÄja autentiskuma pÄrbaudei tiek izmantotas vairÄkas metodes vai faktori:
ZinÄÅ”anu faktors: koplietots noslÄpums starp lietotÄju un lietotÄja autentificÄtu subjektu (piemÄram, paroles, atbildes uz droŔības jautÄjumiem utt.)
ÄŖpaÅ”umtiesÄ«bu faktors: ierÄ«ce, kas ir tikai lietotÄjam (piemÄram, mobilÄ ierÄ«ce, kriptogrÄfiskÄ atslÄga utt.)
NepiecieÅ”amÄ«ba uzlauzt vairÄkus faktorus ievÄrojami palielina uzbrucÄju neveiksmes iespÄjamÄ«bu, jo, lai apietu vai maldinÄtu dažÄdus faktorus, ir jÄizmanto vairÄku veidu uzlauÅ”anas taktikas katram faktoram atseviŔķi.
PiemÄram, izmantojot 2FA āparoli + viedtÄlrunisā, uzbrucÄjs var veikt autentifikÄciju, apskatot lietotÄja paroli un izveidojot precÄ«zu viÅa viedtÄlruÅa programmatÅ«ras kopiju. Un tas ir daudz grÅ«tÄk nekÄ vienkÄrÅ”i nozagt paroli.
Bet, ja 2FA tiek izmantota parole un kriptogrÄfiskais marÄ·ieris, tad kopÄÅ”anas opcija Å”eit nedarbojas - marÄ·ieri nav iespÄjams dublÄt. KrÄpniekam vajadzÄs slepeni nozagt lietotÄja marÄ·ieri. Ja lietotÄjs laikus pamana zaudÄjumu un par to paziÅo administratoram, marÄ·ieris tiks bloÄ·Äts un krÄpnieka pÅ«les bÅ«s veltÄ«gas. TÄpÄc Ä«paÅ”umtiesÄ«bu faktors prasa izmantot specializÄtas droÅ”as ierÄ«ces (žetonus), nevis vispÄrÄjas nozÄ«mes ierÄ«ces (viedtÄlruÅus).
Izmantojot visus trÄ«s faktorus, Ŕī autentifikÄcijas metode bÅ«s diezgan dÄrga un diezgan neÄrta lietoÅ”anai. TÄpÄc parasti tiek izmantoti divi no trim faktoriem.
SÄ«kÄk ir aprakstÄ«ti divu faktoru autentifikÄcijas principi Å”eit, blokÄ āKÄ darbojas divu faktoru autentifikÄcijaā.
Ir svarÄ«gi atzÄ«mÄt, ka vismaz vienam no stiprajÄ autentifikÄcijÄ izmantotajiem autentifikÄcijas faktoriem ir jÄizmanto publiskÄs atslÄgas kriptogrÄfija.
SpÄcÄ«ga autentifikÄcija nodroÅ”ina daudz spÄcÄ«gÄku aizsardzÄ«bu nekÄ viena faktora autentifikÄcija, kuras pamatÄ ir klasiskÄs paroles un tradicionÄlÄ MFA. Paroles var izspiegot vai pÄrtvert, izmantojot taustiÅu bloÄ·ÄtÄjus, pikŔķerÄÅ”anas vietnes vai sociÄlÄs inženierijas uzbrukumus (kur upuris tiek pievilts atklÄt savu paroli). TurklÄt paroles Ä«paÅ”nieks par zÄdzÄ«bu neko nezinÄs. ArÄ« tradicionÄlo MFA (tostarp OTP kodus, piesaisti viedtÄlrunim vai SIM kartei) var diezgan viegli uzlauzt, jo tÄ nav balstÄ«ta uz publiskÄs atslÄgas kriptogrÄfiju (Starp citu, ir daudz piemÄru, kad, izmantojot tÄs paÅ”as sociÄlÄs inženierijas metodes, krÄpnieki pÄrliecinÄja lietotÄjus dot viÅiem vienreizÄju paroli.).
Par laimi, kopÅ” pagÄjuÅ”Ä gada spÄcÄ«gas autentifikÄcijas un tradicionÄlÄs MFA izmantoÅ”ana ir kļuvusi populÄrÄka gan patÄrÄtÄju, gan uzÅÄmumu lietojumprogrammÄs. ÄŖpaÅ”i strauji pieaugusi spÄcÄ«gas autentifikÄcijas izmantoÅ”ana patÄrÄtÄju lietojumprogrammÄs. Ja 2017.gadÄ to izmantoja tikai 5% uzÅÄmumu, tad 2018.gadÄ jau trÄ«sreiz vairÄk ā 16%. To var izskaidrot ar palielinÄtu tokenu pieejamÄ«bu, kas atbalsta publiskÄs atslÄgas kriptogrÄfijas (PKC) algoritmus. TurklÄt Eiropas regulatoru pastiprinÄtais spiediens pÄc jaunu datu aizsardzÄ«bas noteikumu, piemÄram, PSD2 un GDPR, pieÅemÅ”anas ir spÄcÄ«gi ietekmÄjis pat Ärpus Eiropas (tostarp KrievijÄ).
ApskatÄ«sim Å”os skaitļus tuvÄk. KÄ redzam, privÄtpersonu Ä«patsvars, kas izmanto daudzfaktoru autentifikÄciju, gada laikÄ ir pieaudzis par iespaidÄ«giem 11%. Un tas acÄ«mredzami notika uz paroļu cienÄ«tÄju rÄÄ·ina, jo to cilvÄku skaits, kuri tic Push paziÅojumu, SMS un biometrijas droŔībai, nav mainÄ«jies.
Bet ar divu faktoru autentifikÄciju korporatÄ«vai lietoÅ”anai viss nav tik labi. PirmkÄrt, saskaÅÄ ar ziÅojumu tikai 5% darbinieku tika pÄrcelti no paroles autentifikÄcijas uz marÄ·ieriem. Un, otrkÄrt, par 4% pieaudzis to skaits, kuri izmanto alternatÄ«vas MFA iespÄjas korporatÄ«vajÄ vidÄ.
Es mÄÄ£inÄÅ”u spÄlÄt analÄ«tiÄ·i un sniegt savu interpretÄciju. AtseviŔķu lietotÄju digitÄlÄs pasaules centrÄ ir viedtÄlrunis. TÄpÄc nav brÄ«nums, ka lielÄkÄ daļa izmanto iespÄjas, ko ierÄ«ce viÅiem nodroÅ”ina - biometrisko autentifikÄciju, SMS un Push paziÅojumus, kÄ arÄ« vienreizÄjÄs paroles, ko Ä£enerÄ aplikÄcijas paÅ”Ä viedtÄlrunÄ«. CilvÄki parasti nedomÄ par droŔību un uzticamÄ«bu, izmantojot rÄ«kus, pie kuriem viÅi ir pieraduÅ”i.
TÄpÄc primitÄ«vo ātradicionÄloā autentifikÄcijas faktoru lietotÄju procentuÄlais daudzums paliek nemainÄ«gs. TaÄu tie, kuri iepriekÅ” ir lietojuÅ”i paroles, saprot, ar ko riskÄ, un, izvÄloties jaunu autentifikÄcijas faktoru, izvÄlas jaunÄko un droÅ”Äko variantu ā kriptogrÄfijas marÄ·ieri.
RunÄjot par korporatÄ«vo tirgu, ir svarÄ«gi saprast, kurÄ sistÄmÄ tiek veikta autentifikÄcija. Ja ir ieviesta pieteikÅ”anÄs Windows domÄnÄ, tiek izmantoti kriptogrÄfiskie marÄ·ieri. To izmantoÅ”anas iespÄjas 2FA jau ir iebÅ«vÄtas gan Windows, gan Linux, taÄu alternatÄ«vÄs iespÄjas ir garas un grÅ«ti Ä«stenojamas. Tik daudz par 5% migrÄciju no parolÄm uz marÄ·ieriem.
Un 2FA ievieÅ”ana korporatÄ«vajÄ informÄcijas sistÄmÄ Ä¼oti lielÄ mÄrÄ ir atkarÄ«ga no izstrÄdÄtÄju kvalifikÄcijas. Un izstrÄdÄtÄjiem ir daudz vieglÄk paÅemt gatavus moduļus vienreizÄjo paroļu Ä£enerÄÅ”anai, nekÄ izprast kriptogrÄfijas algoritmu darbÄ«bu. TÄ rezultÄtÄ pat neticami droŔības ziÅÄ kritiskÄs lietojumprogrammas, piemÄram, vienreizÄjÄs pierakstÄ«Å”anÄs vai priviliÄ£ÄtÄs piekļuves pÄrvaldÄ«bas sistÄmas, izmanto OTP kÄ otru faktoru.
Daudzas tradicionÄlo autentifikÄcijas metožu ievainojamÄ«bas
Lai gan daudzas organizÄcijas joprojÄm ir atkarÄ«gas no mantotajÄm viena faktora sistÄmÄm, tradicionÄlÄs daudzfaktoru autentifikÄcijas ievainojamÄ«bas kļūst arvien skaidrÄkas. VienreizÄjas paroles, kas parasti ir seÅ”as lÄ«dz astoÅas rakstzÄ«mes garas un tiek piegÄdÄtas, izmantojot SMS, joprojÄm ir visizplatÄ«tÄkais autentifikÄcijas veids (protams, papildus paroles faktoram). Un, ja populÄrajÄ presÄ tiek minÄti vÄrdi ādivfaktoru autentifikÄcijaā vai ādivpakÄpju verifikÄcijaā, tie gandrÄ«z vienmÄr attiecas uz SMS vienreizÄjo paroles autentifikÄciju.
Å eit autors ir nedaudz kļūdÄ«jies. VienreizÄju paroļu piegÄde, izmantojot SMS, nekad nav bijusi divu faktoru autentifikÄcija. Tas tÄ«rÄkajÄ veidÄ ir divpakÄpju autentifikÄcijas otrais posms, kurÄ pirmais posms ir jÅ«su pieteikumvÄrda un paroles ievadÄ«Å”ana.
2016. gadÄ NacionÄlais standartu un tehnoloÄ£iju institÅ«ts (NIST) atjauninÄja savus autentifikÄcijas noteikumus, lai novÄrstu vienreizÄju paroļu izmantoÅ”anu, kas tiek nosÅ«tÄ«tas ar SMS. TomÄr Å”ie noteikumi tika ievÄrojami mÄ«kstinÄti pÄc nozares protestiem.
TÄtad, sekosim sižetam. Amerikas regulators pareizi atzÄ«st, ka novecojuÅ”as tehnoloÄ£ijas nespÄj nodroÅ”inÄt lietotÄju droŔību, un ievieÅ” jaunus standartus. Standarti, kas izstrÄdÄti, lai aizsargÄtu tieÅ”saistes un mobilo lietojumprogrammu (tostarp banku) lietotÄjus. Nozare aprÄÄ·ina, cik daudz naudas tai bÅ«s jÄtÄrÄ, lai iegÄdÄtos patiesi uzticamus kriptogrÄfiskos marÄ·ierus, pÄrveidotu lietojumprogrammas, izvietotu publiskÄs atslÄgas infrastruktÅ«ru, un tÄ "ceļas uz pakaļkÄjÄm". No vienas puses, lietotÄji bija pÄrliecinÄti par vienreizÄjo paroļu uzticamÄ«bu, un, no otras puses, notika uzbrukumi NIST. TÄ rezultÄtÄ standarts tika mÄ«kstinÄts, un strauji pieauga uzlauÅ”anas un paroļu (un naudas no banku lietojumprogrammÄm) zÄdzÄ«bu skaits. TaÄu nozarei nebija jÄvelk nauda.
KopÅ” tÄ laika SMS OTP raksturÄ«gÄs nepilnÄ«bas ir kļuvuÅ”as skaidrÄkas. KrÄpnieki izmanto dažÄdas metodes, lai uzlauztu Ä«sziÅas:
SIM kartes dublÄÅ”ana. UzbrucÄji izveido SIM kartes kopiju (ar mobilo sakaru operatora darbinieku palÄ«dzÄ«bu vai patstÄvÄ«gi, izmantojot Ä«paÅ”u programmatÅ«ru un aparatÅ«ru). RezultÄtÄ uzbrucÄjs saÅem SMS ar vienreizÄju paroli. VienÄ Ä«paÅ”i slavenÄ gadÄ«jumÄ hakeri pat varÄja uzlauzt kriptovalÅ«tu investora Maikla TÄrpina AT&T kontu un nozagt gandrÄ«z 24 miljonus dolÄru kriptovalÅ«tÄs. RezultÄtÄ Turpins paziÅoja, ka AT&T ir vainojams vÄjo verifikÄcijas pasÄkumu dÄļ, kas izraisÄ«ja SIM kartes dublÄÅ”anos.
ApbrÄ«nojama loÄ£ika. TÄtad tÄ tieÅ”Äm ir tikai AT&T vaina? NÄ, tÄ neapÅ”aubÄmi ir mobilo sakaru operatora vaina, ka sakaru veikalÄ pÄrdevÄjas izsniedza SIM kartes dublikÄtu. KÄ ar kriptovalÅ«tas biržas autentifikÄcijas sistÄmu? KÄpÄc viÅi neizmantoja spÄcÄ«gus kriptogrÄfiskos marÄ·ierus? Vai bija žÄl tÄrÄt naudu Ä«stenoÅ”anai? Vai tad pats Maikls nav vainÄ«gs? KÄpÄc viÅÅ” neuzstÄja mainÄ«t autentifikÄcijas mehÄnismu vai neizmantoja tikai tÄs biržas, kas Ä«steno divu faktoru autentifikÄciju, pamatojoties uz kriptogrÄfijas marÄ·ieriem?
Patiesi uzticamu autentifikÄcijas metožu ievieÅ”ana aizkavÄjas tieÅ”i tÄpÄc, ka lietotÄji pirms uzlauÅ”anas izrÄda apbrÄ«nojamu neuzmanÄ«bu un pÄc tam vaino savÄs nepatikÅ”anÄs ikvienu un jebko, kas nav senas un ānoplÅ«duÅ”asā autentifikÄcijas tehnoloÄ£ijas.
Ä»aunprÄtÄ«ga programmatÅ«ra. Viena no agrÄkajÄm mobilo ierÄ«Äu ļaunprÄtÄ«gÄs programmatÅ«ras funkcijÄm bija Ä«sziÅu pÄrtverÅ”ana un pÄrsÅ«tÄ«Å”ana uzbrucÄjiem. TurklÄt uzbrukumi ācilvÄks pÄrlÅ«kprogrammÄā un ācilvÄks vidÅ«ā var pÄrtvert vienreizÄjas paroles, kad tÄs tiek ievadÄ«tas inficÄtos klÄpjdatoros vai galddatoros.
Kad lietojumprogramma Sberbank viedtÄlrunÄ« statusa joslÄ mirgo zaÄ¼Ä ikonÄ, tÄ arÄ« meklÄ jÅ«su tÄlrunÄ« āļaunprÄtÄ«gu programmatÅ«ruā. Å Ä« pasÄkuma mÄrÄ·is ir pÄrvÄrst parasta viedtÄlruÅa neuzticamo izpildes vidi vismaz kaut kÄdÄ veidÄ par uzticamu vidi.
Starp citu, viedtÄlrunis kÄ pilnÄ«gi neuzticama ierÄ«ce, ar kuru var izdarÄ«t jebko, ir vÄl viens iemesls, lai to izmantotu autentifikÄcijai tikai aparatÅ«ras marÄ·ieri, kas ir aizsargÄti un bez vÄ«rusiem un Trojas zirgiem.
SociÄlÄ inženierija. Ja krÄpnieki zina, ka upurim ir iespÄjotas vienreizÄjÄs Ä«sziÅas, viÅi var tieÅ”i sazinÄties ar upuri, uzdodoties par uzticamu organizÄciju, piemÄram, savu banku vai krÄjaizdevu sabiedrÄ«bu, lai pieviltu cietuÅ”ajam sniegt tikko saÅemto kodu.
Es personÄ«gi daudzkÄrt esmu saskÄries ar Å”Äda veida krÄpÅ”anu, piemÄram, mÄÄ£inot kaut ko pÄrdot populÄrÄ tieÅ”saistes krÄmu tirgÅ«. Es pats izsmÄju krÄpnieku, kurÅ” mÄÄ£inÄja mani apmÄnÄ«t pÄc sirds patikas. Bet diemžÄl es regulÄri lasu ziÅÄs, kÄ kÄrtÄjais krÄpnieku upuris ānedomÄjaā, iedeva apstiprinÄjuma kodu un zaudÄja lielu summu. Un tas viss ir tÄpÄc, ka banka vienkÄrÅ”i nevÄlas nodarboties ar kriptogrÄfisko marÄ·ieru ievieÅ”anu savÄs lietojumprogrammÄs. Galu galÄ, ja kaut kas notiek, klienti "ir paÅ”i vainÄ«gi".
Lai gan alternatÄ«vas OTP piegÄdes metodes var mazinÄt dažas Ŕīs autentifikÄcijas metodes ievainojamÄ«bas, citas ievainojamÄ«bas saglabÄjas. AtseviŔķas kodu Ä£enerÄÅ”anas lietojumprogrammas ir vislabÄkÄ aizsardzÄ«ba pret noklausÄ«Å”anos, jo pat ļaunprogrammatÅ«ra diez vai var tieÅ”i mijiedarboties ar koda Ä£eneratoru (nopietni? Vai ziÅojuma autors aizmirsa par tÄlvadÄ«bas pulti?), taÄu OTP joprojÄm var pÄrtvert, kad tie tiek ievadÄ«ti pÄrlÅ«kprogrammÄ (piemÄram, izmantojot taustiÅu bloÄ·ÄtÄju), izmantojot uzlauztu mobilo lietojumprogrammu; un to var iegÅ«t arÄ« tieÅ”i no lietotÄja, izmantojot sociÄlo inženieriju.
Izmantojot vairÄkus riska novÄrtÄÅ”anas rÄ«kus, piemÄram, ierÄ«ces atpazÄ«Å”anu (darÄ«jumu veikÅ”anas mÄÄ£inÄjumu noteikÅ”ana no ierÄ«cÄm, kas nepieder likumÄ«gam lietotÄjam), Ä£eogrÄfiskÄ atraÅ”anÄs vieta (lietotÄjs, kurÅ” tikko bijis MaskavÄ, mÄÄ£ina veikt operÄciju no Novosibirskas) un uzvedÄ«bas analÄ«ze ir svarÄ«ga, lai novÄrstu ievainojamÄ«bas, taÄu neviens no risinÄjumiem nav panaceja. Katrai situÄcijai un datu veidam ir rÅ«pÄ«gi jÄizvÄrtÄ riski un jÄizvÄlas, kura autentifikÄcijas tehnoloÄ£ija bÅ«tu jÄizmanto.
Neviens autentifikÄcijas risinÄjums nav panaceja
2. attÄls. AutentifikÄcijas opciju tabula
AutentifikÄcija
Faktors
Apraksts
GalvenÄs ievainojamÄ«bas
Parole vai PIN
ZinÄÅ”anas
FiksÄta vÄrtÄ«ba, kas var ietvert burtus, ciparus un vairÄkas citas rakstzÄ«mes
Var pÄrtvert, izspiegot, nozagt, paÅemt vai uzlauzt
Uz zinÄÅ”anÄm balstÄ«ta autentifikÄcija
ZinÄÅ”anas
ApÅ”auba atbildes, uz kurÄm var zinÄt tikai likumÄ«gs lietotÄjs
Var pÄrtvert, paÅemt, iegÅ«t, izmantojot sociÄlÄs inženierijas metodes
Karte, kas satur kriptogrÄfisku mikroshÄmu un droÅ”as atslÄgas atmiÅu, kas autentifikÄcijai izmanto publiskÄs atslÄgas infrastruktÅ«ru
Var tikt fiziski nozagts (bet uzbrucÄjs nevarÄs izmantot ierÄ«ci, nezinot PIN kodu; vairÄku nepareizu ievades mÄÄ£inÄjumu gadÄ«jumÄ ierÄ«ce tiks bloÄ·Äta)
USB ierÄ«ce, kurÄ ir kriptogrÄfiska mikroshÄma un droÅ”as atslÄgas atmiÅa, kas autentifikÄcijai izmanto publiskÄs atslÄgas infrastruktÅ«ru
Var tikt fiziski nozagta (bet uzbrucÄjs nevarÄs lietot ierÄ«ci, nezinot PIN kodu; vairÄku nepareizu ievadÄ«Å”anas mÄÄ£inÄjumu gadÄ«jumÄ ierÄ«ce tiks bloÄ·Äta)
SaistīŔana ar ierīci
ÄŖpaÅ”ums
Profila izveides process, bieži izmantojot JavaScript vai marÄ·ierus, piemÄram, sÄ«kfailus un Flash koplietotus objektus, lai nodroÅ”inÄtu, ka tiek izmantota noteikta ierÄ«ce
Žetonus var nozagt (kopÄt), un uzbrucÄjs savÄ ierÄ«cÄ var atdarinÄt legÄlas ierÄ«ces Ä«paŔības.
Uzvedība
Inherence
AnalizÄ, kÄ lietotÄjs mijiedarbojas ar ierÄ«ci vai programmu
UzvedÄ«bu var atdarinÄt
Pirkstu nospiedumi
Inherence
SaglabÄtie pirkstu nospiedumi tiek salÄ«dzinÄti ar tiem, kas fiksÄti optiski vai elektroniski
AttÄlu var nozagt un izmantot autentifikÄcijai
Acu skenÄÅ”ana
Inherence
SalÄ«dzina acu raksturlielumus, piemÄram, varavÄ«ksnenes zÄ«mÄjumu, ar jauniem optiskiem skenÄjumiem
AttÄlu var nozagt un izmantot autentifikÄcijai
Sejas atpazīŔana
Inherence
Sejas Ä«paŔības tiek salÄ«dzinÄtas ar jaunÄm optiskÄm skenÄm
AttÄlu var nozagt un izmantot autentifikÄcijai
Balss atpazīŔana
Inherence
IerakstÄ«tÄ balss parauga Ä«paŔības tiek salÄ«dzinÄtas ar jauniem paraugiem
Ierakstu var nozagt un izmantot autentifikÄcijai vai emulÄt
PublikÄcijas otrajÄ daÄ¼Ä mÅ«s sagaida gardÄkÄs lietas - skaitļi un fakti, uz kuriem balstÄs pirmajÄ daÄ¼Ä sniegtie secinÄjumi un ieteikumi. AutentifikÄcija lietotÄju lietojumprogrammÄs un korporatÄ«vajÄs sistÄmÄs tiks apspriesta atseviŔķi.