Spoiler avy amin'ny lohatenin'ny tatitra: "Mitombo ny fampiasana ny fanamarinana matanjaka noho ny fandrahonana ny risika vaovao sy ny fepetra takian'ny lalàna."
Ny orinasa mpikaroka "Javelin Strategy & Research" dia namoaka ny tatitra "The State of Strong Authentication 2019" (). Hoy ity tatitra ity: firy isan-jaton'ny orinasa Amerikana sy Eoropeana no mampiasa tenimiafina (ary nahoana no vitsy ny olona mampiasa tenimiafina ankehitriny); maninona no mitombo haingana ny fampiasana ny fanamarinana roa mifototra amin'ny mari-pamantarana cryptographic; Nahoana no tsy azo antoka ny code indray mandeha alefa amin'ny SMS.
Izay rehetra liana amin'ny fanamarinana ankehitriny, taloha ary ho avy amin'ny orinasa sy ny fampiharana mpanjifa dia raisina an-tanan-droa.
Avy amin'ny mpandika teny
Indrisy, ny fiteny nanoratana ity tatitra ity dia somary "maina" sy ofisialy. Ary ny fampiasana ny teny hoe “authentication” in-dimy ao anatin’ny fehezanteny fohy iray dia tsy ny tanana (na ati-doha) fikomiana ataon’ny mpandika teny, fa ny fanirian’ny mpanoratra. Rehefa mandika avy amin'ny safidy roa - mba hanome ny mpamaky lahatsoratra akaiky kokoa ny tany am-boalohany, na mahaliana kokoa, indraindray nifidy ny voalohany, ary indraindray ny faharoa. Mahareta anefa ry mpamaky hajaina fa mendrika izany ny votoatin’ny tatitra.
Ny ampahany sasany tsy manan-danja sy tsy ilaina amin'ny tantara dia nesorina, raha tsy izany dia tsy ho afaka namaky ny lahatsoratra manontolo ny ankamaroany. Afaka manao izany amin'ny fiteny tany am-boalohany ireo izay maniry hamaky ilay tatitra “tsy tapaka” amin'ny fanarahana ny rohy.
Indrisy anefa fa tsy mitandrina foana ny mpanoratra amin'ny voambolana. Noho izany, ny tenimiafina indray mandeha (One Time Password - OTP) dia antsoina indraindray hoe "password", ary indraindray "codes". Mbola ratsy kokoa izany amin'ny fomba fanamarinana. Tsy mora foana ho an'ny mpamaky tsy voaofana ny maminavina fa ny "fanamarinana amin'ny fampiasana fanalahidy kriptografika" sy ny "fanamarinana matanjaka" dia zavatra iray ihany. Niezaka nampiray ny teny aho araka izay azo atao, ary ao amin'ny tatitra mihitsy dia misy sombiny miaraka amin'ny famaritana azy.
Na izany aza, ny tatitra dia tena asaina vakina satria misy valin'ny fikarohana tsy manam-paharoa sy fanatsoahan-kevitra marina.
Ny tarehimarika sy ny zava-misy rehetra dia aseho tsy misy fiovana na dia kely aza, ary raha tsy mitovy hevitra amin'izy ireo ianao, dia tsara kokoa ny tsy miady hevitra amin'ny mpandika teny, fa amin'ny mpanoratra ny tatitra. Ary eto ny fanehoan-kevitro (napetraka ho teny nindramina, ary voamarika ao amin'ny lahatsoratra ITALIANINA) no fitsaràko ny lanja ary ho faly aho hiady hevitra amin'ny tsirairay amin'izy ireo (ary koa amin'ny kalitaon'ny fandikan-teny).
topy maso
Amin'izao fotoana izao, ny fantsom-pifandraisana nomerika amin'ny mpanjifa dia manan-danja kokoa noho ny hatramin'izay ho an'ny orinasa. Ary ao anatin'ny orinasa, ny fifandraisana eo amin'ny mpiasa dia mitodika amin'ny nomerika kokoa noho ny teo aloha. Ary ny fomba fiarovana ireo fifandraisana ireo dia miankina amin'ny fomba nofidiana amin'ny fanamarinana ny mpampiasa. Mampiasa authentication malemy ny mpanafika mba handrotsahana ny kaonty mpampiasa. Ho setrin'izany, manamafy ny fenitra ny mpandamina mba hanerena ny orinasa hiaro tsara kokoa ny kaonty sy ny angona mpampiasa.
Ny fandrahonana mifandraika amin'ny fanamarinana dia mihoatra lavitra noho ny fampiharana mpanjifa; Ny mpanafika dia afaka mahazo fidirana amin'ny rindranasa mandeha ao anatin'ny orinasa ihany koa. Ity hetsika ity dia ahafahan'izy ireo maka tahaka ny mpampiasa orinasa. Ireo mpanafika mampiasa teboka fidirana miaraka amin'ny fanamarinana malemy dia afaka mangalatra angon-drakitra ary manao hetsika hosoka hafa. Soa ihany fa misy ny fepetra hiadiana amin’izany. Ny fanamarinana matanjaka dia hanampy amin'ny fampihenana be ny mety ho fanafihana ataon'ny mpanafika, na amin'ny fampiharana mpanjifa na amin'ny rafitra fandraharahana orinasa.
Ity fanadihadiana ity dia mandinika: ny fomba ampiharan'ny orinasa ny fanamarinana mba hiarovana ny fampiharana mpampiasa farany sy ny rafitra fandraharahana orinasa; lafin-javatra heveriny rehefa mifidy vahaolana fanamarinana; ny anjara asan'ny fanamarinana matanjaka ao amin'ny fikambanany; ny tombontsoa azon’ireo fikambanana ireo.
famintinana
Fehiny lehibe
Hatramin'ny taona 2017, nitombo be ny fampiasana ny fanamarinana matanjaka. Miaraka amin'ny fitomboan'ny vulnerability misy fiantraikany amin'ny vahaolana fanamarinana nentim-paharazana, ny fikambanana dia manamafy ny fahaiza-manaony amin'ny fanamarinana matanjaka. Nitombo avo telo heny ny isan'ny fikambanana mampiasa fanamarinana marobe (MFA) kriptografika hatramin'ny taona 2017 ho an'ny fangatahan'ny mpanjifa ary nitombo efa ho 50% ho an'ny rindranasa orinasa. Ny fitomboana haingana indrindra dia hita amin'ny fanamarinana finday noho ny fitomboan'ny fisian'ny fanamarinana biometrika.
Hitantsika eto ny fanoharana momba ilay fitenenana hoe: “Mandra-pikotroky ny kotrokorana, dia tsy ho tafintohina ny olona”. Rehefa nampitandrina momba ny tsy fandriampahalemana amin'ny tenimiafina ny manam-pahaizana, dia tsy nisy maika ny hampihatra ny fanamarinana roa. Raha vantany vao nanomboka nangalatra tenimiafina ireo hackers, dia nanomboka nampihatra fanamarinana roa ny olona.
Marina fa mazoto kokoa ny mampihatra ny 2FA ny tsirairay. Voalohany, mora kokoa ho azy ireo ny mampitony ny tahony amin'ny alàlan'ny fiankinan-doha amin'ny fanamarinana biometrika natsangana tamin'ny finday, izay tena tsy azo ianteherana. Ny fikambanana dia mila mandany vola amin'ny fividianana famantarana ary manatanteraka asa (raha ny marina, tena tsotra) mba hampiharana azy ireo. Ary faharoa, ny olona kamo ihany no tsy nanoratra momba ny fivoahan'ny tenimiafina avy amin'ny serivisy toa ny Facebook sy Dropbox, saingy na inona na inona toe-javatra dia tsy hizara tantara momba ny fomba nangalatra ny tenimiafina (sy ny zava-nitranga manaraka) tao amin'ny fikambanana ny CIO an'ireo fikambanana ireo.
Ireo izay tsy mampiasa fanamarinana matanjaka dia manamaivana ny loza ateraky ny orinasany sy ny mpanjifany. Ny fikambanana sasany izay tsy mampiasa fanamarinana matanjaka amin'izao fotoana izao dia mijery ny fidirana sy ny tenimiafina ho iray amin'ireo fomba mahomby indrindra sy mora ampiasaina amin'ny fanamarinana ny mpampiasa. Ny hafa tsy mahita ny sandan'ny fananana nomerika ananany. Rehefa dinihina tokoa, dia ilaina ny mandinika fa ny cybercriminals dia liana amin'ny mpanjifa sy ny raharaham-barotra vaovao. Ny roa ampahatelon'ny orinasa izay mampiasa tenimiafina fotsiny mba hanamarinana ny mpiasany dia manao izany satria mino izy ireo fa ny tenimiafina dia ampy ho an'ny karazana fampahalalana arovany.
Eny an-dalana ho any am-pasana anefa ny tenimiafina. Nihena be ny fiankinan'ny tenimiafina tamin'ny taon-dasa ho an'ny fangatahana mpanjifa sy ho an'ny orinasa (avy amin'ny 44% ka hatramin'ny 31%, ary avy amin'ny 56% ka hatramin'ny 47%, tsirairay avy) satria mampitombo ny fampiasana ny MFA nentim-paharazana sy ny fanamarinana matanjaka ny fikambanana.
Fa raha mijery ny zava-misy amin'ny ankapobeny isika dia mbola manjaka ny fomba fanamarinana marefo. Ho an'ny fanamarinan'ny mpampiasa, manodidina ny ampahefatry ny fikambanana no mampiasa SMS OTP (tenimiafina indray mandeha) miaraka amin'ny fanontaniana fiarovana. Vokatr'izany, ny fepetra fiarovana fanampiny dia tsy maintsy ampiharina mba hiarovana amin'ny vulnerability, izay mampitombo ny fandaniana. Ny fampiasana fomba fanamarinana azo antoka kokoa, toy ny fanalahidin'ny kriptografika hardware, dia ampiasaina matetika kokoa, eo amin'ny 5% amin'ny fikambanana.
Ny tontolon'ny lalàna mivoatra dia mampanantena fa hanafaingana ny fananganana fanamarinana matanjaka ho an'ny fampiharana mpanjifa. Miaraka amin'ny fampidirana ny PSD2, ary koa ny fitsipika vaovao momba ny fiarovana ny angona ao amin'ny Vondrona Eoropeana sy ny fanjakana amerikana maro toa an'i California, dia mahatsapa hafanana ny orinasa. Saika ny 70% amin'ny orinasa no manaiky fa miatrika fanerena mafy orina izy ireo mba hanomezana fanamarinana matanjaka ho an'ny mpanjifany. Maherin'ny antsasa-manilan'ny orinasa no mino fa ao anatin'ny taona vitsivitsy dia tsy ho ampy hahafeno ny fenitry ny lalàna ny fomba fanamarinana azy ireo.
Hita mazava tsara ny fahasamihafan'ny fomba fiasan'ireo mpanao lalàna Rosiana sy Amerikanina-Eoropeana amin'ny fiarovana ny angon-drakitra manokana an'ireo mpampiasa programa sy serivisy. Hoy ny Rosiana: ry tompon'ny serivisy, ataovy izay tianao sy tianao, fa raha manambatra ny angon-drakitra ny admin-nao dia hosazinay ianao. Hoy izy ireo any ivelany: tsy maintsy mampihatra fepetra maromaro ianao tsy hanaiky tatatra ny fototra. Izany no antony hampiharana ny fepetra momba ny fanamarinana henjana roa sosona.
Marina fa lavitra ny zava-misy fa indray andro any dia tsy ho tonga saina ny milina mpanao lalàna eto amintsika ka tsy handray an-tsaina ny traikefa tandrefana. Avy eo dia hita fa mila mampihatra ny 2FA ny tsirairay, izay mifanaraka amin'ny fenitra kriptografika Rosiana, ary maika.
Ny fametrahana rafitra fanamarinana matanjaka dia ahafahan'ny orinasa mamindra ny fifantohana amin'ny fanatanterahana ny fepetra takian'ny lalàna mankany amin'ny filan'ny mpanjifa. Ho an'ireo fikambanana izay mbola mampiasa tenimiafina tsotra na mandray kaody amin'ny alàlan'ny SMS, ny zava-dehibe indrindra rehefa misafidy fomba fanamarinana dia ny fanarahana ny fepetra takian'ny lalàna. Saingy ireo orinasa efa mampiasa fanamarinana matanjaka dia afaka mifantoka amin'ny fisafidianana ireo fomba fanamarinana izay mampitombo ny tsy fivadihan'ny mpanjifa.
Rehefa misafidy fomba fanamarinana orinasa ao anatin'ny orinasa iray dia tsy zava-dehibe intsony ny fepetra takian'ny lalàna. Amin'ity tranga ity, ny fanamorana ny fampidirana (32%) sy ny vidiny (26%) dia manan-danja kokoa.
Amin'ny vanim-potoanan'ny phishing, ny mpanafika dia afaka mampiasa mailaka orinasa hosoka mba hahazoana amin'ny hosoka ny fidirana amin'ny angon-drakitra, kaonty (miaraka amin'ny zo fidirana mifanaraka amin'izany), ary na dia ny handresy lahatra ny mpiasa hanao famindrana vola amin'ny kaontiny aza. Noho izany, ny mailaka orinasa sy ny kaonty vavahadin-tserasera dia tsy maintsy arovana manokana.
Google dia nanamafy ny fiarovana azy tamin'ny fampiharana ny fanamarinana matanjaka. Maherin'ny roa taona lasa izay, Google dia namoaka tatitra momba ny fampiharana ny fanamarinana roa mifototra amin'ny fanalahidy fiarovana kriptografika mampiasa ny fenitra FIDO U2F, mitatitra vokatra mahavariana. Araka ny filazan'ny orinasa dia tsy nisy fanafihana phishing na iray aza natao tamin'ny mpiasa maherin'ny 85.
tolo-kevitra
Mampihatra fanamarinana matanjaka ho an'ny fampiharana finday sy an-tserasera. Ny fanamarinana marobe mifototra amin'ny fanalahidin'ny cryptographic dia manome fiarovana tsara kokoa amin'ny hacking noho ny fomba mahazatra MFA. Ankoatra izany, ny fampiasana ny fanalahidy cryptographic dia mety kokoa satria tsy ilaina ny mampiasa sy mamindra fampahalalana fanampiny - tenimiafina, tenimiafina indray mandeha na angona biometrika avy amin'ny fitaovan'ny mpampiasa mankany amin'ny mpizara fanamarinana. Fanampin'izany, ny fanamorana ny protocols fanamarinana manara-penitra dia manamora kokoa ny fampiharana fomba fanamarinana vaovao rehefa misy izy ireo, mampihena ny fandaniana amin'ny fampiharana ary miaro amin'ny tetika hosoka be pitsiny kokoa.
Miomana amin'ny famongorana ny tenimiafina indray mandeha (OTP). Mihamiharihary hatrany ny vulnerability ao amin'ny OTPs satria ny cybercriminals dia mampiasa ny teknolojia ara-tsosialy, ny cloning smartphone ary ny malware mba hampandeferana ireo fomba fanamarinana ireo. Ary raha ny OTPs amin'ny toe-javatra sasany dia manana tombony sasany, dia avy amin'ny fomba fijery ny fisian'izao tontolo izao ihany ho an'ny mpampiasa rehetra, fa tsy avy amin'ny fomba fijery ny fiarovana.
Tsy azo atao ny tsy mahatsikaritra fa ny fandraisana kaody amin'ny alàlan'ny SMS na fampandrenesana Push, ary koa ny famoronana kaody amin'ny fampiasana programa ho an'ny finday, dia ny fampiasana ireo tenimiafina indray mandeha (OTP) izay angatahina hiomanana amin'ny fihenam-bidy. Amin'ny lafiny ara-teknika dia tena marina ny vahaolana, satria mpisoloky tsy fahita firy izay tsy miezaka mitady ny tenimiafina indray mandeha avy amin'ny mpampiasa mora vidy. Saingy heveriko fa ny mpanamboatra rafitra toy izany dia hifikitra amin'ny teknolojia maty hatramin'ny farany.
Ampiasao ny fanamarinana matanjaka ho fitaovana ara-barotra hampitomboana ny fahatokisan'ny mpanjifa. Ny fanamarinana matanjaka dia afaka manao mihoatra noho ny fanatsarana ny tena fiarovana ny orinasanao. Ny fampahafantarana amin'ny mpanjifa fa ny orinasanao dia mampiasa fanamarinana matanjaka dia afaka manamafy ny fahitan'ny besinimaro ny fiarovana an'io orinasa io—zava-dehibe iray rehefa misy fangatahana lehibe ny mpanjifa amin'ny fomba fanamarinana matanjaka.
Manaova fanisana sy fanombantombanana ny angon-drakitra momba ny orinasa ary arovy izany araka ny maha-zava-dehibe azy. Na dia angon-drakitra ambany risika toy ny fampahalalana momba ny fifandraisana amin'ny mpanjifa (Tsia, tena, hoy ny tatitra hoe "ambany risika", tena hafahafa ny fanambanin'izy ireo ny maha-zava-dehibe an'io fampahalalana io.), dia mety hitondra lanja lehibe ho an'ny mpisoloky ary miteraka olana ho an'ny orinasa.
Ampiasao ny fanamarinana orinasa matanjaka. Rafitra maromaro no tena lasibatry ny jiolahy. Anisan'izany ny rafitra anatiny sy mifandray amin'ny Internet toy ny programa kaonty na trano fanatobiana angona orinasa. Ny fanamarinana matanjaka dia manakana ny mpanafika tsy hahazo fidirana tsy nahazoana alalana, ary ahafahana mamaritra tsara hoe iza no mpiasa nanao ilay asa ratsy.
Inona no atao hoe Strong Authentication?
Rehefa mampiasa fanamarinana matanjaka dia fomba na anton-javatra maromaro no ampiasaina hanamarinana ny maha-azo itokiana ny mpampiasa:
- Antony fahalalana: tsiambaratelo ifampizarana eo amin'ny mpampiasa sy ny lohahevitra voamarina (toy ny tenimiafina, valin'ny fanontaniana momba ny fiarovana, sns.)
- Antony fananana: fitaovana iray izay ny mpampiasa ihany no manana (ohatra, fitaovana finday, lakile kriptografika, sns.)
- Antony mahatoky: toetra ara-batana (matetika biometrika) an'ny mpampiasa (ohatra, dian-tanana, lamina iris, feo, fihetsika, sns.)
Ny filàna mijirika anton-javatra maro dia mampitombo be ny mety ho tsy fahombiazana ho an'ny mpanafika, satria ny fandalovana na ny famitahana lafin-javatra isan-karazany dia mitaky ny fampiasana karazana tetika fijirika maro, ho an'ny lafin-javatra tsirairay misaraka.
Ohatra, miaraka amin'ny "password + smartphone" 2FA, ny mpanafika dia afaka manao fanamarinana amin'ny fijerena ny tenimiafin'ny mpampiasa ary manao dika mitovy amin'ny rindrambaiko amin'ny findainy. Ary izany dia sarotra kokoa noho ny mangalatra tenimiafina.
Fa raha misy tenimiafina sy marika kriptografika ampiasaina amin'ny 2FA, dia tsy mandeha eto ny safidy kopia - tsy azo atao ny mandika ny marika. Ny mpisoloky dia mila mangalatra an-tsokosoko ny marika amin'ny mpampiasa. Raha mahatsikaritra ny fatiantoka ara-potoana ny mpampiasa ary mampandre ny admin, dia ho voasakana ny famantarana ary ho very maina ny ezaka ataon'ny mpisoloky. Izany no antony itakian'ny tompon'andraikitra ny fampiasana fitaovana azo antoka (famantarana) manokana fa tsy fitaovana tanjona ankapobeny (smartphone).
Ny fampiasana ireo lafin-javatra telo rehetra ireo dia hahatonga ity fomba fanamarinana ity ho lafo vidy amin'ny fampiharana ary tsy mety amin'ny fampiasana azy. Noho izany, roa amin'ny telo no matetika ampiasaina.
Ny fitsipiky ny fanamarinana roa lafin-javatra dia voafaritra amin'ny antsipiriany bebe kokoa , ao amin'ny sakana "Ahoana no fomba fiasan'ny fanamarinana roa".
Zava-dehibe ny manamarika fa farafaharatsiny ny iray amin'ireo antony fanamarinana ampiasaina amin'ny fanamarinana matanjaka dia tsy maintsy mampiasa kriptografika fanalahidy ho an'ny daholobe.
Ny fanamarinana matanjaka dia manome fiarovana matanjaka kokoa noho ny fanamarinana tokana mifototra amin'ny tenimiafina mahazatra sy MFA mahazatra. Ny tenimiafina dia azo tsikilovana na voasakana amin'ny fampiasana keyloggers, tranokala phishing, na fanafihana ara-teknika ara-tsosialy (izay misy voafitaka amin'ny famoahana ny tenimiafina). Ambonin'izany, ny tompon'ny tenimiafina dia tsy hahalala na inona na inona momba ny halatra. Ny MFA nentim-paharazana (anisan'izany ny kaody OTP, mifamatotra amin'ny finday na karatra SIM) dia mety ho voajirika mora foana, satria tsy mifototra amin'ny kriptografika fanalahidy ho an'ny daholobe (Raha ny marina, misy ohatra maro rehefa mampiasa teknika ara-teknika ara-tsosialy mitovy, ireo mpisoloky dia nandresy lahatra ny mpampiasa hanome azy ireo tenimiafina indray mandeha.).
Soa ihany fa ny fampiasana ny fanamarinana matanjaka sy ny MFA nentim-paharazana dia nahazo vahana tamin'ny fampiharana mpanjifa sy orinasa nanomboka tamin'ny taon-dasa. Nitombo haingana indrindra ny fampiasana fanamarinana matanjaka amin'ny fampiharana mpanjifa. Raha 2017% amin'ny orinasa ihany no nampiasa azy tamin'ny taona 5, dia tamin'ny taona 2018 dia efa avo telo heny izany - 16%. Izany dia azo hazavaina amin'ny alàlan'ny fitomboan'ny marika izay manohana ny algorithm Public Key Cryptography (PKC). Ankoatr'izay, ny fitomboan'ny fanerena avy amin'ireo mpandrindra Eoropeana taorian'ny fanekena ny fitsipika fiarovana vaovao toy ny PSD2 sy GDPR dia nisy fiantraikany mahery vaika na dia tany ivelan'i Eoropa aza (anisan'izany ny any Rosia).
Andeha hojerentsika akaiky ireo isa ireo. Araka ny hitantsika dia nitombo 11% ny isan-jaton'ny olon-tsotra mampiasa fanamarinana marobe isan-karazany nandritra ny taona. Ary mazava ho azy fa izany dia nitranga tamin'ny lanin'ireo tia tenimiafina, satria tsy niova ny isan'ireo mino ny fiarovana ny fampandrenesana Push, SMS ary biometrika.
Saingy miaraka amin'ny fanamarinana roa ho an'ny fampiasana orinasa dia tsy dia tsara loatra ny zavatra. Voalohany, araka ny tatitra, 5% amin'ny mpiasa ihany no nafindra avy amin'ny fanamarinana ny tenimiafina mankany amin'ny marika. Ary faharoa, nitombo 4% ny isan'ireo mampiasa safidy MFA hafa amin'ny tontolon'ny orinasa.
Hiezaka hilalao mpandinika aho ary hanome ny hevitro. Eo afovoan'ny tontolon'ny nomerika ho an'ny mpampiasa tsirairay dia ny smartphone. Noho izany, tsy mahagaga raha mampiasa ny fahaiza-manao izay omen'ny fitaovana azy ireo ny ankamaroany - fanamarinana biometrika, fampandrenesana SMS sy Push, ary koa ny tenimiafina indray mandeha novokarin'ny fampiharana amin'ny finday. Matetika ny olona dia tsy mieritreritra momba ny fiarovana sy ny fahamendrehana rehefa mampiasa ny fitaovana mahazatra azy.
Izany no mahatonga ny isan-jaton'ny mpampiasa ny anton-javatra fanamarinana "traditional" voalohany tsy miova. Saingy ireo izay nampiasa tenimiafina teo aloha dia mahatakatra ny halehiben'ny loza aterany, ary rehefa misafidy lafin-javatra fanamarinana vaovao izy ireo dia misafidy ny safidy vaovao sy azo antoka indrindra - famantarana kriptografika.
Raha ny momba ny tsenan'ny orinasa dia zava-dehibe ny mahatakatra hoe iza no anaovana ny fanamarinana ny rafitra. Raha toa ka ampiharina ny fidirana amin'ny sehatra Windows, dia ampiasaina ny famantarana kriptografika. Ny fahafaha-mampiasa azy ireo ho an'ny 2FA dia efa natsangana tamin'ny Windows sy Linux, fa ny safidy hafa dia lava sy sarotra ampiharina. Be dia be ny fifindra-monina 5% avy amin'ny tenimiafina mankany amin'ny token.
Ary ny fampiharana ny 2FA amin'ny rafi-pampahalalam-baovaon'ny orinasa dia miankina betsaka amin'ny fepetra takian'ny mpamorona. Ary mora kokoa ho an'ny mpamorona ny maka maody efa vita amin'ny famoronana tenimiafina indray mandeha noho ny fahazoana ny fiasan'ny algorithm kriptografika. Ary vokatr'izany, na dia ny fampiharana manakiana ny fiarovana toy ny Single Sign-On na ny rafitra Privileged Access Management aza dia mampiasa OTP ho antony faharoa.
Maro ny vulnerability amin'ny fomba fanamarinana nentim-paharazana
Na dia maro aza ny fikambanana mbola miantehitra amin'ny rafitra tokana lova, dia mihamiharihary kosa ny fahalemena amin'ny fanamarinan-javatra mahazatra. Ny tenimiafina indray mandeha, mazàna tarehintsoratra enina ka hatramin'ny valo ny halavany, alefa amin'ny SMS, dia mijanona ho endrika fanamarinana mahazatra indrindra (ankoatra ny anton'ny tenimiafina, mazava ho azy). Ary rehefa voatonona ao amin'ny gazety malaza ny teny hoe "fanamarinana roa-antony" na "fanamarinana dingana roa", dia saika miresaka momba ny fanamarinana ny tenimiafina indray mandeha amin'ny SMS.
Eto dia diso hevitra kely ny mpanoratra. Ny fanaterana tenimiafina indray mandeha amin'ny alàlan'ny SMS dia tsy mbola fanamarinana roa. Ity dia amin'ny endriny madio indrindra amin'ny dingana faharoa amin'ny fanamarinana dingana roa, izay ny dingana voalohany dia miditra ny fidiranao sy ny tenimiafinao.
Tamin'ny taona 2016, nanavao ny fitsipiky ny fanamarinana ny National Institute of Standards and Technology (NIST) mba hanafoanana ny fampiasana tenimiafina indray mandeha alefa amin'ny SMS. Na izany aza, nihena be ireo fitsipika ireo taorian'ny fihetsiketsehana indostrialy.
Noho izany, andao hanaraka ny tetika. Ny mpandrindra amerikana dia manaiky tsara fa ny teknolojia efa lany andro dia tsy afaka miantoka ny fiarovana ny mpampiasa ary mampiditra fenitra vaovao. Fenitra natao hiarovana ny mpampiasa ny fampiharana an-tserasera sy finday (anisan'izany ny banky). Ny indostria dia manao kajy hoe ohatrinona ny vola lany amin'ny fividianana mari-pamantarana kriptografika tena azo ianteherana, fanavaozana ny fampiharana, fametrahana fotodrafitrasa fototra ho an'ny daholobe, ary "miakatra amin'ny tongony aoriana". Amin'ny lafiny iray, ny mpampiasa dia resy lahatra amin'ny fahamendrehan'ny tenimiafina indray mandeha, ary amin'ny lafiny iray, nisy ny fanafihana ny NIST. Vokatr'izany dia nihena ny fenitra, ary nitombo be ny isan'ny hacks sy ny halatra tenimiafina (sy ny vola avy amin'ny fampiharana banky). Saingy tsy voatery nandany vola ny indostria.
Nanomboka teo dia niharihary kokoa ny fahalemen'ny SMS OTP. Mampiasa fomba isan-karazany ny mpisoloky mba hampandeferana ny hafatra SMS:
- Fandikana karatra SIM. Mamorona dika mitovy amin'ny SIM ny mpanafika (miaraka amin'ny fanampian'ny mpiasan'ny mpandraharaha finday, na tsy miankina, mampiasa rindrambaiko sy fitaovana manokana). Vokatr'izany dia mahazo SMS miaraka amin'ny tenimiafina indray mandeha ny mpanafika. Amin'ny tranga iray malaza indrindra, ny hackers dia afaka mampandefitra ny kaontin'ny AT&T an'ny mpampiasa vola crypto Michael Turpin, ary nangalatra efa ho 24 tapitrisa dolara amin'ny vola crypto. Vokatr'izany, nanambara i Turpin fa diso ny AT&T noho ny fepetra fanamarinana malemy izay nitarika ny famadihana karatra SIM.
Lojika mahagaga. Ka ny AT&T ihany no diso? Tsia, tsy isalasalana fa fahadisoan'ny mpandraharaha finday no nahatonga ny mpivarotra tao amin'ny magazay fifandraisana namoaka karatra SIM dika mitovy. Ahoana ny momba ny rafitra fanamarinana fifanakalozana cryptocurrency? Nahoana izy ireo no tsy nampiasa famantarana kriptografika matanjaka? Nampalahelo ve ny nandany vola tamin’ny fampiharana? Tsy i Michael ve no omena tsiny? Nahoana izy no tsy niziriziry hanova ny rafitra fanamarinana na hampiasa afa-tsy ireo fifanakalozana izay mampihatra fanamarinana roa mifototra amin'ny mari-pamantarana cryptographic?
Ny fampidirana ireo fomba fanamarinana tena azo ianteherana dia tara indrindra satria ny mpampiasa dia mampiseho tsy fitandremana mahagaga alohan'ny fijirihana, ary aorian'izany dia manome tsiny ny olan'izy ireo amin'ny olona rehetra sy ny zavatra hafa ankoatra ny teknolojia fanamarinana taloha sy "miporitsaka" izy ireo.
- Malware. Ny iray amin'ireo asa voalohany indrindra amin'ny malware finday dia ny fisakanana sy fandefasana hafatra an-tsoratra amin'ny mpanafika. Ankoatra izany, ny fanafihana man-in-the-browser sy man-in-the-middle dia afaka manakana ny tenimiafina indray mandeha rehefa ampidirina amin'ny solosaina finday na fitaovana desktop.
Rehefa ny fampiharana Sberbank ao amin'ny findainao dia mamiratra kisary maitso ao amin'ny bar sata, dia mitady "malware" amin'ny findainao ihany koa. Ny tanjon'ity hetsika ity dia ny hamadika ny tontolo famonoana tsy azo itokisana amin'ny finday iray mahazatra, farafaharatsiny amin'ny fomba iray, azo itokisana.
Raha ny marina, ny finday avo lenta, amin'ny maha-fitaovana tsy azo itokisana tanteraka izay ahafahana manao na inona na inona, dia antony iray hafa hampiasana azy io ho fanamarinana. famantarana fitaovana ihany, izay arovana sy tsy misy viriosy sy Trojans. - Injeniera sosialy. Rehefa fantatr'ireo mpisoloky fa manana OTP azo alefa amin'ny SMS ny niharam-boina iray, dia afaka mifandray mivantana amin'ilay niharam-boina izy ireo, ka miseho ho fikambanana azo itokisana toy ny banky na ny sendikan'ny mpampindram-bola, mba hamitahana ilay niharam-boina hanome ny kaody vao azony.
Efa imbetsaka aho no nifanena tamin'io karazana hosoka io, ohatra, rehefa manandrana mivarotra zavatra amin'ny tsenan'ny parasy an-tserasera malaza. Ny tenako dia naneso an’ilay mpisoloky nitady hamitaka ahy tamin’ny foko. Saingy indrisy, namaky tsy tapaka tao amin'ny vaovao aho fa mbola "tsy nieritreritra" ny iray hafa niharan'ny mpisoloky, nanome ny kaody fanamafisana ary very vola be. Ary izany rehetra izany dia satria ny banky dia tsy te hiatrika ny fampiharana ny mari-pamantarana cryptographic amin'ny fampiharana azy. Rehefa dinihina tokoa, raha misy zavatra mitranga, ny mpanjifa dia "manome tsiny".
Na dia mety hanamaivana ny sasany amin'ireo vulnerability amin'ity fomba fanamarinana ity aza ny fomba fanaterana OTP hafa, dia mbola misy ny fahalemena hafa. Ny fampiharana famoronana kaody tokana no fiarovana tsara indrindra amin'ny fihainoana feo, satria na ny malware aza dia zara raha afaka mifandray mivantana amin'ny mpamorona kaody (matotra? Nanadino ny fanaraha-maso lavitra ve ny mpanoratra ny tatitra?), fa ny OTP dia mbola azo sakanana rehefa miditra ao amin'ny navigateur (ohatra mampiasa keylogger), amin'ny alàlan'ny fampiharana finday voajirika; ary azo alaina mivantana amin'ny mpampiasa amin'ny alàlan'ny injeniera sosialy.
Mampiasa fitaovana fanombanana risika maro toy ny famantarana fitaovana (fitadiavana ny fikasana hanao fifampiraharahana amin'ny fitaovana tsy an'ny mpampiasa ara-dalàna), geolocation (mpampiasa iray izay vao avy tany Moskoa dia manandrana manao fandidiana avy any Novosibirsk) ary ny fanadihadiana momba ny fitondran-tena dia zava-dehibe amin'ny fiatrehana ny vulnerabilities, saingy tsy misy vahaolana na fanafody. Ho an'ny toe-javatra tsirairay sy ny karazana angon-drakitra, ilaina ny manombana tsara ny loza mety hitranga ary misafidy izay teknolojia fanamarinana tokony hampiasaina.
Tsy misy vahaolana authentication dia panacea
Sary 2. latabatra safidy fanamarinana
| fanamarinana | Antony | famaritana | Ny vulnerability fototra |
| Tenimiafina na PIN | FAHALALANA | Sanda raikitra, izay mety ahitana litera, isa ary tarehintsoratra hafa | Azo sakanana, fitsikilovana, angalarina, alaina na hacked |
| Fanamarinana mifototra amin'ny fahalalana | FAHALALANA | Manontany ny valiny izay mpampiasa ara-dalàna ihany no mahafantatra | Azo alaina, alaina, azo amin'ny alàlan'ny teknika sosialy |
| Hardware OTP () | fananany | Fitaovana manokana mamorona tenimiafina indray mandeha | Ny kaody dia mety ho voasakana sy averimberina, na mety hangalatra ilay fitaovana |
| Software OTPs | fananany | Fampiharana (finday, azo idirana amin'ny alalan'ny navigateur, na fandefasana kaody amin'ny mailaka) izay mamorona tenimiafina indray mandeha | Ny kaody dia mety ho voasakana sy averimberina, na mety hangalatra ilay fitaovana |
| SMS OTP | fananany | Indray mandeha ny tenimiafina nalefa tamin'ny SMS SMS | Ny kaody dia mety ho voasakana sy averimberina, na mety hangalatra ny finday na ny karatra SIM, na ny karatra SIM azo adika |
| Karatra Smart () | fananany | Karatra misy puce kriptografika sy fitadidiana fanalahidy azo antoka izay mampiasa fotodrafitrasa fanalahidin'ny daholobe ho an'ny fanamarinana | Mety halatra ara-batana (fa ny mpanafika dia tsy afaka mampiasa ilay fitaovana raha tsy mahafantatra ny kaody PIN; raha sendra misy andrana fampidirana diso maromaro dia ho voasakana ilay fitaovana) |
| Fanalahidy fiarovana - famantarana (, ) | fananany | Fitaovana USB misy puce kriptografika sy fitadidiana fanalahidy azo antoka izay mampiasa fotodrafitrasa fanalahidin'ny daholobe ho an'ny fanamarinana | Azo angalarina ara-batana (fa ny mpanafika dia tsy afaka mampiasa ilay fitaovana raha tsy mahafantatra ny kaody PIN; raha misy andrana miditra diso maromaro dia hosakanana ilay fitaovana) |
| Fifandraisana amin'ny fitaovana | fananany | Ny dingana mamorona mombamomba, matetika mampiasa JavaScript, na mampiasa marika toy ny cookies sy Flash Shared Objects mba hahazoana antoka fa misy fitaovana manokana ampiasaina. | Ny mari-pamantarana dia azo angalarina (adika) ary ny toetran'ny fitaovana ara-dalàna dia azon'ny mpanafika atao tahaka ny fitaovana misy azy. |
| fitondran-tena | Inherence | Manadihady ny fomba ifandraisan'ny mpampiasa amin'ny fitaovana na programa | Azo alain-tahaka ny fitondrantena |
| ny dian-tanana | Inherence | Ny dian-tanana voatahiry dia ampitahaina amin'ireo nalaina tamin'ny fomba optika na elektronika | Ny sary dia azo angalarina ary ampiasaina amin'ny fanamarinana |
| maso maso | Inherence | Mampitaha ny toetran'ny maso, toy ny lamina iris, miaraka amin'ny scan optika vaovao | Ny sary dia azo angalarina ary ampiasaina amin'ny fanamarinana |
| Famantarana tarehy | Inherence | Ny endriky ny tarehy dia ampitahaina amin'ny scan optika vaovao | Ny sary dia azo angalarina ary ampiasaina amin'ny fanamarinana |
| Famantarana feo | Inherence | Ny toetran'ny santionan'ny feo voarakitra dia ampitahaina amin'ny santionany vaovao | Ny rakitra dia azo angalarina ary ampiasaina ho fanamarinana, na alaina tahaka |
Ao amin'ny tapany faharoa amin'ny famoahana dia miandry antsika ny zavatra matsiro indrindra - ny isa sy ny zava-misy, izay iorenan'ny fanatsoahan-kevitra sy ny tolo-kevitra omena ao amin'ny tapany voalohany. Ny fanamarinana amin'ny fampiharana mpampiasa sy amin'ny rafitra orinasa dia horesahina misaraka.
Mandrapihaona!
Source: www.habr.com