ProHoster > Blogs > interneta ziņas > Kas notiks ar autentifikāciju un parolēm? Javelin ziņojuma ā€œState of Strong Authenticationā€ tulkojums ar komentāriem

Kas notiks ar autentifikāciju un parolēm? Javelin ziņojuma ā€œState of Strong Authenticationā€ tulkojums ar komentāriem

Kas notiks ar autentifikāciju un parolēm? Javelin ziņojuma ā€œState of Strong Authenticationā€ tulkojums ar komentāriem

Spoileris no ziņojuma virsraksta: "SpēcÄ«gas autentifikācijas izmantoÅ”ana palielinās jaunu risku un normatÄ«vo prasÄ«bu dēļ."
PētÄ«jumu kompānija "Javelin Strategy & Research" publicēja ziņojumu "The State of Strong Authentication 2019" ( OriÄ£inālu pdf formātā var lejupielādēt Å”eit). Å ajā ziņojumā teikts: cik procenti Amerikas un Eiropas uzņēmumu izmanto paroles (un kāpēc tagad maz cilvēku izmanto paroles); kāpēc tik strauji pieaug divu faktoru autentifikācijas izmantoÅ”ana, kuras pamatā ir kriptogrāfiskie marÄ·ieri; Kāpēc vienreizējie kodi, kas nosÅ«tÄ«ti ar SMS, nav droÅ”i.

Aicināts ikviens, kurÅ” interesējas par uzņēmumu un patērētāju lietojumprogrammu autentifikācijas tagadni, pagātni un nākotni.

No tulka

Diemžēl valoda, kurā Å”is ziņojums ir uzrakstÄ«ts, ir diezgan ā€œsausaā€ un formāla. Un vārda ā€œautentifikācijaā€ piecreizēja lietoÅ”ana vienā Ä«sā teikumā ir nevis tulkotāja lÄ«kās rokas (vai smadzenes), bet gan autoru iegriba. Tulkojot no diviem variantiem ā€“ dot lasÄ«tājiem oriÄ£inālam tuvāku vai interesantāku tekstu, reizēm izvēlējos pirmo, reizēm otro. Bet esiet pacietÄ«gi, dārgie lasÄ«tāji, ziņojuma saturs ir tā vērts.

Daži stāstam nesvarÄ«gi un nevajadzÄ«gi gabali tika izņemti, pretējā gadÄ«jumā vairākums nebÅ«tu varējis tikt cauri visam tekstam. Tie, kas vēlas lasÄ«t ziņojumu ā€œnesagrieztiā€, var to izdarÄ«t oriÄ£inālvalodā, sekojot saitei.

Diemžēl autori ne vienmēr ir uzmanÄ«gi ar terminoloÄ£iju. Tādējādi vienreizējās paroles (One Time Password ā€” OTP) dažreiz sauc par ā€œparolēmā€ un dažreiz par ā€œkodiemā€. Vēl sliktāk ir ar autentifikācijas metodēm. NeapmācÄ«tam lasÄ«tājam ne vienmēr ir viegli uzminēt, ka ā€œautentifikācija, izmantojot kriptogrāfiskās atslēgasā€ un ā€œspēcÄ«ga autentifikācijaā€ ir viens un tas pats. Mēģināju pēc iespējas unificēt terminus, un paŔā pārskatā ir fragments ar to aprakstu.

Tomēr ziņojumu ļoti ieteicams izlasīt, jo tas satur unikālus pētījumu rezultātus un pareizus secinājumus.

Visi skaitļi un fakti ir uzrādÄ«ti bez mazākajām izmaiņām, un, ja jÅ«s tiem nepiekrÄ«tat, tad labāk strÄ«dēties nevis ar tulkotāju, bet gan ar ziņojuma autoriem. Un Å”eit ir mani komentāri (izkārtoti kā citāti un atzÄ«mēti tekstā itāļu valoda) ir mans vērtÄ«bu spriedums, un es labprāt strÄ«dÄ“Å”os par katru no tiem (kā arÄ« par tulkojuma kvalitāti).

Pārskatiet

MÅ«sdienās digitālie saziņas kanāli ar klientiem ir svarÄ«gāki nekā jebkad agrāk uzņēmumiem. Un uzņēmumā komunikācija starp darbiniekiem ir vairāk digitāli orientēta nekā jebkad agrāk. Un tas, cik droÅ”a bÅ«s Ŕī mijiedarbÄ«ba, ir atkarÄ«gs no izvēlētās lietotāja autentifikācijas metodes. Uzbrucēji izmanto vāju autentifikāciju, lai masveidā uzlauztu lietotāju kontus. Reaģējot uz to, regulatori pastiprina standartus, lai piespiestu uzņēmumus labāk aizsargāt lietotāju kontus un datus.

Ar autentifikāciju saistÄ«tie draudi ir plaŔāki par patērētāju lietojumprogrammām; uzbrucēji var piekļūt arÄ« lietojumprogrammām, kas darbojas uzņēmumā. Å Ä« darbÄ«ba ļauj viņiem uzdoties par korporatÄ«vajiem lietotājiem. Uzbrucēji, kuri izmanto piekļuves punktus ar vāju autentifikāciju, var nozagt datus un veikt citas krāpnieciskas darbÄ«bas. Par laimi, ir pasākumi, lai to apkarotu. SpēcÄ«ga autentifikācija palÄ«dzēs ievērojami samazināt uzbrucēja uzbrukuma risku gan patērētāju lietojumprogrammās, gan uzņēmuma biznesa sistēmās.

Å ajā pētÄ«jumā tiek apskatÄ«ts: kā uzņēmumi ievieÅ” autentifikāciju, lai aizsargātu galalietotāju lietojumprogrammas un uzņēmuma biznesa sistēmas; faktori, ko viņi ņem vērā, izvēloties autentifikācijas risinājumu; spēcÄ«gas autentifikācijas lomu viņu organizācijās; priekÅ”rocÄ«bas, ko Ŕīs organizācijas saņem.

Kopsavilkums

Galvenie secinājumi

KopÅ” 2017. gada spēcÄ«gas autentifikācijas izmantoÅ”ana ir strauji pieaugusi. Pieaugot ievainojamÄ«bu skaitam, kas ietekmē tradicionālos autentifikācijas risinājumus, organizācijas stiprina savas autentifikācijas iespējas, izmantojot spēcÄ«gu autentifikāciju. KopÅ” 2017. gada to organizāciju skaits, kuras izmanto kriptogrāfisko daudzfaktoru autentifikāciju (MFA), ir trÄ«skārÅ”ojies patērētāju lietojumprogrammām un palielinājies par gandrÄ«z 50% uzņēmumu lietojumprogrammām. Straujākais pieaugums vērojams mobilajā autentifikācijā, jo pieaug biometriskās autentifikācijas pieejamÄ«ba.

Å eit mēs redzam teiciena ilustrāciju: "Kamēr pērkons nespēs, cilvēks nepāries." Kad eksperti brÄ«dināja par paroļu nedroŔību, neviens nesteidzās ieviest divu faktoru autentifikāciju. TiklÄ«dz hakeri sāka zagt paroles, cilvēki sāka ieviest divu faktoru autentifikāciju.

Tiesa, indivÄ«di daudz aktÄ«vāk ievieÅ” 2FA. Pirmkārt, viņiem ir vieglāk nomierināt savas bailes, paļaujoties uz viedtālruņos iebÅ«vēto biometrisko autentifikāciju, kas patiesÄ«bā ir ļoti neuzticama. Organizācijām ir jātērē nauda žetonu iegādei un jāveic darbs (patiesÄ«bā ļoti vienkārÅ”s), lai tos ieviestu. Un, otrkārt, tikai slinki cilvēki nav rakstÄ«juÅ”i par paroļu noplÅ«di no tādiem pakalpojumiem kā Facebook un Dropbox, taču Å”o organizāciju CIO nekādā gadÄ«jumā nedalÄ«sies stāstos par to, kā organizācijās tika nozagtas paroles (un kas notika tālāk).

Tie, kas neizmanto spēcÄ«gu autentifikāciju, par zemu novērtē savu risku savam biznesam un klientiem. Dažas organizācijas, kas paÅ”laik neizmanto spēcÄ«gu autentifikāciju, mēdz uzskatÄ«t pieteikumvārdus un paroles kā vienu no efektÄ«vākajām un vienkārŔākajām lietotāju autentifikācijas metodēm. Citi neredz viņiem piederoÅ”o digitālo lÄ«dzekļu vērtÄ«bu. Galu galā ir vērts uzskatÄ«t, ka kibernoziedzniekus interesē jebkura patērētāju un biznesa informācija. Divas treÅ”daļas uzņēmumu, kas izmanto tikai paroles, lai autentificētu savus darbiniekus, to dara tāpēc, ka uzskata, ka paroles ir pietiekami labas aizsargātās informācijas veidam.

Tomēr paroles ir ceļā uz kapu. Paroles atkarÄ«ba pēdējā gada laikā ir ievērojami samazinājusies gan patērētāju, gan uzņēmumu lietojumprogrammām (attiecÄ«gi no 44% lÄ«dz 31% un no 56% lÄ«dz 47%), jo organizācijas palielina tradicionālās MFA un spēcÄ«gās autentifikācijas izmantoÅ”anu.
Bet, ja skatāmies uz situāciju kopumā, neaizsargātās autentifikācijas metodes joprojām dominē. Lietotāju autentifikācijai aptuveni ceturtā daļa organizāciju izmanto SMS OTP (vienreizēju paroli) kopā ar droŔības jautājumiem. Rezultātā ir jāievieÅ” papildu droŔības pasākumi, lai aizsargātos pret ievainojamÄ«bu, kas palielina izmaksas. Daudz droŔāku autentifikācijas metožu, piemēram, aparatÅ«ras kriptogrāfisko atslēgu, izmantoÅ”ana tiek izmantota daudz retāk, aptuveni 5% organizāciju.

AttÄ«stoŔā normatÄ«vā vide sola paātrināt spēcÄ«gas autentifikācijas pieņemÅ”anu patērētāju lietojumprogrammām. LÄ«dz ar PSD2 ievieÅ”anu, kā arÄ« jauniem datu aizsardzÄ«bas noteikumiem ES un vairākos ASV Å”tatos, piemēram, Kalifornijā, uzņēmumi izjÅ«t karstumu. GandrÄ«z 70% uzņēmumu piekrÄ«t, ka tie saskaras ar spēcÄ«gu regulatÄ«vo spiedienu, lai nodroÅ”inātu saviem klientiem spēcÄ«gu autentifikāciju. Vairāk nekā puse uzņēmumu uzskata, ka dažu gadu laikā viņu autentifikācijas metodes nebÅ«s pietiekamas, lai atbilstu normatÄ«vajiem standartiem.

Ir skaidri redzama atŔķirÄ«ba starp Krievijas un Amerikas un Eiropas likumdevēju pieejām programmu un pakalpojumu lietotāju personas datu aizsardzÄ«bai. Krievi saka: cienÄ«jamie servisa Ä«paÅ”nieki, dariet ko gribat un kā gribat, bet ja jÅ«su admins sapludinās datubāzi, mēs jÅ«s sodÄ«sim. Viņi saka ārzemēs: jums ir jāīsteno pasākumu kopums, kas neļaus noteciniet pamatni. Tāpēc tur tiek ieviestas prasÄ«bas stingrai divu faktoru autentifikācijai.
Tiesa, tas ir tālu no fakta, ka mÅ«su likumdoÅ”anas maŔīna reiz nenāks pie prāta un neņems vērā Rietumu pieredzi. Tad sanāk, ka visiem ir jāievieÅ” Krievijas kriptogrāfijas standartiem atbilstoÅ”s 2FA un steidzami.

SpēcÄ«gas autentifikācijas sistēmas izveide ļauj uzņēmumiem pārorientēties no normatÄ«vo prasÄ«bu izpildes uz klientu vajadzÄ«bu apmierināŔanu. Tām organizācijām, kuras joprojām izmanto vienkārÅ”as paroles vai saņem kodus ar SMS, svarÄ«gākais faktors, izvēloties autentifikācijas metodi, bÅ«s atbilstÄ«ba normatÄ«vo aktu prasÄ«bām. Taču tie uzņēmumi, kas jau izmanto spēcÄ«gu autentifikāciju, var koncentrēties uz to autentifikācijas metožu izvēli, kas palielina klientu lojalitāti.

Izvēloties korporatīvās autentifikācijas metodi uzņēmumā, normatīvās prasības vairs nav būtisks faktors. Šajā gadījumā daudz svarīgāka ir integrācijas vieglums (32%) un izmaksas (26%).

PikŔķerÄ“Å”anas laikmetā uzbrucēji var izmantot korporatÄ«vo e-pastu, lai krāptu krāpnieciski piekļūt datiem, kontiem (ar atbilstoŔām piekļuves tiesÄ«bām) un pat pārliecināt darbiniekus veikt naudas pārskaitÄ«jumu uz viņa kontu. Tāpēc korporatÄ«vo e-pastu un portālu kontiem ir jābÅ«t Ä«paÅ”i labi aizsargātiem.

Google ir pastiprinājis savu droŔību, ievieÅ”ot spēcÄ«gu autentifikāciju. Pirms vairāk nekā diviem gadiem Google publicēja ziņojumu par divu faktoru autentifikācijas ievieÅ”anu, kuras pamatā ir kriptogrāfiskās droŔības atslēgas, izmantojot FIDO U2F standartu, ziņojot par iespaidÄ«giem rezultātiem. Pēc uzņēmuma datiem, neviens pikŔķerÄ“Å”anas uzbrukums nav veikts vairāk nekā 85 000 darbinieku.

Ieteikumi

Ieviesiet spēcÄ«gu autentifikāciju mobilajām un tieÅ”saistes lietojumprogrammām. Daudzfaktoru autentifikācija, kuras pamatā ir kriptogrāfiskās atslēgas, nodroÅ”ina daudz labāku aizsardzÄ«bu pret uzlauÅ”anu nekā tradicionālās MFA metodes. Turklāt kriptogrāfisko atslēgu izmantoÅ”ana ir daudz ērtāka, jo nav nepiecieÅ”ams izmantot un pārsÅ«tÄ«t papildu informāciju - paroles, vienreizējās paroles vai biometriskos datus no lietotāja ierÄ«ces uz autentifikācijas serveri. Turklāt autentifikācijas protokolu standartizÄ“Å”ana padara daudz vienkārŔāku jaunu autentifikācijas metožu ievieÅ”anu, tiklÄ«dz tās kļūst pieejamas, samazinot ievieÅ”anas izmaksas un aizsargājot pret sarežģītākām krāpÅ”anas shēmām.

Sagatavojieties vienreizējo paroļu (OTP) izbeigÅ”anai. OTP raksturÄ«gās ievainojamÄ«bas kļūst arvien skaidrākas, jo kibernoziedznieki izmanto sociālo inženieriju, viedtālruņu klonÄ“Å”anu un ļaunprātÄ«gu programmatÅ«ru, lai apdraudētu Å”os autentifikācijas lÄ«dzekļus. Un, ja OTP dažos gadÄ«jumos ir zināmas priekÅ”rocÄ«bas, tad tikai no universālas pieejamÄ«bas viedokļa visiem lietotājiem, bet ne no droŔības viedokļa.

Nav iespējams nepamanÄ«t, ka kodu saņemÅ”ana, izmantojot SMS vai Push paziņojumus, kā arÄ« kodu Ä£enerÄ“Å”ana, izmantojot viedtālruņiem paredzētās programmas, ir to paÅ”u vienreizējo paroļu (OTP) izmantoÅ”ana, kuru noraidÄ«Å”anai tiek lÅ«gts sagatavoties. No tehniskā viedokļa risinājums ir ļoti pareizs, jo tas ir rets krāpnieks, kurÅ” nemēģina noskaidrot vienreizējo paroli no lētticÄ«ga lietotāja. Bet es domāju, ka Ŕādu sistēmu ražotāji pieÄ·ersies mirstoÅ”ajai tehnoloÄ£ijai lÄ«dz pēdējam.

Izmantojiet spēcÄ«gu autentifikāciju kā mārketinga rÄ«ku, lai palielinātu klientu uzticÄ«bu. SpēcÄ«ga autentifikācija var darÄ«t vairāk, nekā tikai uzlabot jÅ«su uzņēmuma faktisko droŔību. Klientu informÄ“Å”ana par to, ka jÅ«su uzņēmums izmanto stingru autentifikāciju, var stiprināt sabiedrÄ«bas izpratni par Ŕī uzņēmuma droŔību ā€” tas ir svarÄ«gs faktors, ja klientu pieprasÄ«jums pēc spēcÄ«gas autentifikācijas metodēm ir ievērojams.

Veiciet rÅ«pÄ«gu korporatÄ«vo datu inventarizāciju un kritiskuma novērtÄ“Å”anu un aizsargājiet tos atbilstoÅ”i svarÄ«gumam. Pat zema riska dati, piemēram, klienta kontaktinformācija (nē, tieŔām, ziņojumā teikts "zems risks", ir ļoti dÄ«vaini, ka viņi par zemu novērtē Ŕīs informācijas nozÄ«mi), var radÄ«t ievērojamu vērtÄ«bu krāpniekiem un radÄ«t problēmas uzņēmumam.

Izmantojiet spēcÄ«gu uzņēmuma autentifikāciju. Vairākas sistēmas ir vispievilcÄ«gākie mērÄ·i noziedzniekiem. Tie ietver iekŔējās un ar internetu savienotas sistēmas, piemēram, grāmatvedÄ«bas programmu vai uzņēmuma datu noliktavu. SpēcÄ«ga autentifikācija neļauj uzbrucējiem iegÅ«t nesankcionētu piekļuvi, kā arÄ« ļauj precÄ«zi noteikt, kurÅ” darbinieks izdarÄ«jis ļaunprātÄ«gu darbÄ«bu.

Kas ir spēcīga autentifikācija?

Izmantojot spēcīgu autentifikāciju, lietotāja autentiskuma pārbaudei tiek izmantotas vairākas metodes vai faktori:

  • ZināŔanu faktors: koplietots noslēpums starp lietotāju un lietotāja autentificētu subjektu (piemēram, paroles, atbildes uz droŔības jautājumiem utt.)
  • ÄŖpaÅ”umtiesÄ«bu faktors: ierÄ«ce, kas ir tikai lietotājam (piemēram, mobilā ierÄ«ce, kriptogrāfiskā atslēga utt.)
  • Integritātes faktors: lietotāja fiziskās (bieži biometriskās) Ä«paŔības (piemēram, pirkstu nospiedums, varavÄ«ksnenes raksts, balss, uzvedÄ«ba utt.)

NepiecieÅ”amÄ«ba uzlauzt vairākus faktorus ievērojami palielina uzbrucēju neveiksmes iespējamÄ«bu, jo, lai apietu vai maldinātu dažādus faktorus, ir jāizmanto vairāku veidu uzlauÅ”anas taktikas katram faktoram atseviŔķi.

Piemēram, izmantojot 2FA ā€œparoli + viedtālrunisā€, uzbrucējs var veikt autentifikāciju, apskatot lietotāja paroli un izveidojot precÄ«zu viņa viedtālruņa programmatÅ«ras kopiju. Un tas ir daudz grÅ«tāk nekā vienkārÅ”i nozagt paroli.

Bet, ja 2FA tiek izmantota parole un kriptogrāfiskais marÄ·ieris, tad kopÄ“Å”anas opcija Å”eit nedarbojas - marÄ·ieri nav iespējams dublēt. Krāpniekam vajadzēs slepeni nozagt lietotāja marÄ·ieri. Ja lietotājs laikus pamana zaudējumu un par to paziņo administratoram, marÄ·ieris tiks bloķēts un krāpnieka pÅ«les bÅ«s veltÄ«gas. Tāpēc Ä«paÅ”umtiesÄ«bu faktors prasa izmantot specializētas droÅ”as ierÄ«ces (žetonus), nevis vispārējas nozÄ«mes ierÄ«ces (viedtālruņus).

Izmantojot visus trÄ«s faktorus, Ŕī autentifikācijas metode bÅ«s diezgan dārga un diezgan neērta lietoÅ”anai. Tāpēc parasti tiek izmantoti divi no trim faktoriem.

SÄ«kāk ir aprakstÄ«ti divu faktoru autentifikācijas principi Å”eit, blokā ā€œKā darbojas divu faktoru autentifikācijaā€.

Ir svarīgi atzīmēt, ka vismaz vienam no stiprajā autentifikācijā izmantotajiem autentifikācijas faktoriem ir jāizmanto publiskās atslēgas kriptogrāfija.

SpēcÄ«ga autentifikācija nodroÅ”ina daudz spēcÄ«gāku aizsardzÄ«bu nekā viena faktora autentifikācija, kuras pamatā ir klasiskās paroles un tradicionālā MFA. Paroles var izspiegot vai pārtvert, izmantojot taustiņu bloķētājus, pikŔķerÄ“Å”anas vietnes vai sociālās inženierijas uzbrukumus (kur upuris tiek pievilts atklāt savu paroli). Turklāt paroles Ä«paÅ”nieks par zādzÄ«bu neko nezinās. ArÄ« tradicionālo MFA (tostarp OTP kodus, piesaisti viedtālrunim vai SIM kartei) var diezgan viegli uzlauzt, jo tā nav balstÄ«ta uz publiskās atslēgas kriptogrāfiju (Starp citu, ir daudz piemēru, kad, izmantojot tās paÅ”as sociālās inženierijas metodes, krāpnieki pārliecināja lietotājus dot viņiem vienreizēju paroli.).

Par laimi, kopÅ” pagājuŔā gada spēcÄ«gas autentifikācijas un tradicionālās MFA izmantoÅ”ana ir kļuvusi populārāka gan patērētāju, gan uzņēmumu lietojumprogrammās. ÄŖpaÅ”i strauji pieaugusi spēcÄ«gas autentifikācijas izmantoÅ”ana patērētāju lietojumprogrammās. Ja 2017.gadā to izmantoja tikai 5% uzņēmumu, tad 2018.gadā jau trÄ«sreiz vairāk ā€“ 16%. To var izskaidrot ar palielinātu tokenu pieejamÄ«bu, kas atbalsta publiskās atslēgas kriptogrāfijas (PKC) algoritmus. Turklāt Eiropas regulatoru pastiprinātais spiediens pēc jaunu datu aizsardzÄ«bas noteikumu, piemēram, PSD2 un GDPR, pieņemÅ”anas ir spēcÄ«gi ietekmējis pat ārpus Eiropas (tostarp Krievijā).

Kas notiks ar autentifikāciju un parolēm? Javelin ziņojuma ā€œState of Strong Authenticationā€ tulkojums ar komentāriem

ApskatÄ«sim Å”os skaitļus tuvāk. Kā redzam, privātpersonu Ä«patsvars, kas izmanto daudzfaktoru autentifikāciju, gada laikā ir pieaudzis par iespaidÄ«giem 11%. Un tas acÄ«mredzami notika uz paroļu cienÄ«tāju rēķina, jo to cilvēku skaits, kuri tic Push paziņojumu, SMS un biometrijas droŔībai, nav mainÄ«jies.

Bet ar divu faktoru autentifikāciju korporatÄ«vai lietoÅ”anai viss nav tik labi. Pirmkārt, saskaņā ar ziņojumu tikai 5% darbinieku tika pārcelti no paroles autentifikācijas uz marÄ·ieriem. Un, otrkārt, par 4% pieaudzis to skaits, kuri izmanto alternatÄ«vas MFA iespējas korporatÄ«vajā vidē.

Es mēģināŔu spēlēt analÄ«tiÄ·i un sniegt savu interpretāciju. AtseviŔķu lietotāju digitālās pasaules centrā ir viedtālrunis. Tāpēc nav brÄ«nums, ka lielākā daļa izmanto iespējas, ko ierÄ«ce viņiem nodroÅ”ina - biometrisko autentifikāciju, SMS un Push paziņojumus, kā arÄ« vienreizējās paroles, ko Ä£enerē aplikācijas paŔā viedtālrunÄ«. Cilvēki parasti nedomā par droŔību un uzticamÄ«bu, izmantojot rÄ«kus, pie kuriem viņi ir pieraduÅ”i.

Tāpēc primitÄ«vo ā€œtradicionāloā€ autentifikācijas faktoru lietotāju procentuālais daudzums paliek nemainÄ«gs. Taču tie, kuri iepriekÅ” ir lietojuÅ”i paroles, saprot, ar ko riskē, un, izvēloties jaunu autentifikācijas faktoru, izvēlas jaunāko un droŔāko variantu ā€“ kriptogrāfijas marÄ·ieri.

Runājot par korporatÄ«vo tirgu, ir svarÄ«gi saprast, kurā sistēmā tiek veikta autentifikācija. Ja ir ieviesta pieteikÅ”anās Windows domēnā, tiek izmantoti kriptogrāfiskie marÄ·ieri. To izmantoÅ”anas iespējas 2FA jau ir iebÅ«vētas gan Windows, gan Linux, taču alternatÄ«vās iespējas ir garas un grÅ«ti Ä«stenojamas. Tik daudz par 5% migrāciju no parolēm uz marÄ·ieriem.

Un 2FA ievieÅ”ana korporatÄ«vajā informācijas sistēmā ļoti lielā mērā ir atkarÄ«ga no izstrādātāju kvalifikācijas. Un izstrādātājiem ir daudz vieglāk paņemt gatavus moduļus vienreizējo paroļu Ä£enerÄ“Å”anai, nekā izprast kriptogrāfijas algoritmu darbÄ«bu. Tā rezultātā pat neticami droŔības ziņā kritiskās lietojumprogrammas, piemēram, vienreizējās pierakstÄ«Å”anās vai priviliģētās piekļuves pārvaldÄ«bas sistēmas, izmanto OTP kā otru faktoru.

Daudzas tradicionālo autentifikācijas metožu ievainojamības

Lai gan daudzas organizācijas joprojām ir atkarÄ«gas no mantotajām viena faktora sistēmām, tradicionālās daudzfaktoru autentifikācijas ievainojamÄ«bas kļūst arvien skaidrākas. Vienreizējas paroles, kas parasti ir seÅ”as lÄ«dz astoņas rakstzÄ«mes garas un tiek piegādātas, izmantojot SMS, joprojām ir visizplatÄ«tākais autentifikācijas veids (protams, papildus paroles faktoram). Un, ja populārajā presē tiek minēti vārdi ā€œdivfaktoru autentifikācijaā€ vai ā€œdivpakāpju verifikācijaā€, tie gandrÄ«z vienmēr attiecas uz SMS vienreizējo paroles autentifikāciju.

Å eit autors ir nedaudz kļūdÄ«jies. Vienreizēju paroļu piegāde, izmantojot SMS, nekad nav bijusi divu faktoru autentifikācija. Tas tÄ«rākajā veidā ir divpakāpju autentifikācijas otrais posms, kurā pirmais posms ir jÅ«su pieteikumvārda un paroles ievadÄ«Å”ana.

2016. gadā Nacionālais standartu un tehnoloÄ£iju institÅ«ts (NIST) atjaunināja savus autentifikācijas noteikumus, lai novērstu vienreizēju paroļu izmantoÅ”anu, kas tiek nosÅ«tÄ«tas ar SMS. Tomēr Å”ie noteikumi tika ievērojami mÄ«kstināti pēc nozares protestiem.

Tātad, sekosim sižetam. Amerikas regulators pareizi atzÄ«st, ka novecojuÅ”as tehnoloÄ£ijas nespēj nodroÅ”ināt lietotāju droŔību, un ievieÅ” jaunus standartus. Standarti, kas izstrādāti, lai aizsargātu tieÅ”saistes un mobilo lietojumprogrammu (tostarp banku) lietotājus. Nozare aprēķina, cik daudz naudas tai bÅ«s jātērē, lai iegādātos patiesi uzticamus kriptogrāfiskos marÄ·ierus, pārveidotu lietojumprogrammas, izvietotu publiskās atslēgas infrastruktÅ«ru, un tā "ceļas uz pakaļkājām". No vienas puses, lietotāji bija pārliecināti par vienreizējo paroļu uzticamÄ«bu, un, no otras puses, notika uzbrukumi NIST. Tā rezultātā standarts tika mÄ«kstināts, un strauji pieauga uzlauÅ”anas un paroļu (un naudas no banku lietojumprogrammām) zādzÄ«bu skaits. Taču nozarei nebija jāvelk nauda.

KopÅ” tā laika SMS OTP raksturÄ«gās nepilnÄ«bas ir kļuvuÅ”as skaidrākas. Krāpnieki izmanto dažādas metodes, lai uzlauztu Ä«sziņas:

  • SIM kartes dublÄ“Å”ana. Uzbrucēji izveido SIM kartes kopiju (ar mobilo sakaru operatora darbinieku palÄ«dzÄ«bu vai patstāvÄ«gi, izmantojot Ä«paÅ”u programmatÅ«ru un aparatÅ«ru). Rezultātā uzbrucējs saņem SMS ar vienreizēju paroli. Vienā Ä«paÅ”i slavenā gadÄ«jumā hakeri pat varēja uzlauzt kriptovalÅ«tu investora Maikla Tērpina AT&T kontu un nozagt gandrÄ«z 24 miljonus dolāru kriptovalÅ«tās. Rezultātā Turpins paziņoja, ka AT&T ir vainojams vājo verifikācijas pasākumu dēļ, kas izraisÄ«ja SIM kartes dublÄ“Å”anos.

    ApbrÄ«nojama loÄ£ika. Tātad tā tieŔām ir tikai AT&T vaina? Nē, tā neapÅ”aubāmi ir mobilo sakaru operatora vaina, ka sakaru veikalā pārdevējas izsniedza SIM kartes dublikātu. Kā ar kriptovalÅ«tas biržas autentifikācijas sistēmu? Kāpēc viņi neizmantoja spēcÄ«gus kriptogrāfiskos marÄ·ierus? Vai bija žēl tērēt naudu Ä«stenoÅ”anai? Vai tad pats Maikls nav vainÄ«gs? Kāpēc viņŔ neuzstāja mainÄ«t autentifikācijas mehānismu vai neizmantoja tikai tās biržas, kas Ä«steno divu faktoru autentifikāciju, pamatojoties uz kriptogrāfijas marÄ·ieriem?

    Patiesi uzticamu autentifikācijas metožu ievieÅ”ana aizkavējas tieÅ”i tāpēc, ka lietotāji pirms uzlauÅ”anas izrāda apbrÄ«nojamu neuzmanÄ«bu un pēc tam vaino savās nepatikÅ”anās ikvienu un jebko, kas nav senas un ā€œnoplÅ«duÅ”asā€ autentifikācijas tehnoloÄ£ijas.

  • Ä»aunprātÄ«ga programmatÅ«ra. Viena no agrākajām mobilo ierīču ļaunprātÄ«gās programmatÅ«ras funkcijām bija Ä«sziņu pārtverÅ”ana un pārsÅ«tÄ«Å”ana uzbrucējiem. Turklāt uzbrukumi ā€œcilvēks pārlÅ«kprogrammāā€ un ā€œcilvēks vidÅ«ā€ var pārtvert vienreizējas paroles, kad tās tiek ievadÄ«tas inficētos klēpjdatoros vai galddatoros.

    Kad lietojumprogramma Sberbank viedtālrunÄ« statusa joslā mirgo zaļā ikonā, tā arÄ« meklē jÅ«su tālrunÄ« ā€œÄ¼aunprātÄ«gu programmatÅ«ruā€. Å Ä« pasākuma mērÄ·is ir pārvērst parasta viedtālruņa neuzticamo izpildes vidi vismaz kaut kādā veidā par uzticamu vidi.
    Starp citu, viedtālrunis kā pilnīgi neuzticama ierīce, ar kuru var izdarīt jebko, ir vēl viens iemesls, lai to izmantotu autentifikācijai tikai aparatūras marķieri, kas ir aizsargāti un bez vīrusiem un Trojas zirgiem.

  • Sociālā inženierija. Ja krāpnieki zina, ka upurim ir iespējotas vienreizējās Ä«sziņas, viņi var tieÅ”i sazināties ar upuri, uzdodoties par uzticamu organizāciju, piemēram, savu banku vai krājaizdevu sabiedrÄ«bu, lai pieviltu cietuÅ”ajam sniegt tikko saņemto kodu.

    Es personÄ«gi daudzkārt esmu saskāries ar Ŕāda veida krāpÅ”anu, piemēram, mēģinot kaut ko pārdot populārā tieÅ”saistes krāmu tirgÅ«. Es pats izsmēju krāpnieku, kurÅ” mēģināja mani apmānÄ«t pēc sirds patikas. Bet diemžēl es regulāri lasu ziņās, kā kārtējais krāpnieku upuris ā€œnedomājaā€, iedeva apstiprinājuma kodu un zaudēja lielu summu. Un tas viss ir tāpēc, ka banka vienkārÅ”i nevēlas nodarboties ar kriptogrāfisko marÄ·ieru ievieÅ”anu savās lietojumprogrammās. Galu galā, ja kaut kas notiek, klienti "ir paÅ”i vainÄ«gi".

Lai gan alternatÄ«vas OTP piegādes metodes var mazināt dažas Ŕīs autentifikācijas metodes ievainojamÄ«bas, citas ievainojamÄ«bas saglabājas. AtseviŔķas kodu Ä£enerÄ“Å”anas lietojumprogrammas ir vislabākā aizsardzÄ«ba pret noklausÄ«Å”anos, jo pat ļaunprogrammatÅ«ra diez vai var tieÅ”i mijiedarboties ar koda Ä£eneratoru (nopietni? Vai ziņojuma autors aizmirsa par tālvadÄ«bas pulti?), taču OTP joprojām var pārtvert, kad tie tiek ievadÄ«ti pārlÅ«kprogrammā (piemēram, izmantojot taustiņu bloķētāju), izmantojot uzlauztu mobilo lietojumprogrammu; un to var iegÅ«t arÄ« tieÅ”i no lietotāja, izmantojot sociālo inženieriju.
Izmantojot vairākus riska novērtÄ“Å”anas rÄ«kus, piemēram, ierÄ«ces atpazÄ«Å”anu (darÄ«jumu veikÅ”anas mēģinājumu noteikÅ”ana no ierÄ«cēm, kas nepieder likumÄ«gam lietotājam), Ä£eogrāfiskā atraÅ”anās vieta (lietotājs, kurÅ” tikko bijis Maskavā, mēģina veikt operāciju no Novosibirskas) un uzvedÄ«bas analÄ«ze ir svarÄ«ga, lai novērstu ievainojamÄ«bas, taču neviens no risinājumiem nav panaceja. Katrai situācijai un datu veidam ir rÅ«pÄ«gi jāizvērtē riski un jāizvēlas, kura autentifikācijas tehnoloÄ£ija bÅ«tu jāizmanto.

Neviens autentifikācijas risinājums nav panaceja

2. attēls. Autentifikācijas opciju tabula

Autentifikācija Faktors Apraksts Galvenās ievainojamības
Parole vai PIN ZināŔanas Fiksēta vērtÄ«ba, kas var ietvert burtus, ciparus un vairākas citas rakstzÄ«mes Var pārtvert, izspiegot, nozagt, paņemt vai uzlauzt
Uz zināŔanām balstÄ«ta autentifikācija ZināŔanas ApÅ”auba atbildes, uz kurām var zināt tikai likumÄ«gs lietotājs Var pārtvert, paņemt, iegÅ«t, izmantojot sociālās inženierijas metodes
AparatÅ«ras OTP (piemērs) ÄŖpaÅ”ums ÄŖpaÅ”a ierÄ«ce, kas Ä£enerē vienreizējas paroles Kods var tikt pārtverts un atkārtots, vai arÄ« ierÄ«ce var tikt nozagta
ProgrammatÅ«ras OTP ÄŖpaÅ”ums Lietojumprogramma (mobilā, pieejama, izmantojot pārlÅ«kprogrammu vai kodu nosÅ«tÄ«Å”ana pa e-pastu), kas Ä£enerē vienreizējas paroles Kods var tikt pārtverts un atkārtots, vai arÄ« ierÄ«ce var tikt nozagta
SMS OTP ÄŖpaÅ”ums Vienreizēja parole tiek piegādāta ar SMS Ä«sziņu Kods var tikt pārtverts un atkārtots, viedtālrunis vai SIM karte var tikt nozagta, vai SIM karte var tikt dublēta
Viedkartes (piemērs) ÄŖpaÅ”ums Karte, kas satur kriptogrāfisku mikroshēmu un droÅ”as atslēgas atmiņu, kas autentifikācijai izmanto publiskās atslēgas infrastruktÅ«ru Var tikt fiziski nozagts (bet uzbrucējs nevarēs izmantot ierÄ«ci, nezinot PIN kodu; vairāku nepareizu ievades mēģinājumu gadÄ«jumā ierÄ«ce tiks bloķēta)
DroŔības atslēgas ā€” marÄ·ieri (piemērs, cits piemērs) ÄŖpaÅ”ums USB ierÄ«ce, kurā ir kriptogrāfiska mikroshēma un droÅ”as atslēgas atmiņa, kas autentifikācijai izmanto publiskās atslēgas infrastruktÅ«ru Var tikt fiziski nozagta (bet uzbrucējs nevarēs lietot ierÄ«ci, nezinot PIN kodu; vairāku nepareizu ievadÄ«Å”anas mēģinājumu gadÄ«jumā ierÄ«ce tiks bloķēta)
SaistÄ«Å”ana ar ierÄ«ci ÄŖpaÅ”ums Profila izveides process, bieži izmantojot JavaScript vai marÄ·ierus, piemēram, sÄ«kfailus un Flash koplietotus objektus, lai nodroÅ”inātu, ka tiek izmantota noteikta ierÄ«ce Žetonus var nozagt (kopēt), un uzbrucējs savā ierÄ«cē var atdarināt legālas ierÄ«ces Ä«paŔības.
Uzvedība Inherence Analizē, kā lietotājs mijiedarbojas ar ierīci vai programmu Uzvedību var atdarināt
Pirkstu nospiedumi Inherence Saglabātie pirkstu nospiedumi tiek salīdzināti ar tiem, kas fiksēti optiski vai elektroniski Attēlu var nozagt un izmantot autentifikācijai
Acu skenÄ“Å”ana Inherence SalÄ«dzina acu raksturlielumus, piemēram, varavÄ«ksnenes zÄ«mējumu, ar jauniem optiskiem skenējumiem Attēlu var nozagt un izmantot autentifikācijai
Sejas atpazÄ«Å”ana Inherence Sejas Ä«paŔības tiek salÄ«dzinātas ar jaunām optiskām skenēm Attēlu var nozagt un izmantot autentifikācijai
Balss atpazÄ«Å”ana Inherence IerakstÄ«tā balss parauga Ä«paŔības tiek salÄ«dzinātas ar jauniem paraugiem Ierakstu var nozagt un izmantot autentifikācijai vai emulēt

Publikācijas otrajā daļā mÅ«s sagaida gardākās lietas - skaitļi un fakti, uz kuriem balstās pirmajā daļā sniegtie secinājumi un ieteikumi. Autentifikācija lietotāju lietojumprogrammās un korporatÄ«vajās sistēmās tiks apspriesta atseviŔķi.

Drīzumā!

Avots: www.habr.com

Pievieno komentāru