Spoileris no ziņojuma virsraksta: "Spēcīgas autentifikācijas izmantošana palielinās jaunu risku un normatīvo prasību dēļ."
Pētījumu kompānija "Javelin Strategy & Research" publicēja ziņojumu "The State of Strong Authentication 2019" (). Šajā ziņojumā teikts: cik procenti Amerikas un Eiropas uzņēmumu izmanto paroles (un kāpēc tagad maz cilvēku izmanto paroles); kāpēc tik strauji pieaug divu faktoru autentifikācijas izmantošana, kuras pamatā ir kriptogrāfiskie marķieri; Kāpēc vienreizējie kodi, kas nosūtīti ar SMS, nav droši.
Aicināts ikviens, kurš interesējas par uzņēmumu un patērētāju lietojumprogrammu autentifikācijas tagadni, pagātni un nākotni.
No tulka
Diemžēl valoda, kurā šis ziņojums ir uzrakstīts, ir diezgan “sausa” un formāla. Un vārda “autentifikācija” piecreizēja lietošana vienā īsā teikumā ir nevis tulkotāja līkās rokas (vai smadzenes), bet gan autoru iegriba. Tulkojot no diviem variantiem – dot lasītājiem oriģinālam tuvāku vai interesantāku tekstu, reizēm izvēlējos pirmo, reizēm otro. Bet esiet pacietīgi, dārgie lasītāji, ziņojuma saturs ir tā vērts.
Daži stāstam nesvarīgi un nevajadzīgi gabali tika izņemti, pretējā gadījumā vairākums nebūtu varējis tikt cauri visam tekstam. Tie, kas vēlas lasīt ziņojumu “nesagriezti”, var to izdarīt oriģinālvalodā, sekojot saitei.
Diemžēl autori ne vienmēr ir uzmanīgi ar terminoloģiju. Tādējādi vienreizējās paroles (One Time Password — OTP) dažreiz sauc par “parolēm” un dažreiz par “kodiem”. Vēl sliktāk ir ar autentifikācijas metodēm. Neapmācītam lasītājam ne vienmēr ir viegli uzminēt, ka “autentifikācija, izmantojot kriptogrāfiskās atslēgas” un “spēcīga autentifikācija” ir viens un tas pats. Mēģināju pēc iespējas unificēt terminus, un pašā pārskatā ir fragments ar to aprakstu.
Tomēr ziņojumu ļoti ieteicams izlasīt, jo tas satur unikālus pētījumu rezultātus un pareizus secinājumus.
Visi skaitļi un fakti ir uzrādīti bez mazākajām izmaiņām, un, ja jūs tiem nepiekrītat, tad labāk strīdēties nevis ar tulkotāju, bet gan ar ziņojuma autoriem. Un šeit ir mani komentāri (izkārtoti kā citāti un atzīmēti tekstā itāļu valoda) ir mans vērtību spriedums, un es labprāt strīdēšos par katru no tiem (kā arī par tulkojuma kvalitāti).
Pārskatiet
Mūsdienās digitālie saziņas kanāli ar klientiem ir svarīgāki nekā jebkad agrāk uzņēmumiem. Un uzņēmumā komunikācija starp darbiniekiem ir vairāk digitāli orientēta nekā jebkad agrāk. Un tas, cik droša būs šī mijiedarbība, ir atkarīgs no izvēlētās lietotāja autentifikācijas metodes. Uzbrucēji izmanto vāju autentifikāciju, lai masveidā uzlauztu lietotāju kontus. Reaģējot uz to, regulatori pastiprina standartus, lai piespiestu uzņēmumus labāk aizsargāt lietotāju kontus un datus.
Ar autentifikāciju saistītie draudi ir plašāki par patērētāju lietojumprogrammām; uzbrucēji var piekļūt arī lietojumprogrammām, kas darbojas uzņēmumā. Šī darbība ļauj viņiem uzdoties par korporatīvajiem lietotājiem. Uzbrucēji, kuri izmanto piekļuves punktus ar vāju autentifikāciju, var nozagt datus un veikt citas krāpnieciskas darbības. Par laimi, ir pasākumi, lai to apkarotu. Spēcīga autentifikācija palīdzēs ievērojami samazināt uzbrucēja uzbrukuma risku gan patērētāju lietojumprogrammās, gan uzņēmuma biznesa sistēmās.
Šajā pētījumā tiek apskatīts: kā uzņēmumi ievieš autentifikāciju, lai aizsargātu galalietotāju lietojumprogrammas un uzņēmuma biznesa sistēmas; faktori, ko viņi ņem vērā, izvēloties autentifikācijas risinājumu; spēcīgas autentifikācijas lomu viņu organizācijās; priekšrocības, ko šīs organizācijas saņem.
Kopsavilkums
Galvenie secinājumi
Kopš 2017. gada spēcīgas autentifikācijas izmantošana ir strauji pieaugusi. Pieaugot ievainojamību skaitam, kas ietekmē tradicionālos autentifikācijas risinājumus, organizācijas stiprina savas autentifikācijas iespējas, izmantojot spēcīgu autentifikāciju. Kopš 2017. gada to organizāciju skaits, kuras izmanto kriptogrāfisko daudzfaktoru autentifikāciju (MFA), ir trīskāršojies patērētāju lietojumprogrammām un palielinājies par gandrīz 50% uzņēmumu lietojumprogrammām. Straujākais pieaugums vērojams mobilajā autentifikācijā, jo pieaug biometriskās autentifikācijas pieejamība.
Šeit mēs redzam teiciena ilustrāciju: "Kamēr pērkons nespēs, cilvēks nepāries." Kad eksperti brīdināja par paroļu nedrošību, neviens nesteidzās ieviest divu faktoru autentifikāciju. Tiklīdz hakeri sāka zagt paroles, cilvēki sāka ieviest divu faktoru autentifikāciju.
Tiesa, indivīdi daudz aktīvāk ievieš 2FA. Pirmkārt, viņiem ir vieglāk nomierināt savas bailes, paļaujoties uz viedtālruņos iebūvēto biometrisko autentifikāciju, kas patiesībā ir ļoti neuzticama. Organizācijām ir jātērē nauda žetonu iegādei un jāveic darbs (patiesībā ļoti vienkāršs), lai tos ieviestu. Un, otrkārt, tikai slinki cilvēki nav rakstījuši par paroļu noplūdi no tādiem pakalpojumiem kā Facebook un Dropbox, taču šo organizāciju CIO nekādā gadījumā nedalīsies stāstos par to, kā organizācijās tika nozagtas paroles (un kas notika tālāk).
Tie, kas neizmanto spēcīgu autentifikāciju, par zemu novērtē savu risku savam biznesam un klientiem. Dažas organizācijas, kas pašlaik neizmanto spēcīgu autentifikāciju, mēdz uzskatīt pieteikumvārdus un paroles kā vienu no efektīvākajām un vienkāršākajām lietotāju autentifikācijas metodēm. Citi neredz viņiem piederošo digitālo līdzekļu vērtību. Galu galā ir vērts uzskatīt, ka kibernoziedzniekus interesē jebkura patērētāju un biznesa informācija. Divas trešdaļas uzņēmumu, kas izmanto tikai paroles, lai autentificētu savus darbiniekus, to dara tāpēc, ka uzskata, ka paroles ir pietiekami labas aizsargātās informācijas veidam.
Tomēr paroles ir ceļā uz kapu. Paroles atkarība pēdējā gada laikā ir ievērojami samazinājusies gan patērētāju, gan uzņēmumu lietojumprogrammām (attiecīgi no 44% līdz 31% un no 56% līdz 47%), jo organizācijas palielina tradicionālās MFA un spēcīgās autentifikācijas izmantošanu.
Bet, ja skatāmies uz situāciju kopumā, neaizsargātās autentifikācijas metodes joprojām dominē. Lietotāju autentifikācijai aptuveni ceturtā daļa organizāciju izmanto SMS OTP (vienreizēju paroli) kopā ar drošības jautājumiem. Rezultātā ir jāievieš papildu drošības pasākumi, lai aizsargātos pret ievainojamību, kas palielina izmaksas. Daudz drošāku autentifikācijas metožu, piemēram, aparatūras kriptogrāfisko atslēgu, izmantošana tiek izmantota daudz retāk, aptuveni 5% organizāciju.
Attīstošā normatīvā vide sola paātrināt spēcīgas autentifikācijas pieņemšanu patērētāju lietojumprogrammām. Līdz ar PSD2 ieviešanu, kā arī jauniem datu aizsardzības noteikumiem ES un vairākos ASV štatos, piemēram, Kalifornijā, uzņēmumi izjūt karstumu. Gandrīz 70% uzņēmumu piekrīt, ka tie saskaras ar spēcīgu regulatīvo spiedienu, lai nodrošinātu saviem klientiem spēcīgu autentifikāciju. Vairāk nekā puse uzņēmumu uzskata, ka dažu gadu laikā viņu autentifikācijas metodes nebūs pietiekamas, lai atbilstu normatīvajiem standartiem.
Ir skaidri redzama atšķirība starp Krievijas un Amerikas un Eiropas likumdevēju pieejām programmu un pakalpojumu lietotāju personas datu aizsardzībai. Krievi saka: cienījamie servisa īpašnieki, dariet ko gribat un kā gribat, bet ja jūsu admins sapludinās datubāzi, mēs jūs sodīsim. Viņi saka ārzemēs: jums ir jāīsteno pasākumu kopums, kas neļaus noteciniet pamatni. Tāpēc tur tiek ieviestas prasības stingrai divu faktoru autentifikācijai.
Tiesa, tas ir tālu no fakta, ka mūsu likumdošanas mašīna reiz nenāks pie prāta un neņems vērā Rietumu pieredzi. Tad sanāk, ka visiem ir jāievieš Krievijas kriptogrāfijas standartiem atbilstošs 2FA un steidzami.
Spēcīgas autentifikācijas sistēmas izveide ļauj uzņēmumiem pārorientēties no normatīvo prasību izpildes uz klientu vajadzību apmierināšanu. Tām organizācijām, kuras joprojām izmanto vienkāršas paroles vai saņem kodus ar SMS, svarīgākais faktors, izvēloties autentifikācijas metodi, būs atbilstība normatīvo aktu prasībām. Taču tie uzņēmumi, kas jau izmanto spēcīgu autentifikāciju, var koncentrēties uz to autentifikācijas metožu izvēli, kas palielina klientu lojalitāti.
Izvēloties korporatīvās autentifikācijas metodi uzņēmumā, normatīvās prasības vairs nav būtisks faktors. Šajā gadījumā daudz svarīgāka ir integrācijas vieglums (32%) un izmaksas (26%).
Pikšķerēšanas laikmetā uzbrucēji var izmantot korporatīvo e-pastu, lai krāptu krāpnieciski piekļūt datiem, kontiem (ar atbilstošām piekļuves tiesībām) un pat pārliecināt darbiniekus veikt naudas pārskaitījumu uz viņa kontu. Tāpēc korporatīvo e-pastu un portālu kontiem ir jābūt īpaši labi aizsargātiem.
Google ir pastiprinājis savu drošību, ieviešot spēcīgu autentifikāciju. Pirms vairāk nekā diviem gadiem Google publicēja ziņojumu par divu faktoru autentifikācijas ieviešanu, kuras pamatā ir kriptogrāfiskās drošības atslēgas, izmantojot FIDO U2F standartu, ziņojot par iespaidīgiem rezultātiem. Pēc uzņēmuma datiem, neviens pikšķerēšanas uzbrukums nav veikts vairāk nekā 85 000 darbinieku.
Ieteikumi
Ieviesiet spēcīgu autentifikāciju mobilajām un tiešsaistes lietojumprogrammām. Daudzfaktoru autentifikācija, kuras pamatā ir kriptogrāfiskās atslēgas, nodrošina daudz labāku aizsardzību pret uzlaušanu nekā tradicionālās MFA metodes. Turklāt kriptogrāfisko atslēgu izmantošana ir daudz ērtāka, jo nav nepieciešams izmantot un pārsūtīt papildu informāciju - paroles, vienreizējās paroles vai biometriskos datus no lietotāja ierīces uz autentifikācijas serveri. Turklāt autentifikācijas protokolu standartizēšana padara daudz vienkāršāku jaunu autentifikācijas metožu ieviešanu, tiklīdz tās kļūst pieejamas, samazinot ieviešanas izmaksas un aizsargājot pret sarežģītākām krāpšanas shēmām.
Sagatavojieties vienreizējo paroļu (OTP) izbeigšanai. OTP raksturīgās ievainojamības kļūst arvien skaidrākas, jo kibernoziedznieki izmanto sociālo inženieriju, viedtālruņu klonēšanu un ļaunprātīgu programmatūru, lai apdraudētu šos autentifikācijas līdzekļus. Un, ja OTP dažos gadījumos ir zināmas priekšrocības, tad tikai no universālas pieejamības viedokļa visiem lietotājiem, bet ne no drošības viedokļa.
Nav iespējams nepamanīt, ka kodu saņemšana, izmantojot SMS vai Push paziņojumus, kā arī kodu ģenerēšana, izmantojot viedtālruņiem paredzētās programmas, ir to pašu vienreizējo paroļu (OTP) izmantošana, kuru noraidīšanai tiek lūgts sagatavoties. No tehniskā viedokļa risinājums ir ļoti pareizs, jo tas ir rets krāpnieks, kurš nemēģina noskaidrot vienreizējo paroli no lētticīga lietotāja. Bet es domāju, ka šādu sistēmu ražotāji pieķersies mirstošajai tehnoloģijai līdz pēdējam.
Izmantojiet spēcīgu autentifikāciju kā mārketinga rīku, lai palielinātu klientu uzticību. Spēcīga autentifikācija var darīt vairāk, nekā tikai uzlabot jūsu uzņēmuma faktisko drošību. Klientu informēšana par to, ka jūsu uzņēmums izmanto stingru autentifikāciju, var stiprināt sabiedrības izpratni par šī uzņēmuma drošību — tas ir svarīgs faktors, ja klientu pieprasījums pēc spēcīgas autentifikācijas metodēm ir ievērojams.
Veiciet rūpīgu korporatīvo datu inventarizāciju un kritiskuma novērtēšanu un aizsargājiet tos atbilstoši svarīgumam. Pat zema riska dati, piemēram, klienta kontaktinformācija (nē, tiešām, ziņojumā teikts "zems risks", ir ļoti dīvaini, ka viņi par zemu novērtē šīs informācijas nozīmi), var radīt ievērojamu vērtību krāpniekiem un radīt problēmas uzņēmumam.
Izmantojiet spēcīgu uzņēmuma autentifikāciju. Vairākas sistēmas ir vispievilcīgākie mērķi noziedzniekiem. Tie ietver iekšējās un ar internetu savienotas sistēmas, piemēram, grāmatvedības programmu vai uzņēmuma datu noliktavu. Spēcīga autentifikācija neļauj uzbrucējiem iegūt nesankcionētu piekļuvi, kā arī ļauj precīzi noteikt, kurš darbinieks izdarījis ļaunprātīgu darbību.
Kas ir spēcīga autentifikācija?
Izmantojot spēcīgu autentifikāciju, lietotāja autentiskuma pārbaudei tiek izmantotas vairākas metodes vai faktori:
- Zināšanu faktors: koplietots noslēpums starp lietotāju un lietotāja autentificētu subjektu (piemēram, paroles, atbildes uz drošības jautājumiem utt.)
- Īpašumtiesību faktors: ierīce, kas ir tikai lietotājam (piemēram, mobilā ierīce, kriptogrāfiskā atslēga utt.)
- Integritātes faktors: lietotāja fiziskās (bieži biometriskās) īpašības (piemēram, pirkstu nospiedums, varavīksnenes raksts, balss, uzvedība utt.)
Nepieciešamība uzlauzt vairākus faktorus ievērojami palielina uzbrucēju neveiksmes iespējamību, jo, lai apietu vai maldinātu dažādus faktorus, ir jāizmanto vairāku veidu uzlaušanas taktikas katram faktoram atsevišķi.
Piemēram, izmantojot 2FA “paroli + viedtālrunis”, uzbrucējs var veikt autentifikāciju, apskatot lietotāja paroli un izveidojot precīzu viņa viedtālruņa programmatūras kopiju. Un tas ir daudz grūtāk nekā vienkārši nozagt paroli.
Bet, ja 2FA tiek izmantota parole un kriptogrāfiskais marķieris, tad kopēšanas opcija šeit nedarbojas - marķieri nav iespējams dublēt. Krāpniekam vajadzēs slepeni nozagt lietotāja marķieri. Ja lietotājs laikus pamana zaudējumu un par to paziņo administratoram, marķieris tiks bloķēts un krāpnieka pūles būs veltīgas. Tāpēc īpašumtiesību faktors prasa izmantot specializētas drošas ierīces (žetonus), nevis vispārējas nozīmes ierīces (viedtālruņus).
Izmantojot visus trīs faktorus, šī autentifikācijas metode būs diezgan dārga un diezgan neērta lietošanai. Tāpēc parasti tiek izmantoti divi no trim faktoriem.
Sīkāk ir aprakstīti divu faktoru autentifikācijas principi , blokā “Kā darbojas divu faktoru autentifikācija”.
Ir svarīgi atzīmēt, ka vismaz vienam no stiprajā autentifikācijā izmantotajiem autentifikācijas faktoriem ir jāizmanto publiskās atslēgas kriptogrāfija.
Spēcīga autentifikācija nodrošina daudz spēcīgāku aizsardzību nekā viena faktora autentifikācija, kuras pamatā ir klasiskās paroles un tradicionālā MFA. Paroles var izspiegot vai pārtvert, izmantojot taustiņu bloķētājus, pikšķerēšanas vietnes vai sociālās inženierijas uzbrukumus (kur upuris tiek pievilts atklāt savu paroli). Turklāt paroles īpašnieks par zādzību neko nezinās. Arī tradicionālo MFA (tostarp OTP kodus, piesaisti viedtālrunim vai SIM kartei) var diezgan viegli uzlauzt, jo tā nav balstīta uz publiskās atslēgas kriptogrāfiju (Starp citu, ir daudz piemēru, kad, izmantojot tās pašas sociālās inženierijas metodes, krāpnieki pārliecināja lietotājus dot viņiem vienreizēju paroli.).
Par laimi, kopš pagājušā gada spēcīgas autentifikācijas un tradicionālās MFA izmantošana ir kļuvusi populārāka gan patērētāju, gan uzņēmumu lietojumprogrammās. Īpaši strauji pieaugusi spēcīgas autentifikācijas izmantošana patērētāju lietojumprogrammās. Ja 2017.gadā to izmantoja tikai 5% uzņēmumu, tad 2018.gadā jau trīsreiz vairāk – 16%. To var izskaidrot ar palielinātu tokenu pieejamību, kas atbalsta publiskās atslēgas kriptogrāfijas (PKC) algoritmus. Turklāt Eiropas regulatoru pastiprinātais spiediens pēc jaunu datu aizsardzības noteikumu, piemēram, PSD2 un GDPR, pieņemšanas ir spēcīgi ietekmējis pat ārpus Eiropas (tostarp Krievijā).
Apskatīsim šos skaitļus tuvāk. Kā redzam, privātpersonu īpatsvars, kas izmanto daudzfaktoru autentifikāciju, gada laikā ir pieaudzis par iespaidīgiem 11%. Un tas acīmredzami notika uz paroļu cienītāju rēķina, jo to cilvēku skaits, kuri tic Push paziņojumu, SMS un biometrijas drošībai, nav mainījies.
Bet ar divu faktoru autentifikāciju korporatīvai lietošanai viss nav tik labi. Pirmkārt, saskaņā ar ziņojumu tikai 5% darbinieku tika pārcelti no paroles autentifikācijas uz marķieriem. Un, otrkārt, par 4% pieaudzis to skaits, kuri izmanto alternatīvas MFA iespējas korporatīvajā vidē.
Es mēģināšu spēlēt analītiķi un sniegt savu interpretāciju. Atsevišķu lietotāju digitālās pasaules centrā ir viedtālrunis. Tāpēc nav brīnums, ka lielākā daļa izmanto iespējas, ko ierīce viņiem nodrošina - biometrisko autentifikāciju, SMS un Push paziņojumus, kā arī vienreizējās paroles, ko ģenerē aplikācijas pašā viedtālrunī. Cilvēki parasti nedomā par drošību un uzticamību, izmantojot rīkus, pie kuriem viņi ir pieraduši.
Tāpēc primitīvo “tradicionālo” autentifikācijas faktoru lietotāju procentuālais daudzums paliek nemainīgs. Taču tie, kuri iepriekš ir lietojuši paroles, saprot, ar ko riskē, un, izvēloties jaunu autentifikācijas faktoru, izvēlas jaunāko un drošāko variantu – kriptogrāfijas marķieri.
Runājot par korporatīvo tirgu, ir svarīgi saprast, kurā sistēmā tiek veikta autentifikācija. Ja ir ieviesta pieteikšanās Windows domēnā, tiek izmantoti kriptogrāfiskie marķieri. To izmantošanas iespējas 2FA jau ir iebūvētas gan Windows, gan Linux, taču alternatīvās iespējas ir garas un grūti īstenojamas. Tik daudz par 5% migrāciju no parolēm uz marķieriem.
Un 2FA ieviešana korporatīvajā informācijas sistēmā ļoti lielā mērā ir atkarīga no izstrādātāju kvalifikācijas. Un izstrādātājiem ir daudz vieglāk paņemt gatavus moduļus vienreizējo paroļu ģenerēšanai, nekā izprast kriptogrāfijas algoritmu darbību. Tā rezultātā pat neticami drošības ziņā kritiskās lietojumprogrammas, piemēram, vienreizējās pierakstīšanās vai priviliģētās piekļuves pārvaldības sistēmas, izmanto OTP kā otru faktoru.
Daudzas tradicionālo autentifikācijas metožu ievainojamības
Lai gan daudzas organizācijas joprojām ir atkarīgas no mantotajām viena faktora sistēmām, tradicionālās daudzfaktoru autentifikācijas ievainojamības kļūst arvien skaidrākas. Vienreizējas paroles, kas parasti ir sešas līdz astoņas rakstzīmes garas un tiek piegādātas, izmantojot SMS, joprojām ir visizplatītākais autentifikācijas veids (protams, papildus paroles faktoram). Un, ja populārajā presē tiek minēti vārdi “divfaktoru autentifikācija” vai “divpakāpju verifikācija”, tie gandrīz vienmēr attiecas uz SMS vienreizējo paroles autentifikāciju.
Šeit autors ir nedaudz kļūdījies. Vienreizēju paroļu piegāde, izmantojot SMS, nekad nav bijusi divu faktoru autentifikācija. Tas tīrākajā veidā ir divpakāpju autentifikācijas otrais posms, kurā pirmais posms ir jūsu pieteikumvārda un paroles ievadīšana.
2016. gadā Nacionālais standartu un tehnoloģiju institūts (NIST) atjaunināja savus autentifikācijas noteikumus, lai novērstu vienreizēju paroļu izmantošanu, kas tiek nosūtītas ar SMS. Tomēr šie noteikumi tika ievērojami mīkstināti pēc nozares protestiem.
Tātad, sekosim sižetam. Amerikas regulators pareizi atzīst, ka novecojušas tehnoloģijas nespēj nodrošināt lietotāju drošību, un ievieš jaunus standartus. Standarti, kas izstrādāti, lai aizsargātu tiešsaistes un mobilo lietojumprogrammu (tostarp banku) lietotājus. Nozare aprēķina, cik daudz naudas tai būs jātērē, lai iegādātos patiesi uzticamus kriptogrāfiskos marķierus, pārveidotu lietojumprogrammas, izvietotu publiskās atslēgas infrastruktūru, un tā "ceļas uz pakaļkājām". No vienas puses, lietotāji bija pārliecināti par vienreizējo paroļu uzticamību, un, no otras puses, notika uzbrukumi NIST. Tā rezultātā standarts tika mīkstināts, un strauji pieauga uzlaušanas un paroļu (un naudas no banku lietojumprogrammām) zādzību skaits. Taču nozarei nebija jāvelk nauda.
Kopš tā laika SMS OTP raksturīgās nepilnības ir kļuvušas skaidrākas. Krāpnieki izmanto dažādas metodes, lai uzlauztu īsziņas:
- SIM kartes dublēšana. Uzbrucēji izveido SIM kartes kopiju (ar mobilo sakaru operatora darbinieku palīdzību vai patstāvīgi, izmantojot īpašu programmatūru un aparatūru). Rezultātā uzbrucējs saņem SMS ar vienreizēju paroli. Vienā īpaši slavenā gadījumā hakeri pat varēja uzlauzt kriptovalūtu investora Maikla Tērpina AT&T kontu un nozagt gandrīz 24 miljonus dolāru kriptovalūtās. Rezultātā Turpins paziņoja, ka AT&T ir vainojams vājo verifikācijas pasākumu dēļ, kas izraisīja SIM kartes dublēšanos.
Apbrīnojama loģika. Tātad tā tiešām ir tikai AT&T vaina? Nē, tā neapšaubāmi ir mobilo sakaru operatora vaina, ka sakaru veikalā pārdevējas izsniedza SIM kartes dublikātu. Kā ar kriptovalūtas biržas autentifikācijas sistēmu? Kāpēc viņi neizmantoja spēcīgus kriptogrāfiskos marķierus? Vai bija žēl tērēt naudu īstenošanai? Vai tad pats Maikls nav vainīgs? Kāpēc viņš neuzstāja mainīt autentifikācijas mehānismu vai neizmantoja tikai tās biržas, kas īsteno divu faktoru autentifikāciju, pamatojoties uz kriptogrāfijas marķieriem?
Patiesi uzticamu autentifikācijas metožu ieviešana aizkavējas tieši tāpēc, ka lietotāji pirms uzlaušanas izrāda apbrīnojamu neuzmanību un pēc tam vaino savās nepatikšanās ikvienu un jebko, kas nav senas un “noplūdušas” autentifikācijas tehnoloģijas.
- Ļaunprātīga programmatūra. Viena no agrākajām mobilo ierīču ļaunprātīgās programmatūras funkcijām bija īsziņu pārtveršana un pārsūtīšana uzbrucējiem. Turklāt uzbrukumi “cilvēks pārlūkprogrammā” un “cilvēks vidū” var pārtvert vienreizējas paroles, kad tās tiek ievadītas inficētos klēpjdatoros vai galddatoros.
Kad lietojumprogramma Sberbank viedtālrunī statusa joslā mirgo zaļā ikonā, tā arī meklē jūsu tālrunī “ļaunprātīgu programmatūru”. Šī pasākuma mērķis ir pārvērst parasta viedtālruņa neuzticamo izpildes vidi vismaz kaut kādā veidā par uzticamu vidi.
Starp citu, viedtālrunis kā pilnīgi neuzticama ierīce, ar kuru var izdarīt jebko, ir vēl viens iemesls, lai to izmantotu autentifikācijai tikai aparatūras marķieri, kas ir aizsargāti un bez vīrusiem un Trojas zirgiem. - Sociālā inženierija. Ja krāpnieki zina, ka upurim ir iespējotas vienreizējās īsziņas, viņi var tieši sazināties ar upuri, uzdodoties par uzticamu organizāciju, piemēram, savu banku vai krājaizdevu sabiedrību, lai pieviltu cietušajam sniegt tikko saņemto kodu.
Es personīgi daudzkārt esmu saskāries ar šāda veida krāpšanu, piemēram, mēģinot kaut ko pārdot populārā tiešsaistes krāmu tirgū. Es pats izsmēju krāpnieku, kurš mēģināja mani apmānīt pēc sirds patikas. Bet diemžēl es regulāri lasu ziņās, kā kārtējais krāpnieku upuris “nedomāja”, iedeva apstiprinājuma kodu un zaudēja lielu summu. Un tas viss ir tāpēc, ka banka vienkārši nevēlas nodarboties ar kriptogrāfisko marķieru ieviešanu savās lietojumprogrammās. Galu galā, ja kaut kas notiek, klienti "ir paši vainīgi".
Lai gan alternatīvas OTP piegādes metodes var mazināt dažas šīs autentifikācijas metodes ievainojamības, citas ievainojamības saglabājas. Atsevišķas kodu ģenerēšanas lietojumprogrammas ir vislabākā aizsardzība pret noklausīšanos, jo pat ļaunprogrammatūra diez vai var tieši mijiedarboties ar koda ģeneratoru (nopietni? Vai ziņojuma autors aizmirsa par tālvadības pulti?), taču OTP joprojām var pārtvert, kad tie tiek ievadīti pārlūkprogrammā (piemēram, izmantojot taustiņu bloķētāju), izmantojot uzlauztu mobilo lietojumprogrammu; un to var iegūt arī tieši no lietotāja, izmantojot sociālo inženieriju.
Izmantojot vairākus riska novērtēšanas rīkus, piemēram, ierīces atpazīšanu (darījumu veikšanas mēģinājumu noteikšana no ierīcēm, kas nepieder likumīgam lietotājam), ģeogrāfiskā atrašanās vieta (lietotājs, kurš tikko bijis Maskavā, mēģina veikt operāciju no Novosibirskas) un uzvedības analīze ir svarīga, lai novērstu ievainojamības, taču neviens no risinājumiem nav panaceja. Katrai situācijai un datu veidam ir rūpīgi jāizvērtē riski un jāizvēlas, kura autentifikācijas tehnoloģija būtu jāizmanto.
Neviens autentifikācijas risinājums nav panaceja
2. attēls. Autentifikācijas opciju tabula
| Autentifikācija | Faktors | Apraksts | Galvenās ievainojamības |
| Parole vai PIN | Zināšanas | Fiksēta vērtība, kas var ietvert burtus, ciparus un vairākas citas rakstzīmes | Var pārtvert, izspiegot, nozagt, paņemt vai uzlauzt |
| Uz zināšanām balstīta autentifikācija | Zināšanas | Apšauba atbildes, uz kurām var zināt tikai likumīgs lietotājs | Var pārtvert, paņemt, iegūt, izmantojot sociālās inženierijas metodes |
| Aparatūras OTP () | Īpašums | Īpaša ierīce, kas ģenerē vienreizējas paroles | Kods var tikt pārtverts un atkārtots, vai arī ierīce var tikt nozagta |
| Programmatūras OTP | Īpašums | Lietojumprogramma (mobilā, pieejama, izmantojot pārlūkprogrammu vai kodu nosūtīšana pa e-pastu), kas ģenerē vienreizējas paroles | Kods var tikt pārtverts un atkārtots, vai arī ierīce var tikt nozagta |
| SMS OTP | Īpašums | Vienreizēja parole tiek piegādāta ar SMS īsziņu | Kods var tikt pārtverts un atkārtots, viedtālrunis vai SIM karte var tikt nozagta, vai SIM karte var tikt dublēta |
| Viedkartes () | Īpašums | Karte, kas satur kriptogrāfisku mikroshēmu un drošas atslēgas atmiņu, kas autentifikācijai izmanto publiskās atslēgas infrastruktūru | Var tikt fiziski nozagts (bet uzbrucējs nevarēs izmantot ierīci, nezinot PIN kodu; vairāku nepareizu ievades mēģinājumu gadījumā ierīce tiks bloķēta) |
| Drošības atslēgas — marķieri (, ) | Īpašums | USB ierīce, kurā ir kriptogrāfiska mikroshēma un drošas atslēgas atmiņa, kas autentifikācijai izmanto publiskās atslēgas infrastruktūru | Var tikt fiziski nozagta (bet uzbrucējs nevarēs lietot ierīci, nezinot PIN kodu; vairāku nepareizu ievadīšanas mēģinājumu gadījumā ierīce tiks bloķēta) |
| Saistīšana ar ierīci | Īpašums | Profila izveides process, bieži izmantojot JavaScript vai marķierus, piemēram, sīkfailus un Flash koplietotus objektus, lai nodrošinātu, ka tiek izmantota noteikta ierīce | Žetonus var nozagt (kopēt), un uzbrucējs savā ierīcē var atdarināt legālas ierīces īpašības. |
| Uzvedība | Inherence | Analizē, kā lietotājs mijiedarbojas ar ierīci vai programmu | Uzvedību var atdarināt |
| Pirkstu nospiedumi | Inherence | Saglabātie pirkstu nospiedumi tiek salīdzināti ar tiem, kas fiksēti optiski vai elektroniski | Attēlu var nozagt un izmantot autentifikācijai |
| Acu skenēšana | Inherence | Salīdzina acu raksturlielumus, piemēram, varavīksnenes zīmējumu, ar jauniem optiskiem skenējumiem | Attēlu var nozagt un izmantot autentifikācijai |
| Sejas atpazīšana | Inherence | Sejas īpašības tiek salīdzinātas ar jaunām optiskām skenēm | Attēlu var nozagt un izmantot autentifikācijai |
| Balss atpazīšana | Inherence | Ierakstītā balss parauga īpašības tiek salīdzinātas ar jauniem paraugiem | Ierakstu var nozagt un izmantot autentifikācijai vai emulēt |
Publikācijas otrajā daļā mūs sagaida gardākās lietas - skaitļi un fakti, uz kuriem balstās pirmajā daļā sniegtie secinājumi un ieteikumi. Autentifikācija lietotāju lietojumprogrammās un korporatīvajās sistēmās tiks apspriesta atsevišķi.
Drīzumā!
Avots: www.habr.com